Sikkerhedshul gav adgang til CSC-server: 'Jeg kunne blandt andet se kildekode til Polsag'

I mindst et år stod adgangen til CSC-server vidt åben for de mange kunder, som virksomheden stiller cpr-udtræk til rådighed for. På trods af gentagne advarsler fra en af kunderne tog det et år for CSC at lukke hullet.

Lige nu sidder to såkaldte superhackere varetægtsfængslet i Danmarkshistoriens største hackersag. De er sigtet for at have hacket sig ind i CSC’s mainframe og stjålet en stor mængde personfølsomme data.

Men nu det viser sig, at man ikke behøver at være hacker for at få adgang til CSC’s server. Et hul i sikkerheden gjorde det nemlig muligt for softwareudvikler Anders Jensen at få adgang til CSC’s mainframe, hvor han blandt andet kunne downloade kildekoden til Polsag. Hullet stod på vid gab i en længere periode fra 2011 til 2012. Her fortæller Anders Jensen sin historie til Version2:

Læs også: Anklageskrift i CSC-hackersag ligger klar: Kræver fire års fængsel

»Pludselig opdagede jeg til min store overraskelse, at jeg kunne se roden af CSC’s server. Der var blandt andet det der lignede kildekoden til Polsag, et pensionssystem og andre store CSC-projekter,« siger Anders Jensen, der indtil oktober sidste år var ansat som teknisk ansvarlig i en jysk virksomhed, der leverer software til de danske kommuner. En virksomhed, der i kraft af sin position som leverandør til kommunerne, har adgang til blandt andet CPR-data og kommunale notater via CSC.

I 2011 fik Anders Jensen dog adgang til en hel del mere end det, da han af uransagelige årsager endte blandt massevis af mapper på CSC’s server. Normalt har hver enkelt bruger eller kunde, om man vil, kun adgang til én mappe - sin egen.

Læs også: Dokumentation: CSC overså kritiske opdateringer til politiets mainframe i tre måneder

Den dag sad Anders Jensen og rodede med kommandoer. Virksomheden skulle ændre FTP-klient, og fordi der ikke er mange klienter, der understøtter den FTP-server, CSC opererer med, ville han selv kigge efter data, der kunne fortælle hvilken FTP-klient, der kunne bruges.

Og med en simpel “/”-kommando fik han pludselig adgang til indhold, der i hvert fald ikke var beregnet til ham.

»Jeg kunne se roden af CSC's interne server. Ikke bare, hvilke kunder, der var oprettet på FTP’en,« siger Anders Jensen, som efter eget udsagn var rødglødende af raseri over CSC’s behandling af personfølsomme data. Han tilkaldte sin chef, og de to kunne ved nærmere eftersyn konstatere, at de blandt andet kunne downloade en kopi af kildekoden til Polsag - Politiets nu skrottede it-system.

»Vi kunne se en mapperne, men vi rodede ikke så meget rundt. Vi ville ikke snage,« siger Anders Jensen, der efterfølgende kontaktede CPR-kontoret, som henviste ham til CSC.

CSC: 'Vi lukker hullet'

Her nåede sagen underdirektøren, der lovede at hullet ville blive lukket - og så tænkte Anders Jensen ikke mere over det. Indtil året efter.

I foråret 2012 var den igen gal med virksomhedens FTP-klient, og Anders Jensen gik samme vej for at finde data til en ny. Til endnu større overraskelse end første gang eksisterede hullet stadig.

Sammen med sin chef overvejede Anders Jensen nu, hvorvidt de skulle gå til Datatilsynet eller medierne med sagen, men virksomheden ville ikke risikere sit fremtidige virke med CSC, og i stedet nøjedes de med at henvende sig direkte til CSC igen.

Læs også: CSC-hacking: Hemmelig rapport afslører alvorlige sikkerhedssvigt hos CSC

Et par dage senere var hullet lukket.

»Min naivitet fik mig til at glemme alt om sagen. De havde jo lovet at rydde op,« siger Anders Jensen, der først nu står frem af hensyn til sin gamle arbejdsplads, som han har bedt Version2 om at lade være anonym.

Version2 har desuden talt med Anders Jensens daværende kollega, Mads Thomsen, som bekræfter historien. De to sad på samme kontor i virksomheden, og Mads Thomsen var vidne til både opdagelsen af FTP-serveren og den efterfølgende kontakt til CSC, som ifølge Mads Thomsen behandlede henvendelsen med noget, 'der virkede som ligegyldig.'

