Solarwinds: Fejl med kodeord 'solarwinds123' var praktikantens skyld

SolarWinds giver praktikant skylden for en del af den sløje sikkerhed hos softwareleverandøren. Illustration: BalkansCat / Bigstock Photo
En tidligere CEO hos Solarwinds giver en praktikant skylden for sløj sikkerhed med kodeordet 'solarwinds123', som virksomheden har brugt til at beskytte en af virksomhedens servere.

Softwareleverandøren Solarwinds, som har lagt navn til et af verdens hidtil største cyberangreb, giver nu en praktikant skylden for en del af den sløje sikkerhed.

Det skriver Gizmodo.

Et illustrativt eksempel på sikkerhedsniveauet hos virksomheden er kodeordet ‘solarwinds123’, som man har brugt til at beskytte en server hos softwareleverandøren.

Men ifølge Kevin Thompson, tidligere CEO hos Solarwinds, er kodeordet »relateret til en fejl fra en praktikant, som overtrådte vores kodeords-politikker,« fortalte han til repræsentanter fra ‘the House Oversight and Homeland Security’-komitéer sidste fredag.

Læs også: To dødsstråler sendt ud fra Statens It: Myndigheder ramt af Solarwinds-angrebet

Han uddyber, at praktikanten har offentliggjort kodeordet på sin private GitHub-konto.

Kodeordet har været brugt siden 2017, og det har været tilgængeligt online siden 2018. Ifølge sikkerhedsforsker Vinoth Kumar, har han tidligere advaret virksomheden om, at alle kan få adgang til Solarwinds opdateringsservere med kodeordet, fortæller han til Reuters sidste december.

Læs også: Microsoft efter Solarwinds-hack: Vi skal kræve videndeling om cyberangreb

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (37)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Bjarne Nielsen

Tyder det ikke på, at man har et langt mere grundlæggende problem med hele kulturen omkring sikkerheden, hvis en praktikant i det hele taget kan gennemføre så stor en bommert uden opsyn eller godkendelse?

Enten har man ikke kigget, eller også så har man kigget den anden vej, og jeg ved snart ikke, hvad der er værst. Måske at man åbenbart forventer, at den (bort-)forklaring skulle gøre os mere trygge?

  • 34
  • 0
#4 Claus Bobjerg Juul

... så var de ansvarlige jo nød til at tage ansvaret.

Lidt underligt at have en praktikant i 3 år, måske er der tale om en person som nu er degraderet til praktikant.

Han uddyber, at praktikanten har offentliggjort kodeordet på sin private GitHub-konto.

Så skygge IT har været tilladt.

Kodeordet har været brugt siden 2017, og det har været tilgængeligt online siden 2018

Så i to år har passwordet været offentligt kendt, bare ikke af Solarwinds selv, nå ja, det var jo en privat GitHub konto som også var noget skygge IT. Mon der på denne eller andre private GitHub konti også er IP materiale?

  • 10
  • 0
#7 Ditlev Petersen

Solar Winds bliver advaret om et hul i sikkerheden.

De foretager sig intet.

De foretager sig stadig intet.

Hullet viser sig at blive brugt - hvem skulle dogh have troet det?

De skyder skylden på en programmør "under optræning" (og sikkert en luset betaling).

Altså hvis det her var en dårlig film, ville den pågældende udvikler skulle se sig over skulderen, når han gik nogen steder og lære japansk kampsport.

  • 15
  • 1
#8 Jens Peter Jensen

Et andet gæt: Praktikanten er oprindeligt blevet sat til at lave den indledende proof-of-concept server. Da den i den tidlige udviklingsfase ikke er kritisk (og allerhøjest befinder sig på et lukket testnetværk), har man ikke hærdet den til et produktionsmiljø (så f.eks. gode kodeord er ikke en nødvendighed). Da den efter noget tid er udviklet nok til, at man kan bruge den til noget, sætter ledelsen den blindt i produktion, uden først at sørge for at gøre den produktionsklar (den virker jo, så hvorfor spilde udviklertimer på det der sikkerhedspjat?).

