Manden bag Hello Kitty-afsløring: »Om natten jagter jeg datalæk«

Interview: Den amerikanske sikkerhedsefterforsker Chris Vickery har på et år fundet over 80 datalæk – størstedelen skyldes sløsede it-medarbejdere

Alene i løbet af den seneste måned synes historierne om lækkede database at være væltet frem. Folkene bag det onlinebaserede tegneserieunivers Hello Kitty lækkede 3,3 millioner brugeres kontooplysninger, og 2,6 millioner brugerkonti tilknyttet chattjenesten OKHello lå ligeledes eksponeret.

Over 13 millioner brugere af software-produktet MacKeeper kunne finde deres brugeroplysninger frit tilgængelige på nettet og lige inden årsskiftet dukkede en database over 191 millioner amerikanske vælgere op – en database ingen ville vedkende sig ejerskabet af.

Læs også: 191 millioner amerikanske vælgeroplysninger lækket

Fællesnævneren i den lange række afsløring af datalæk er den amerikanske sikkerhedsefterforsker Chris Vickery, der indenfor de seneste 12 måneder har fundet ikke mindre end 80 tilfælde alvorlige nok til, at de berørte parter skal informeres om dem.

»Jeg har et stort efterslæb på det område, for det tager tid at håndtere et datalæk og underrette ejere af databaserne. Jeg undersøger stadig, hvordan jeg skal kontakte FN om et datalæk, der involverer dem,« fortæller Chris Vickery til Version2.

Til daglig arbejder Vickery som it-supporter i et mellemstort advokatfirma i Austin, Texas. Her arbejder han foruden de helt almindelige it-opgaver også med at opdage og forhindre de forsøg på dataindbrud, som et advokatfirma udsættes for.

»Men om natten jagter jeg datalæk,« siger Chris Vickery.

Det er ikke særlig svært at finde åbne databaser

»Enhver, der kan klare sig igennem førsteåret på datalogi på universitetet, og har tilstrækkelig med tid, kan finde omkring 90 procent af de datalæk, som jeg har fundet. Det kræver en smule held, men det er ikke teknisk særlig svært,« siger Chris Vickery.

Hovedparten af de store datalæk, som Vickery har afdækket den seneste tid, er et resultatet af hans brug af søgemaskinen Shodan, som gør det muligt at finde enheder tilsluttet internettet – alt fra webcams og køleskabe til servere.

»Shodan er som udgangspunkt gratis at bruge, så hvis du prøver dig lidt frem, kan du få en ide om hvordan det gøres,« lyder det fra sikkerhedsefterforskeren.

It-folk springer over, hvor gærdet er lavest

»Størstedelen af de berørte firmaer - eller i hvert fald deres it-folk - springer over, hvor gærdet er lavest. De tager bekvemmelige smutveje og håber på, at der ikke er nogen, der opdager det. Og så kommer der en som mig og opdager det. Så må firmaerne rode rundt efter en undskyldning, når sandheden er, at de helt kunnet have undgået situationen ved at implementere strengere krav til sikkerhed og undlade at hyre uforsvarlige medarbejdere,« lyder opsangen fra Vickery.

Sikkerhedsefterforskeren råd til bedre datasikkerhed for firmaer er til gengæld både enkelt og lavpraktisk: Lad en it-medarbejder, der kender firmaets kritiske IP-adresser, holde tidligt fri en dag, så han hjemmefra på en helt almindelig pc kan tjekke, om der kan opnås adgang til firmaets IP-adresser og porte.

»Det er ikke engang en penetrationstest, men blot et tjek på om en helt tilfældig person kan opnå adgang. En så simpel test kunne have forhindret størstedelen af de datalæk, som jeg har fundet,« fastslår Chris Vickery.

Han fortæller, at de fleste af de datalæk, han har fundet, relaterer sig til Amazon AWS S3 buckets eller MongoDB databaser. At det netop er disse to der optræder gang på gang mener Vickery skyldes, at de er lette at sætte op, og ofte benyttes af semiprofessionelle, der benytter sig af forældede opsætningsvejledninger.

