Shellshock: Statsligt it-system stod pivåbent efter advarsler

29. september 2014 kl. 16:2515
Trods tidlige advarsler i sikkerhedskredse om den kritiske Shellshock-sårbarhed kunne den fire dage senere stadig udnyttes til at få adgang til mainframes hos IBM og CSC ifølge it-sikkerhedsekspert.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Da medier verden over breakede nyheden om det kritiske Shellshock-hul i Unix-lignende systemer onsdag 24. september i sidste uge, var sårbarheden kendt i sikkerhedskredse flere dage i forvejen.

Så da nyheden kom ud, var der således allerede opdateringer klar til flere af de ramte systemer.

Alligevel var det ifølge it-sikkerhedseksperten Peter Kruse fra CSIS stadig muligt at få adgang til aktive mainframes i statens it-systemer fra to af it-leverandørerne IBM og CSC så sent som lørdag 27. september i sidste uge ved at udnytte Shellshock-sårbarheden. Peter Kruse opdagede hullet ved selv at teste sårbarheden af på de to virksomheders mainframes, der begge kører på det Unix-lignende styresystem z/OS - dog uden at gennemføre 'angrebet'.

»Det her er ultrakritisk - man efterlader statskritiske systemer sårbare. Det burde allerede være fikset, inden den officielle advarsel kom ud. Det er for dårligt, når vi sætter millioner af kroner af til forsvar af private data,« siger han til Version2 og påpeger, at der har været tale om et generelt sikkerhedshul i z/OS.

Artiklen fortsætter efter annoncen

Remote video URL

Shellshock, der betegnes som ‘superkritisk’ af den danske it-sikkerhedsvirksomhed CSIS, udnytter en sårbarhed i den terminalbaserede kommandofortolker Bash, der gør det muligt for udefrakommende på helt enkel vis at afvikle kommandoer på systemet.

CSC står blandt andet for it-systemet bag politiets kørekortregister med oplysninger om borgernes cpr-numre. Det er dog uklart, om dette system har været udsat for sårbarheden.

Peter Kruse kan af sikkerhedsmæssige årsager ikke oplyse præcis, hvilke af statens it-systemer der stod åbne flere dage efter, at de officielle advarsler kom ud.

Styresystem manglede patch

Det kræver ikke mange hackerkundskaber for at udnytte Shellshock-sårbarheden ifølge Peter Kruse.

Artiklen fortsætter efter annoncen

»Der er færdigbygget kode derude, som du bare kan bruge. Alle - selv otteårige - ville kunne udføre det her angreb, det er virkelig banalt,« siger han.

Selvom det kan tage længere tid at patche større systemer som i de omtalte mainframes, burde både CSC og IBM have gjort et bedre arbejde for tidligere at inddæmme hackernes muligheder for at udnytte sårbarheden ifølge Peter Kruse.

»Det første, man bør gøre, er at forhindre åben adgang ind mod sårbarheden via firewall- og routerregler, så det i hvert fald ikke er det globale internet, som har adgang til sårbarheden,« siger han og fortsætter:

»Den her sårbarhed er det perfekte våben, for det er så let for hackerne at camouflere det, så de kan i princippet nappe alle de oplysninger, de har behov for, og så ved vi det først alt for sent.«

Artiklen fortsætter efter annoncen

IBM har nu patched de pågældende systemer, oplyser virksomhedens kommunikationschef, Benedichte Strøm:

»IBM blev opmærksom på en sårbarhed, som potentielt kunne udnyttes og skabte og distribuerede derfor patches, der eliminerede problemet. For at udelukke utilsigtet hjælp til eventuelle hackere ønsker IBM ikke offentligt at diskutere detaljer, der involverer en sikkerhedsrisiko for eventuelle IBM-systemer,« skriver hun i en mail til Version2.

Version2 har også bedt CSC om at kommentere på sårbarheden i dens mainframe, men har endnu ikke fået svar.

Remote video URL

Opdateret den 30.09.2014

15 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
12
30. september 2014 kl. 13:36

at afsløre et systems svagheder. Og i dette tilfælde særligt slemt, fordi det er imod statens interesse, at det sker.