  • 18
  • 0
#10 Klavs Klavsen

og "admin tilladelse" er så blot en rolle.. På den måde sker AL tilgang via personers personlige firmakonto - som de anvender overalt - og hvor man kan slå 2FA til, rotere kodeord mm.

Alt andet er temmelig uprofessionelt og ville i min bog, være et brud på GDPRs krav om "tidssvarende sikkerhed" (hvis de var underlagt den).

Når et system så ikke har været opsat sådan, så bør ALLE der har logget ind på det system have opdaget det var et problem og sørget for at få prioriteret det ind i opgaverne.. Så når ingen har reageret i så mange år - siger det noget om at der er mere end én person der ikke agerer professionelt .)

  • 9
  • 0
#15 Ditlev Petersen

Fingeraftryk, irisscanning og ansigtsgenkendelse har nu også vist sig problematiske. Hvis man render rundt med en nøglegenerator, så kan den stjæles. Ergo skal der password til den. Måske er problemet så mindre, da den jo kan låses ude, hvis den erkendes stjålet.

Hvad vil du da foreslå?

Der er jo også (oh rædsel) en del programmer, der har brug for at kunne logge på et sted. At udstyre dem med en nøglegenerator er vist kun at gøre tingene værre.

  • 2
  • 1
#19 Ditlev Petersen

Det vil sige en kombination af biometri (fingeraftryk/ansigt/iris/stemme/DNA) + engangsnøgle + token + second device + geoposition + tid.

AI skal overvåge, at der ikke foregår noget mistænkeligt med ovennævnte.

Så når jeg skal skrive en dum kommentar på V2, er sikkerheden og besværet mangefold større, end hvis nogen vil affyre en atombombe. Makes sense.

Jeg skriver alligevel ikke noget fornuftigt.

Det der vil jo ikke engang fungere i teorien. Keramikere har svage fingeraftryk. Yakuza-medlemmer og andre kan mangle flere fingre (okay, det er til at overskue), fingeraftryk kan forfalskes, ansigtsgenkendelse kan forfalskes (og virker sikkert dårligt på mørkhudede mennesker), folk skifter udseende (plastiklæber og sæbeøjne), iris og stemme kan også forfalskes ("My voice is my password"), DNA er næsten for nemt at forfalske.

Vi er nok tilbage ved token og engangsnøgler (challenge-response) til alvorlige systemer. Det kan de færreste finde ud af. Og jeg skal taste en nøgle ind, hver gang min pc skal hente mail. Det er nok en fordel, tror jeg. For så spilder jeg ikke så megen tid.

  • 6
  • 1
#20 Christian Nobel

Det vil sige en kombination af biometri (fingeraftryk/ansigt/iris/stemme/DNA) + engangsnøgle + token + second device + geoposition + tid.

Har du også 3 fjortenstiftede Ruko låse, elektronisk lås og irisscanning, samt logning, for at gå ind i dit haveskur efter trillebøren?

AI skal overvåge, at der ikke foregår noget mistænkeligt med ovennævnte.

Aha, og hvem skal så overvåge den AI?

Haloooooo, jorden kalder - password brugt fornuftigt, og uden at lægge alle æg i en kurv er en glimrende (og absolut sikker) løsning i 99,9% af alle tilfælde.

  • 6
  • 1
#22 Thomas Lund Nielsen

Har du også 3 fjortenstiftede Ruko låse, elektronisk lås og irisscanning, samt logning, for at gå ind i dit haveskur efter trillebøren?

Hvis jeg havde noget vigtigt og værdifuldt i mit haveskur, så ville jeg.

Min pointe er, at passwords alene i vore dage ikke er mere sikre end Rex-nøgler.

Hvis Version2 kunne genkende mig på min telefon, så behøvede jeg ikke endnu et password til denne hjemmeside.

Alle applikationer, hvor der indtastes passwords, kan i princippet gøre med dem hvad de vil.