Jeg er ikke en ’white hat hacker’

»Jeg er meget påpasselig med ikke at foretage mig noget, der kan betragtes som hacking – jeg kalder ikke engang mig selv for en ’white hat hacker’. De berørte firmaer reagerer altid negativt, hvis du har gjort noget specielt eller usædvanligt for at få adgang,« siger Chris Vickery.

Han oplever i stedet, at de berørte firmaer er langt mere venligt stemt, når han kan forklare dem, at det eneste han reelt har gjort, var at indtaste en IP-adresse. Firmaerne indser at det 100 procent er deres egen fejl, og at hvem som helst udefra kunne have fået adgang til deres data.

»De fleste af de firmaer, som jeg har haft med at gøre, er taknemmelige for, at det er mig, der har fundet deres data og ikke en med skumle hensigter. De bliver klar over, hvor nemt det ville have været for andre at finde, og hvad konsekvenserne kunne have været,« slutter Vickery.

Følg forløbet

Kommentarer (8)

Claus Juul

Jeg mangler lidt om hvad han mener er root cause, er det medarbejderne selv eller er det måske manglende ledelsesansvar/forståelse

Thomas Berger Journalist

Det kommer vel an på den enkelte virksomhed - om manglende sikkerhed skyldes medarbejdere eller ledelse. Men i sidste ende er resultatet jo det samme for den, der prøver at få adgang til firmaets servere.

Ulrik Suhr

lovgivning.
Det er ikke noget der taler for at gøre det ordentlig.

I sidste ende taler vi vel om peter eller dilbert principle mht. ledelse/medarbejder.

Mikael Ibsen

Enhver, der finder noget, han ikke er blevet bedt om at finde, er bare en fræk provokatør, som kun er ude oå at chikanere leverandøren af den pågældende utætte tjeneste. Og sådan en én skal bare have klippet ørerne.
Ikke noget med "Tak for henvendelsen" - det ville jo være det samme som at indrømme det utænkelige: Fejl og sløseri.
Angreb er som bekendt det bedste forsvar...

Bent Jensen

Eller ved ikke hvad jeg skal bruge til.

At teste mit eget lokale netværk for dumme ting.

Har efterhånden mange gamle og nye enheder på, så det kan hurtigt blive noget rod.
Selv om du har ændret admin password, så har videokamera typisk flere "default" bruger, og fik man ændret dem alle sammen. Samt hvad er der kommet af åbne og lukket porte og bruger ved den sidste opdatering. Samt lukke for deres ringen hjem og andre ting.

Nogen som kender et eller flere gode software produkter der kan gennemtrevle ens lokal net og kan undersøge mere end en scanning, ?

Povl H. Pedersen

Åbne databaser / databaser med default password på Internet er ikke noget nyt, og ikke noget der lige forsvinder.
Problemet er, at hvis man ikke tager sikkerhedsbrillerne på, og får designet en løsning, men bare knopskyder fra en simpel database, så går det galt.
Det er vel derfor man læser om at efterspørgslen efter arkitekter og IT Sikkerhedsfolk er stigende. De skal kompensere for den billige programmør der ikke er god nok, evt en dårlig outsourcing udvikler.
Ligesom med alt muligt andet, så er der stor forskel på
en god og en dårlig udvikler. Har set meget denial fra udviklere i forhold til sikkerhed, og alt der ikke stod i API manualen.

Bent Jensen

"Åbne databaser / databaser med default password på Internet er ikke noget nyt, og ikke noget der lige forsvinder."

Hvad er problemet i det, hvem bruger default password, det er da en service.
Lange lister med password er også af det gode, man skal jo sikkert sig at det man bruger ikke er der i ;-)

Men du er måske også systemadministrator på CSC ?

http://www.version2.dk/comment/323805#comment-323805

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen