Svenske hackere udstiller dårlig sikkerhed hos Kommunernes Landsforening

12. marts 2015 kl. 06:2919
Svenske hackere udstiller dårlig sikkerhed hos Kommunernes Landsforening
Illustration: iStockphoto.com.
Heartbleed-sårbarhed, login-info i klar tekst og mulighed for SQL-injection. Ifølge et svensk sikkerhedsforum halter sikkerheden hos domæne, der tilhører Kommunernes Landsforening
Artiklen er ældre end 30 dage

I et indlæg under overskriften 'Audit af det kommunale skattesystem i Danmark' på det svenske it-sikkerhedsforum swehack bliver sikkerheden revset på et subdomæne under Kommunernes Landsforenings (KL) hjemmeside, www.tilskudsmodel.kl.dk.

Ifølge KL er der dog ikke tale om et kommunalt skattesystem, og sitet er i øvrigt ikke så sårbart, som det svenske indlæg lægger op til. Alligevel opgraderer KL en server og fjerner en tekstfil efter at være blevet gjort opmærksom på indlægget.

På Swehack oplister en person med brugernavnet zerrox flere umiddelbart alvorlige sikkerhedsproblemer for www.tilskudsmodel.kl.dk Eksempelvis en fil med login-oplysninger i klar tekst.

»Dumma jävla retards, sparade mysql detaljer i en jävla text fil,« skriver zerrox i den forbindelse.

Artiklen fortsætter efter annoncen

Løseligt oversat er det en påpegelse af, at det er dumt at lægge MySQL-logindetaljer i en frit tilgængelig tekstfil.

Desuden antyder indlægget på Swehack, at KL-domænet også er modtagelig over for SQL-injection. Altså hvor en ondsindet bruger indtaster SQL-kode i stedet for eksempelvis brugernavn og password, hvorefter SQL-koden bliver eksekveret i den bagvedliggende database-server. Det kan selvsagt få alvorlige konsekvenser.

Endeligt ser serveren bag KL-domænet ud til at indeholde den berygtede Heartbleed-sårbarhed. Den gør det kort fortalt muligt at fiske info, såsom brugernavn og password, i klartekst ud af hukommelsen på serveren via fjernopkobling.

Ikke skattesystem

Version2 har forelagt KL det svenske indlæg. Chefkonsulent hos kommunernes og regionernes løndatakontor Henrik Andersen vender tilbage via mail. Han fortæller, at www.tilskudsmodel.kl.dk ikke har noget med det kommunale skattesystem at gøre, som overskriften på indlægget hos swehack ellers mere end antyder.

Artiklen fortsætter efter annoncen

»Det er en model til at beregne på tilskudsordninger og indeholder ingen data om enkeltpersoner. Serveren er ikke en del af KL's infrastruktur og bruges kun til at køre denne model.«

Desuden afviser Henrik Andersen, at sitet skulle være sårbart over for SQL-injection, da der anvendes ‘prepared statements’. Altså hvor de brugerindtastede data bliver behandlet som parametre i den bagvedliggende SQL-kode. Denne tilgang er i udgangspunktet ikke sårbar over for SQL-injection.

Så er der filen med login-oplysninger i klartekst. Den burde ikke have ligget der i første omgang, medgiver Henrik Andersen, som dog også nedtoner problemet.

»Det server-password, der lå i klar tekst, er en test-adgangskode, som er overlevet fra en tidligere testfase,« skriver han og fortsætter:

Artiklen fortsætter efter annoncen

»Det er beklageligt og burde ikke være sket, men der er altså ikke tale om, at brugeres adgangskoder er tilgængelige, og adgangskoden kunne kun bruges, hvis man i øvrigt havde direkte adgang til serveren. Informationen er fjernet.«

Heartbleed?

Men hvad så med Heartbleed? Zerrox linker til et testsite, hvor det ser ud til, at en del af serverens hukommelse bliver dumpet. Serveren bag sitet er imidlertid en Windows-server, som ikke er berørt af sårbarheden, der ligger i OpenSSL, påpeger Henrik Andersen.

Der er dog en forklaring på, hvorfor serveren alligevel ser ud til at være sårbar.

»Sårbarheden over for Heartbleed vedrører ikke serveren, som kører modellen, men en proxy-server, som adgangen til serveren går igennem,« skriver han.

