It-leverandøren KMD har indtil for ganske nylig haft en server fyldt med software stående pivåben. I princippet har alle kunnet surfe ind på en bestemt URL og tilgå et hav af KMD-software, blandt andet tiltænkt diverse administrative opgaver i kommunerne, såsom optælling af stemmer.
Version2 blev opmærksom på den åbne server via et læsertip. Version2 kontaktede KMD i mandags, og serveren blev ifølge organisationen lukket ned 14:45 samme dag. Ifølge KMD er der tale om en såkaldt deployment-server, der bruges til kundeinstallationer af klienter i forhold til en række af KMD’s applikationer. Der er altså tale om installationsfiler til systemer og ikke kørende systemer.
»KMD har flere servere, som vi distribuerer software fra. Den omtalte server er en ældre udgave, som er under afvikling. At den pågældende server ikke har været beskyttet af login, er ikke best practice, og den burde have været beskyttet af adgangskontrol, som de nye servere er,« oplyser Chief Security Officer (sikkerhedschef) hos KMD Carsten Hvid Challet i et mailsvar sendt via it-virksomhedens pressekontakt.
Et klik på sitet, da det stod åbent, resulterede i en liste på mere end 200 mapper med navne som 'KMD Borneydelse', 'Dagplejemodulet' og 'KMD Valg, Stemmeoptaelling'. KMD leverer et system til elektronisk stemmeindberetning.
Flere af mapperne var dateret tilbage til 2011, mens andre havde en dato fra 2019.
Stikprøve-klik, som Version2 har foretaget blandt mapperne, førte blandt andet til undermapper med forskellige versionsnumre. Det lignede forskellige udgaver af softwaren i overmappen.
Yderligere klik førte blandt andet til, hvad der lignede installationsfiler til et program. Version2 stødte også på en teknisk vejledning til et system af ældre dato i en af mapperne.
Servicen nedtaget
Og ifølge teknisk chef Jacob Herbst fra it-sikkerhedsfirmaet Dubex giver åben adgang til softwarekoden mulighed for, at cyberkriminelle kan lede efter sårbarheder i produktet.
»Det at du som hacker får adgang til en masse informationer omkring systemerne, som du ikke ellers ville have adgang til, vil selvfølgelig gøre dit arbejde væsentligt nemmere,« siger Jacob Herbst til Version2.
»I praksis er det typisk sådan som hacker, at jo mere indsigt du har i systemerne, og jo mere du ved, hvordan de hænger sammen, destp nemmere er det jo typisk også at finde potentielle sårbarheder.«
Det kan være sikkerhedshuller af den type, som blandt andet Microsoft jævnligt udsender opdateringer til for at lukke sårbarheder i Windows.
»Når du har adgang til koden, så kan du bevidst lede efter sårbarheder i produkterne. Du kan undersøge, om der måske er nogle sårbarheder i disse produkter, som man kan udnytte,« siger Jacob Herbst.
Apps til lukkede systemer har typisk flere fejl
Han tilføjer, at det helt principielt bør være sådan, at systemerne er så sikre, at uanset hvilken information det er muligt at tilgå omkring et system, så bør det stadig kunne opretholde et sikkerheden.
»Men det er en meget teoretisk opfattelse,« siger han.
Og i modsætning til Microsofts Windows så er KMD's systemer i udgangspunktet ikke eksponeret for den store omverden på samme måde.
Det kan have en bagside:
»Mange af de her proprietært udviklede løsninger, som ikke har stor udbredelse, de har generelt en sikkerhedsmæssig lavere kvalitet, simpelthen fordi der ikke bliver kigget på dem lige så voldsomt,« siger Herbst.
Han anfører, at applikationer til lukket brug ofte har flere fejl og flere potentielle sårbarheder end gængs og almindeligt udbredt software. Og når en hacker på den måde får adgang til de afgrænsede systemer, så er der også mulighed for at kunne opdage sikkerhedshuller.
»Du kan lave en masse forberedende arbejde og finde sårbarheder i applikationerne. Du kan finde en masse potentielle bagdøre, som du ellers ville have svært ved at finde. Du kan få en indsigt i, hvordan tingene er skruet sammen, via den tekniske dokumentation, som du ellers ville skulle bruge tid på selv at finde ud af.«
»Så på den måde vil man som angriber kunne gennemføre et væsentligt mere målrettet og sløret angreb, end man ellers ville kunne.«
Ingen persondata
KMD understreger, at serveren ikke indeholder persondata eller kundedata.
»Herudover skal det bemærkes, at den pågældende software, der ligger på serveren, er beregnet til kundebrug, hvilket vil sige, at den kun kan benyttes, hvis man er på det lukkede netværk mellem KMD og kunderne,«« står der i svaret fra Carsten Hvid Challet.
I svaret oplyser Carsten Hvid Challet desuden, at »servicen er fortsat nedtaget, indtil vi har haft mulighed for at vurdere arkitekturen med henblik på implementering af Access Management foranstaltninger«.
KMD oplyser, at serveren blev oprettet i år 2000, men det er uvist, hvad der historisk har ligget på den af software.
Testserver hacket
Også i sidste uge var KMD ramt af en sikkerhedshændelse. Her fortalte Version2, at KMD var blevet anmeldt til Datatilsynet, fordi selskabet har fået hacket en testserver på det kommunale it-system KMD Nexus, hvor der lå en række cpr-numre på borgere.
Den 9. maj 2019 havde Datatilsynet journaliseret 46 anmeldelser om brud på persondatasikkerheden i forbindelse med Nexus-hændelsen. KMD har understreget, at den konkrete hacking ikke havde til formål at kompromittere persondata, men alene at udnytte test-serverens datakraft.