Mange har adgang til data

Siden har CSC ændret sit system, så der ifølge Anders Jensen er mere styr på sikkerheden. Men han er dybt forarget over, hvor lemfældig CSC’s håndtering af sikkerheden er.

»Rigtig mange virksomheder har adgang til data ved CSC - for eksempel udtræk af CPR. Men FTP’en, som CSC brugte til at gøre data tilgængelig for sine kunder, var end ikke krypteret, den er kun ‘beskyttet’ af en IP-adressebegrænsning«, påpeger han.

Læs også: Bekymret sikkerhedsekspert: Har CSC ryddet ordentligt op efter hacker-angreb?

Det betyder, at alle ansatte i en af CSC's kunde-virksomheder har adgang til de personfølsomme data fra CSC, hvis bare de har et brugernavn, som altid består af et bogstav efterfulgt af firmaets navn og et kort password. Udover navne og CPR-numre kan det være oplysninger om forældremyndighed, fødselsoplysninger, civilstand, kommunale notater og så videre.

»Selv om jeg reelt ikke ved, hvad de fleste af mapperne på den server indeholdt, illustrerer det her, at sikkerheden hos CSC er helt hen i vejret. Det indbyder til, at man udnytter systemet,« siger Anders Jensen.

Det er ikke første gang der er rejst kritik af at CSC ikke har krypteret sin FTP-servere. Sidste år skrev Version2 om internetaktivisten Torben Andersen der med en søgning på domænet csc.dk med værktøjet ShodanHQ fandt frem til flere FTP-servere hos CSC, der ikke var beskyttede.Han kunne få adgang til serverne uden at skulle bruge brugernavn eller password og ’kiggede ind’ på en af dem. Torben Andersen fik uforvarende rettigheder til at ændre, kopiere og slette filer.

Læs også: Aktivist finder ubeskyttede FTP-servere hos CSC

Version2 har gentagende gange forsøgt at få en reaktion fra CSC på Anders Jensens historie men indtil videre forgæves.

Fakta

  • Anders Jensen har bedt Version2 om at lade sin tidligere arbejdsplads forblive anonym. Vi er bekendt med virksomheden og dens rolle som leverandør til kommunerne, ligeså vel som Anders Jensens tidligere chef er bekendt med vores dækning af sagen.
  • Anders Jensens tidligere kollega, Mads Thomsen, sad på daværende tidspunkt på samme kontor og har over for Version2 bekræftet Anders Jensens historie.
  • CSC var ifølge Anders Jensen klar over, at deres FTP ikke var krypteret, selvom det normalt forholder sig sådan for sikkerhedskritiske FTP'er.
  • Anders Jensen sagde selv op fra sit daværende arbejde.
Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Kommentarer (33)

Martin Kirk

Efter at have arbejdet i årevis med kendskab til CSC's måder at gøre tingene på. overrasker det mig ikke at de har valgt at lægge alting på samme FTP server.

CSC har nogle "sikkerheds procedure" som gør livet fuldstændig ulideligt for udviklere og deres egne folk - så for at gøre livet nemmere for dem selv har de sikkert valgt at bruge den samme server - hvor alle vidste 'der var hul igennem' til at opbevare kode og andet som skulle frem og tilbage.

at de så ikke har lukket hver bruger ind i deres egen private rodmappe, uden adgang til resten, ligger nok i at deres FTP folk ikke er for skarpe - hvilket jeg personligt fandt ud af da jeg skulle hente oplysninger om samtlige biler (og ejerforhold) i Danmark....

Problemet for CSC er jo, at de er blevet for store og for tunge - med ekstra CORPORATE som drys på toppen :D

Knud Jensen

Hvis kildekoden har ligget frit fremme, så kan det da tænkes at det var det som fik polsag til at fejle som projekt, der skal jo ikke mange linier kode til at gøre et system ulideligt langsomt at arbejde med.

Søren Augustesen

....at de håbede på at der var en udvikler der fandt koden, downloadede den, fik det til at virke, og så uploadede den til servern igen :-D

PS: Evt. stavefejl og grammatiske fejl i dette indlæg er lavet med vilje for at pisse folk af ;-)

Morten Krøyer

Og så til det mere alvorlige, dette burde stille fængslingen af Gottfried Varg i et nyt lys, for CSC's sløsethed svarer til at hovedøren ikke er låst, hvilket som regel betyder at forsikringen ikke dækker.

Selvom min hoveddør står på vid gab, er det nøjagtigt lige så ulovligt og strafbart at gå ind og tage mit fjernsyn som hvis den havde være en sikkerhedsdør med ekstra låse på.
At jeg ikke får et ny af forsikringen er aldeles uvedkommende.