Proxy-serveren er nu opgraderet.

Så selvom situationen altså ikke lader til at være så alvorlig, som indlægget på swehack i første omgang kunne tyde på, så har den åbne audit på det svenske forum altså nu resulteret i en fjernet tekstfil med login-oplysninger og en opgradering af en sårbar proxy-server.

19 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
19
13. marts 2015 kl. 10:48

Så er der filen med login-oplysninger i klartekst. Den burde ikke have ligget der i første omgang, medgiver Henrik Andersen, som dog også nedtoner problemet.</p>
<p>»Det server-password, der lå i klar tekst, er en test-adgangskode, som er overlevet fra en tidligere testfase,« skriver han og fortsætter:

Nu siger han godt det er en fejl, men hvordan havner test-kode i produktions-koden ?

11
12. marts 2015 kl. 12:41

Vil lige påpege at Kommunernes og Regionernes Løndatakontor er ikke lig med Kommunernes Landsforening. Det er 2 forskellige organisationer med hver deres IT-systemer. Med undtagelse af en DNS record så har KL's IT afdeling ikke noget at gøre med det pågældende site. Men overskriften fik mig da til at læse artiklen, så det er vel god journalistik. :)

10
12. marts 2015 kl. 11:52

[qoute] Sårbarheden over for Heartbleed vedrører ikke serveren, som kører modellen, men en proxy-server, som adgangen til serveren går igennem,« skriver han. [/qoute]

Skal det forstås at en test server ikke er kompromitteret men en proxy-server? Er det ikke værre? vil man derved ikke få fat på en masse ID/Pass fra en række systemer i stedet for en test server?

4
12. marts 2015 kl. 09:41

Næsten alt offentligt IT forekommer at være amatøragtigt makværk og hullet som en si. For det meste er det bare inkompetence, men andre gange forekommer det at være en bevidst svækkelse af brugernes sikkerhed for at have en misbrugsvenlig bagdør til lokale og fremmede statstjenesters overvågning af brugerens kommunikation (som fx tvunget brug af svage og dokumenteret usikre krypteringsstandarder ved fx HTTPS/STARTTLS).

14
12. marts 2015 kl. 18:08

Kan du ikke komme med par eksempler på offentlige projekter hvor sikkerheden har været i orden?

6
12. marts 2015 kl. 10:57

Det er da vist en grov generalisering. Det er med offentlige it-systemer som med fodbolddommere: Man lægger kun mærke til dem, når de ikke gør deres arbejde ordentligt.

Nu er det bare lige det at når det drejer sig om det offentlige så er det næsten os alle der rammes - så selv de mindste sager er hverken små eller ubetydelige.

Er man ondsindet og har man fået fingere i et par hundredetusind menneskers cpr mv. så er fanden løs og dem der bliver berørt kan risikere at de i årevis skal ligge og rode med folk der mener de skylder dem penge og alt muligt andet.

En god veninde fik vendt sit liv på hovedet og brugte det meste af 2 år på at genvinde sin kreditværdighed - ikke særlig rar oplevelse.

Det er derfor nødvendigt at stille skærpede krav til det offentlige uanset hvilke systemer det end drejer sig om

3
12. marts 2015 kl. 07:50

på den kvalmende arrogance, som stortrives blandt mange offentlige IT-folk.

"Se, Rødhætte, jeg ér et får!"

Skal da love for, at ham Andersen får løftet gulvtæppet.

1
12. marts 2015 kl. 07:02

Hvor kommer det begreb fra? Et hack er et hack.

Umiddelbart ligner det et ulovligt hack. En sag som dansk politi bør inddrages i. En lovlig og bestilt penetrationstest ville aldrig blive publiceret på den vis. Det virker helt uansvarligt, selvom der nu kun er gået 3 dage siden public disclosure.

Skal Version2 have et "åbent audit"? Nå nej, man skal ikke spørge først med den slags "audits" :-)

9
12. marts 2015 kl. 11:48

Det er muligt, at det skulle forfølges af politiet, men virksomheden er sgu selv uden om det. Der er ikke ret mange [Virksomheder], der har en fornuftig og strukturer tilgang til IT-sikkerheden. Vi må sgu lige komme ind i kampen herhjemme, og stille væsentlige højere krav til håndteringen af vores data og IT-infrastruktur. imho

13
12. marts 2015 kl. 14:24

Fra det svenske forum. Klik på kilden øverst i artiklen, der er link til pågældende tråd.