PS. Mht. AI har du ret, hvem holder egentlig styr på den?

  • 0
  • 3
#23 Henning Wangerin

Hvis Version2 kunne genkende mig på min telefon, så behøvede jeg ikke endnu et password til denne hjemmeside.

Og du er sikker på at det billed-genkendelses-software som skulle gøre det ikke kan blive naret af et udskrevet billede? Lige som på alle de andre sites hvor du så har den samme "adgangskode".

Det er pokkers meget nemmere at lade din password-manager gemme en random kode til hver site, og ændre den hvis du bliver kompromiteret et enkelt sted.

Så for mit vedkommende kan jeg ikke se at jo kommer til at brug biometrisk login i en overskuelig fremtid.

Ellers kan du jo bruge SSO via facebook eller linkedin, så du ikke skal ha en kode på version2. Så skal du du kun have tillid til en af dem. Ikke ndvenigvis til version2.

/Henning

  • 2
  • 1
#25 Thomas Lund Nielsen

Ellers kan du jo bruge SSO via Facebook eller LinkedIn, så du ikke skal have en kode på Version2. Så skal du du kun have tillid til en af dem. Ikke nødvendigvis til Version2.

Tillid til Facebook?!? LinkedIn?!? No way!!! :)

  • 0
  • 1
#26 Henning Wangerin

Tillid til Facebook?!? LinkedIn?!? No way!!! :)

Forståeligt nok. Jeg har heller ikke den store tiltro til dem.

Men du du vil stadigvæk bruge en "adgangskode" som du ikke kan skifte til version2, og hvor du ellers ville bruge dine biometriske data tilat logge ind?

Det hele handler om tillid til dem der håndterer dine data. Det gølder både (i dette tilfælde) version2 og ved remote-login også facebook eller linkedin.

Det har absolut intet at gøre med hvad du synes er nemt.

/Henning.

  • 1
  • 0
#30 Henning Wangerin

Indtil andet er bevist, så har jeg stadig tillid til "æblet". ;)

Problemet er ikke om du har tillid til æblet eller ej.

Problemet med biometriske logins, er at når dit fingeraftryk bliver kompromiteret kan ( alle der har dine data ) logge ind som dig, og du kan ikke ændre det.

Ok, du kan bruge en anden finger, men dem har du heller ikke særligt mange af ;-)

Alle der har din email og dit genbrugs-password kan også loggin ind som dig, men der kan du trods alt ændre passwordet alle de steder hvor du har genbrugt det.

/Henning

  • 2
  • 1
#33 Sune Marcher

Solar Winds bliver advaret om et hul i sikkerheden.

De foretager sig intet.

De foretager sig stadig intet.

Hullet viser sig at blive brugt - hvem skulle dogh have troet det?

Eh? Mig bekendt er der ikke nogen kobling mellem FTP-passwordet og supply-chain angrebet?

(Udover at ftp-passwordet og omstændighederne omkring det indikerer en generelt sløset tilgang til sikkerhed)

  • 2
  • 0
#34 Henning Wangerin

Men du glemmer min iPhone, den skal jeg også godkende på. Og det kan jeg kun på min egen

Korrekt.

Indtil at der er nogen som knækker din IPhones implementering af finger-scanneren. Lige nu er det ingen problem.

Det var der heller ikke det store problem at nøjest med en 4 ciffers PIN på dial-ip på telefon-modemmet for 30 år siden. (Har set det brugt i praksis i praksis) Det er lidt i underkanten nu til dags ;-)

/Henning

  • 0
  • 1
#36 Thomas Lund Nielsen

Og nu kommer mit endelige argument imod passwords.

I vore dage er der kameraer overalt. I det storrumskontor, som jeg sidder i, er der vel omkring 50 kameraer, alle diskrete og handy.

At optage en video af en kollega, samarbejdspartner eller en psykopatisk chef, der indtaster sig password, er lige så nemt som at klø sig i nakken.

Tilbage til fremtiden. ;)

  • 0
  • 2
Log ind eller Opret konto for at kommentere