Christian Nobel

Selvom min hoveddør står på vid gab, er det nøjagtigt lige så ulovligt og strafbart at gå ind og tage mit fjernsyn som hvis den havde være en sikkerhedsdør med ekstra låse på.

Mig bekendt, så skelner domstolene mellem simpelt tyveri og decideret indbrud, ligesom det anses for groft uagtsomt at efterlade sin ulåste bil med nøglen i tændingslåsen.

Sammenlignet med CSC vil jeg nok mene de har efterladt nøglen i tændingslåsen, i lyset af hvilket forsøgene på at finde konkrete beviser mod GV begynder at lugte.

Morten Krøyer

Men dit bevis er væsentlig svækket i forhold til om du har haft indbrud eller ej :-)

Jeg har ikke rigtig brug for at bevise, at jeg har haft indbrud (bortset fra overfor forsikringen...) - hvis jeg melder min cykel stjålet, så er det jo kun i håbet om, at den dukker op (f.eks. hos politiet) så jeg kan få den igen...
Jeg kan også melde min pung stjålet, selvom den har ligget frit tilgængelig og er blevet taget f.eks. mens jeg kiggede den anden vej...

Peter Johan Bruun

Er der nogen her der ved om dette kan relateres til den lock-out af medarbejdere CSC foretog i foråret 2011 ?

Det kunne (i den grad!) se ud som om man har haft nyt personale på plads der ikke var sin opgave voksen, hvis fornemste kvalitet var at de var billigere end de "gamle".

Det ville være mere end interessant at efterprøve og finde ud af.

Søren Mejlhede

Selvom min hoveddør står på vid gab, er det nøjagtigt lige så ulovligt og strafbart at gå ind og tage mit fjernsyn som hvis den havde være en sikkerhedsdør med ekstra låse på.
At jeg ikke får et ny af forsikringen er aldeles uvedkommende.


Nej, så er det simpel tyveri eller Ran, ikke indbrud.
Ligesom der er forskel på lommetyveri og røveri, en hel verden til forskel, ligesom på straffen.

Det ser ud til at Gottfried Varg kun står til samfundstjeneste, så snart må myndigheder melde ud om de har en sag i det hele taget, eller er i gang med et større Juristmord, støtte af CSC og inkompetente efterforsker.

Lars Sommer

Der er efterhånden ingen nyhedsværdi i sådan nogle "afsløringer".

Prøv med "[Indsæt stort firmanavn] har et virkelig sikkert setup", "Stort offentligt IT-projekt lykkes. Inden for deadline. Og budget". Dét er breaking newz

Torben Frandsen

Prøv med "[Indsæt stort firmanavn] har et virkelig sikkert setup", "Stort offentligt IT-projekt lykkes. Inden for deadline. Og budget". Dét er breaking newz

Sjovt men forkert.

Det er hverdag og har cirka samme nyhedsinteresse som "Bilist når helskindet frem".

Tænk over det: Hvor mange offentlige it-skandaler kan du nævne? Hvor mange tror du, bare sådan i hele træskolængder, der er afviklet uden at du nogensinde hørte om det?

Poul-Henning Kamp Blogger

Jeg har ikke rigtig brug for at bevise, at jeg har haft indbrud

Nej, men det har politiet, når de anklager en person for at have begået indbrud.

Afsløringen er derfor absolut et relevant indspark i sagen imod "superhackeren" som kan finde ud af at bruge FTP.

Men endnu mere interessant synes jeg det er at alle der har haft legitim adgang til denne FTP server også har haft adgang til hele butikken.

Hvis datatilsynet var andet end ornamentalt, ville det afkræve CSC dokumentation for alle downloads fra dennne FTP server, således at det kan afgøres om nogle legitime brugere har downloadet ting de ikke burde undervejs.

Poul-Henning Kamp Blogger

Hvad ville IT Havarikommisionen nå til af konklusioner i denne sammenhæng ?

Hvis vi vidste eller kunne forudsige det, ville vi ikke have behov for ITHK til at begynde med, vel ?

Jeg synes ærlig talt det virker som om du bare kaster mudder lige nu og prøver på at se om du kan få noget af det til at hænge fast.

Er det mon fordi den mainframe-kultur du forsvarer så trofast endnu en gang er blevet fundet sovende med bukserne nede om haserne ?

Hvorfor skulle det have noget med lock-outen at gøre ?

Der er intet der tyder på at problemer er opstået i 2011, tværtimod, det har sandsynligvis allerede existeret i årevis på det tidspunkt.