Hvad med vores tillid til systemet ? Er det ikke det allervigtigste i et samfund, at man har tillid til sine ledere, og de systemer de opbygger til alles bedste, og ikke pludselig tvivler og sætter spørgsmålstegn ved al den godhed, vi mødes med ?

Det er da kun skarnspersoner, der overhovedet bare kan tænke på, om det kære system ikke er perfekt. Og så ligefrem at afprøve det - det er langt over stregen !

Nej, den slags personer og aktiviteter har vi ikke brug for i vort kære Danmark, hvor alt jo er, som det skal være, så længe men ikke begynder på unødige og skadelige bagholdsangreb på vores grundlæggende værdier - og de store hæderskronede firmaers troværdighed.

Føj !

(Skulle der snige sig lidt tvivl om min seriøsitet ind, er jeg ikke uden forståelse...)

13
30. september 2014 kl. 13:38

Du glemte kongehuset i det indlæg, find selv plads :P

10
30. september 2014 kl. 11:39

"Peter Kruse opdagede hullet ved selv at teste sårbarheden af på de to virksomheders mainframes, der begge kører på det Unix-lignende styresystem z/OS - dog uden at gennemføre 'angrebet'."

Jamen dog, så står han jo ifølge Anders Riisager's logik til 6 års fængsel.

11
30. september 2014 kl. 12:49

Ja jeg undrer mig faktisk over han tør stå ved det. Ville ikke undre mig at han bliver arresteret i løbet af ugen, for at påpege deres inkompetence. Igen. Personligt havde jeg nok lavet et anonymt opslag på pastebin. Eller 4chan. Alt efter hvilket humør jeg lige var i....

8
29. september 2014 kl. 20:21

Hvorfor er disse systemer ikke sikret af en eller anden form for IPS som kan fange disse angreb indtil man får patchet alle systemer? alle de store sikkerhedsfirmaer (sourcefire, checkpoint osv) var jo hurtige ude med en signatur.

7
29. september 2014 kl. 18:52

Det lader til at bash snart skal patches igen.

3
29. september 2014 kl. 17:37

Defense in depth. Ingen sætter deres sikkerhedskritiske systemer direkte på internettet. Du har en skal af "løgringe" og for at bryde ind skal alle skaller være brudt sammen. Derudover overvejer du hvor stor en grænseflade dit system skal have. Når du finder på at bash skal i spil som en komponent i et system så har du i princippet fejlet.

FreeBSD gik fri denne gang fordi bash ikke er en default-komponent. Det er den type mentalitet du godt vil have i spil.

6
29. september 2014 kl. 18:45

FreeBSD gik fri denne gang fordi bash ikke er en default-komponent.

Det samme kan vel siges om Debian(-baseret) Linux, som ikke lænker /bin/sh til bash, eller hvad?

Forresten så startes /bin/sh jo af C's system(), som også kan kaldes fra f.eks. perl (som dog (naturligvis) er non-standard og kun starter /bin/sh når der er brug for det) og python - og sikkert også andre sprog, fortolkede eller oversatte.

Så der må da være rigeligt med muligheder for misbrug af en upatchet bash.

1
29. september 2014 kl. 17:13

Unix-styresystemet z/OS?

2
29. september 2014 kl. 17:32

Teknisk set ja. z/OS har vistnok USS (UNIX System Services) som en required komponent. Det er fordi du skal have Java på z/OS og det er relativt POSIX-compliant. OMVS (OpenEdition MVS) er dens shell, og der ligner stort set enhver standard UNIX shell.

Hvis det ikke er UNIX fordi det skal stamme fra AT&T, så er Linux heller ikke UNIX:

4
29. september 2014 kl. 17:38

Jeg ved det er kværulering, men nej, Linux er faktisk ikke ægte UNIX®, dog Unix-like og POSIX compliant, forudsat, at det blev verificeret, hvilket det aldrig er blevet. :-)

5
29. september 2014 kl. 17:54

Tror at IBM var lige på trapperne med at opdatere Bash, min de skulle først lige have afklaret, om z/os var unix lignende eller ej. Godt vi kan hjælpe dem med de vigtige ting her på v2.