Jo, altså, jeg har skam læst forum-indlægget inden jeg skrev. Jeg kan ikke se, at der står "åbent audit" nogen steder, kun "audit". Uanset dette, så er min pointe, at en person som kalder det et "åbent audit" eller bare et "audit", alene forsøger at skjule, at det er en kriminel handling, der er udført uden tilladelse - uanset hvor meget man måtte synes, at offeret selv er ude om det (som en anden gudhjælpemig har skrevet her i tråden).

I min verden, bør journalisten vælge en sådan vinkel fremfor at opfinde hacking-legaliserende eufemismer. En spade er en spade. Vi kalder jo heller ikke det seneste terrorangreb mod Danmark for "faktiske og uventede afprøvninger af politiets og efterretningsvæsenets kompetencer"... Jeg gør i hvert fald ikke :-)

16
12. marts 2015 kl. 20:34

Jo, altså, jeg har skam læst forum-indlægget inden jeg skrev. Jeg kan ikke se, at der står "åbent audit" nogen steder, kun "audit". Uanset dette, så er min pointe, at en person som kalder det et "åbent audit" eller bare et "audit", alene forsøger at skjule, at det er en kriminel handling, der er udført uden tilladelse - uanset hvor meget man måtte synes, at offeret selv er ude om det (som en anden gudhjælpemig har skrevet her i tråden).</p>
<p>I min verden, bør journalisten vælge en sådan vinkel fremfor at opfinde hacking-legaliserende eufemismer. En spade er en spade. Vi kalder jo heller ikke det seneste terrorangreb mod Danmark for "faktiske og uventede afprøvninger af politiets og efterretningsvæsenets kompetencer"... Jeg gør i hvert fald ikke :-)

Prøv nu lige at komme ned engang.. Der står i det allerførste afsnit, der i øvrigt linker til siden, at informationerne er fundet på SWEHACK.org -- ikke swewhitehat.org. Ordet "audit" er måske valgt pga. titlen på indlægget på swehack. Måske også fordi det SVJV er gængs sikkerhedsjargon at kalde det audit eller pentest.

Overskriften er desuden "Svenske hackere udstiller dårlig sikkerhed hos Kommunernes Landsforening" - Hvordan kan du mene at journalisten forsøger at skjule at informationerne er tilhåndebragt på ulovlig vis?

18
13. marts 2015 kl. 10:01

Der står i det allerførste afsnit, der i øvrigt linker til siden, at informationerne er fundet på SWEHACK.org -- ikke swewhitehat.org.

Ja, hvorfor man netop må være lidt kritisk inden man bare repeterer hvad de kalder tingene.

Ordet "audit" er måske valgt pga. titlen på indlægget på swehack.

Tjo, men det er et forkert ord at anvende - og jeg ved stadig ikke hvor betegnelsen "åbent audit" kommer fra. Det er misvisende - og tilsyneladende fjernet fra artiklen nu.

Måske også fordi det SVJV er gængs sikkerhedsjargon at kalde det audit eller pentest.

Der er væsentlig forskel på hhv. 1) en audit, 2) en pentest og 3) et ulovligt hack. Folk der bruger de ord i flæng er ikke sikkerhedsfolk.

Overskriften er desuden "Svenske hackere udstiller dårlig sikkerhed hos Kommunernes Landsforening" - Hvordan kan du mene at journalisten forsøger at skjule at informationerne er tilhåndebragt på ulovlig vis?

Jeg forsøgte naturligvis ikke at sige, at journalisten forsøger at skjule noget. Jeg mener blot, at når en hacker skriver, at vedkommende har foretaget en "åbent audit" eller "audit", så skal man lige tænke sig om en ekstra gang. Journalisten misser en oplagt - og mindst lige så relevant vinkel - nemlig det kriminelle aspekt.

Er det anmeldt til Politiet? Eller skal vi bare acceptere "åbne audits" fremover på alle statslige institutioner og private organisationer? :)

2
12. marts 2015 kl. 07:11

Får får ikke får, for får får lam. Damn, det er for tidligt! :)