Men jeg ville da ønske at vi havde en IT-havarikommision der kunne udgive en rapport så de andre mainframes kunne lære hvordan de skal konfigurere deres FTP servere...

Peter Johan Bruun

Hvis vi vidste eller kunne forudsige det, ville vi ikke have behov for ITHK til at begynde med, vel ?

Det er jo så også det rigtige svar, men lad mig så spørge det næste spørgsmål: Hvilke områder ville en ITHK give sig i kast med at undersøge ? Ville det ikke være naturligt at se på en parameter som arbejdsmiljø ? For personale forhold og hvorvidt det er fagligt kompetent personale man har siddende er vel ligeså afgørende på udformningen af et system, som de tekniske aspekter ?

Undersøgelser indenfor flybranchen medtager alle parametre, også arbejdsmiljøet piloterne har fungeret under. Der bliver checket for om materiellet har været forsvarligt vedligeholdt, og der bliver undersøgt om cockpit håndtering har foregået på betryggende og korrekt vis.

Men mig bekendt har man endnu ikke konkluderet i en rapport at det var en bestemt flytype der var årsag til et havari. Typisk er det pilotfejl der fremprovokerer situationen, ikke hardwaren, men fornyligt har der været havarier og near-miss hvor det har været piloternes arbejdsmiljø der har været en del af konklusionen.

Min pointe med indlægget var, at det er den del jeg håber en IT havarikomission også vil medtage i sin vurdering af "havariet".

Min anden pointe er at de personer der indgår i IT-Havarikommsionen ikke på forhånd må indikere præferencer af platforme, da det vil kunne beklikke deres autoritet, og stille tvivl om konklusionen - men det hører den anden diskussion til om hvorvidt jeg er farvet af mine gidseltagere og om hvorvidt jeg kaster med mudder.

Men jeg ville da ønske at vi havde en IT-havarikommision der kunne udgive en rapport så de andre mainframes kunne lære hvordan de skal konfigurere deres FTP servere...

....kunne jeg så ikke være mere enig i - så lad os for branchens skyld, og de der aftager produkterne, få gang i den instans. Jo før jo bedre.

Martin Bjerge Jørgensen Journalist

Kære debattører

Der er blevet fjernet indlæg fra debatten der fremstod afsporende for en fortsat saglig debat. Vi gør ikke dette for at censurere holdninger eller vinkler vi ikke bryder os om, og har derfor heller ikke fjernet indlæg der har bidraget med viden eller holdninger indenfor artiklens emnefelt. Der er plads til en del frirum i debatten, men når halvdelen af nye kommentarer i en debat ikke længere omhandler sagens kerne og kun bidrager med "støj" og hindrer fagligheden i debatten, forbeholder vi os retten til at moderer i kommentarfeltet. Dette skulle jeg selvfølgelig have gjort opmærksom på i går da kommentarerne blev fjernet og jeg undskylder derfor for denne sene besked.

Vi ser frem til mange flere fremtidige gode debatter som I bidrager med, de er værdsat og vi nyder at læse de mange faglige og relevante indlæg fra jeres side.

Med venlig hilsen

Martin Bjerge
Community

Poul-Henning Kamp Blogger

Hvilke områder ville en ITHK give sig i kast med at undersøge ?

Det kan jeg af gode grunde ikke sige, når vi ikke aner hvad ITHK's kommisorium i givet fald ville være.

Under den anden artikel gav jeg mit bud på listen over fundamentale problemer:

1 Plaintext overførsel af brugernavn/password

2 Ingen udskiftning af passwords over tid

3 Lemfældig vedligehold af IP ACL

4 Ingen kryptering af personfølsomme data

5 Alle har adgang til alt på serveren

6 Ingen klar placering af ansvaret for sikkerheden

7 Ingen procedure for håndtering på udefra kommende advarsel om sikkerhedsproblem

8 Ingen paper-trail på udefra kommende advarsel om sikkerhedsproblem

9 Ingen opfølgning på udefra kommende advarsel om sikkerhedsproblem

ITHK kan starte hvor de har lyst.

Formodentlig bliver listen længere når de giver sig til at undsøge sagen.

(F.eks ved vi fra "hackersagen" at der ikke er nogen der læser logfilerne. Hvor mange "legitime" brugere er "kommet til" at downloade noget de ikke skulle ? Hvornår opdagede CSC det, hvis overhovedet ?)

Personligt finder jeg "meta-problemerne", eller "egenkontrolproblemerne" om du vil, dvs. punkt 6-9 de værste. Hvis CSC havde haft noget der virkede i det område, havde de andre problemer formodentlig fundet en løsning undervejs.

Nets har heller ikke noget der ligner et svar på punkt 6-9, jvf. fotografens henvendelse.

Og det er desværre 100% normalt.

Jeg kender meget få større IT installationer i Danmark der har en procedure der følger henvendelser udefra til dørs, eller som automatisk, løbende tager trusselbilledet op til revision: Når først sikkerheden er godkendt, er den godkendt og systemet er i drift.

I de fleste installationer er det faktisk fuldstændigt umuligt at komme igennem til nogen der ved hvad de taler om, med en henvendelse.

Hvis man er kreativ og virkelig insisterer kan det dog som regel godt lade sig gøre: I et tilfælde ringede jeg til en kaffebar i stueetagen under en Investeringsbank i New York og bad dem give en it-folkene fra den pågældende bank min email-addresse.

Sammenlign situationen med hvor en person der kommer ind i receptionen og siger "der kommer røg ud af et vindue længere nede i bygningen".

Peter Stricker

Der er plads til en del frirum i debatten, men når halvdelen af nye kommentarer i en debat ikke længere omhandler sagens kerne og kun bidrager med "støj" og hindrer fagligheden i debatten, forbeholder vi os retten til at moderer i kommentarfeltet.


Nu indeholder debatten så svar på ikke-eksisterende indlæg, og nogle kommentarer om den alt for ofte forekommende moderering på Version2.

Var det ikke snart på tide, at oprette en artikel om kriterierne for censur på Version2, og så fra journalisternes side deltage i diskussionen under en sådan artikel? Det nuværende system, hvor relevante indlæg fjernes efter "community-builder"-nes forgodtbefindende er i hvert fald ikke tilfredsstillende.

Christian Nobel

Der er blevet fjernet indlæg fra debatten der fremstod afsporende for en fortsat saglig debat. Vi gør ikke dette for at censurere holdninger eller vinkler vi ikke bryder os om, og har derfor heller ikke fjernet indlæg der har bidraget med viden eller holdninger indenfor artiklens emnefelt. Der er plads til en del frirum i debatten, men når halvdelen af nye kommentarer i en debat ikke længere omhandler sagens kerne og kun bidrager med "støj" og hindrer fagligheden i debatten, forbeholder vi os retten til at moderer i kommentarfeltet. Dette skulle jeg selvfølgelig have gjort opmærksom på i går da kommentarerne blev fjernet og jeg undskylder derfor for denne sene besked.

Det er noget nonsens, for ja der var lidt mundhuggeri, men debatten kom ret hurtigt tilbage på sporet.

Desværre var der så også relevant indhold i de (vilkårligt) bortcensurede indlæg, som blev fjernet, således at resten af debatten fremstår forplumret.

Men til gengæld er der stadig et indlæg tilbage, som absolut ingen relevans har mere (I må selv finde ud af hvilket), men som åbenbart godt må overleve.

Vi ser frem til mange flere fremtidige gode debatter som I bidrager med, de er værdsat og vi nyder at læse de mange faglige og relevante indlæg fra jeres side.

Så bør I måske også huske på at debatterne er hamrende vigtige for jer (det er dem der i høj grad er click-bait) - for mit vedkommende anser jeg hovedparten af jeres mikrofonholderi som placeholder for det virkeligt interessante, nemlig debatterne, hvor bla. teknikken vendes og drejes på et, som regel, højt niveau.

Jesper Nielsen

Det giver jo overhovedet ingen mening at begynde at fjerne indlæg, bare fordi de bevæger sig i en retning redaktionen ikke syntes om. Men det er næsten mere utilgivelig at det først kommenteres af redaktionen da der begynder at komme indlæg der nævner censureringen. ("Æv, vi blev opdaget")

Det er møj irreterende at læse debatter hvor indlægende bliver mere og mere underlig fordi der kommenteres på fjernede indlæg.

Vi så det samme i teledabatten, her var der specielt en debat der var fulstædig meningsløs, det var noget med at der blev fjernet debatører. Men man ville ikke sige hvem, så man viste ikke om folk blev tavse fordi de var fjernet, eller de bare mente at debatten var blevet for ødelagt at de manglende indlæg. Det giver også en meget ulige og indforstået debat når nogle har læst indlægende og andre ikke har.

Det må da kunne lade sig gøre at modererer debatten så den ikke ødelægges. Måske kunne man fjerne den oprindelige tekst og give en "uanstødelig" opsummering?

Denne "stille cencur" giver det indtryk at der er andre dagsordner end en god debat.

Log ind eller opret en konto for at skrive kommentarer