Center for Cybersikkerhed efter sen Shellshock-advarsel: »Ikke vores opgave at informere bredt om nye sårbarheder«

Statens varslingstjeneste for internettrusler ventede med at advare om Shellshock-sårbarheden, til nogen scannede efter udsatte systemer. Det er for langsomt, siger it-sikkerhedsforsker.

Danske myndigheder nøler med at melde ud om alvorlige sårbarheder i udbredte it-systemer.

Hos den statslige varslingstjeneste for internettrusler, GovCert, der hører under Center for Cybersikkerhed, advarer man først om sårbarheder, når nogen forsøger at udnytte dem.

Virksomheder og borgere har selv ansvar for at holde sig orienterede, lyder meldingen.

Seneste eksempel er den berygtede Shellshock-sårbarhed, hvor GovCert først reagerede flere dage efter lignende sikkerhedstjenester i andre lande.

»Vi er ikke en organisation, der går ud og råber ulven kommer, før vi har set ulven. Det var ikke fordi, der manglede offentlighed om den her sårbarhed,« siger chefen for Center for Cybersikkerhed, Thomas Lund-Sørensen, til Version2.

Da nyheden om den alvorlige Shellshock-sårbarhed i Unix-lignende systemer kom offentligt frem onsdag den 24., var blandt andet den statslige amerikanske varslingstjeneste USCert ude og advare mod buggen den samme dag. Og både de amerikanske og engelske varslingstjenester kom efterfølgende med løbende opdateringer over, hvordan man som bruger skulle forholde sig til sårbarheden.

Læs også: Shellshock: Linux- og Mac-systemer ramt af omfattende og alvorlig sårbarhed

Fra de danske myndigheder var der anderledes stille. GovCert advarede således først de driftsansvarlige for den kritiske it-infrastruktur i Danmark om sårbarheden en dag senere, torsdag den 25. september. Offentligheden fik først besked efter endnu en dag, fredag den 26. september.

Siden har der været tavst fra GovCert, selvom det så sent som lørdag den 27. september lykkedes for it-sikkerhedseksperten Peter Kruse at finde sårbarheder i statslige it-systemer på mainframes hos både IBM og CSC.

Læs også: Shellshock: Statsligt it-system stod pivåbent efter advarsler

Begrundelsen for de sene meldinger er ifølge Center for Cybersikkerhed, at det først venter med at give besked, til der er nogen, som forsøger at udnytte sårbarheden eller scanne efter sårbare systemer. Og det skete først dagen efter lyder meldingen.

»Det ligger ikke inden for vores opgave at informere bredt om nye sårbarheder. Vi varsler, når der er tale om noget, som der ikke er offentlig opmærksomhed omkring, og som kan ramme især den offentlige sektor bredt. Og det, vi bidrager med, er for eksempel, at vi kan se, at der er nogen, der forsøger at scanne efter sårbarhederne,« siger Thomas Lund-Sørensen.

»Center for Cybersikkerhed har været for langsomme«

Selvom GovCert ikke varsler om alle sårbarheder, så burde man have været hurtigere på aftrækkeren, når det gjaldt Shellshock, lyder det fra postdoc på DTU og it-sikkerhedsekspert Luke Thomas Herbert

Trusselsniveauet for Shellshock er blevet vurderet til 10/10 af den amerikanske database over sårbarheder, NVD, som blandt andet er varetaget af det statslige USCert. Og det burde Center for Cybersikkerhed have kunnet gennemskue ifølge Luke Thomas Herbert:

»Der burde ikke gå mere end et kvarter, fra du hører om Shellshock til du har en klar idé om, at det kan angribes. Og med en generel viden burde du øjeblikkelig have set, at det er stort, og de her shells kan udnyttes,« siger han og fortsætter:

»Den her gang har Center for Cybersikkerhed været for langsomme.«

Version2’s blogger Poul-Henning Kamp har også kritiseret GovCerts handlemåde i et blogindlæg:

Den korrekte og ansvarlige handling havde været, hvis GovCert, så snart de havde verificeret, at bash vitterlig var en åben ladeport, sendte en broadcast til alt og alle i offentlig IT, der lød:
»Så lukker vi alt offentlig IT med hemmelige eller personhenførbare oplysninger. I må åbne igen, når I har overbevist os om, at I har lukket alle eventuelle huller i denne kontekst.«

Læs også: Offentlig IT -- endnu en nedsmeltning

Dette afviser chefen for Center for Cybersikkerhed dog blankt:

»Nej, det vil vi ikke sige. Det er i sidste ende op til hver enkelt myndighed at overveje, hvad man vil gøre i forhold til en given sårbarhed, og de systemafhængige risici der er forbundet med udnyttelsen af sårbarheden. Vi har derudover intet mandat til at pålægge dem noget i sådan en forbindelse og ser heller ikke noget behov for at få det,« siger Thomas Lund-Sørensen.

GovCert ventede også med at advare om Heartbleed

Det ikke første gang, at myndighederne venter med at advare om grelle it-sårbarheder. GovCert ventede også fire dage med at melde offentligt ud om den alvorlige Heartbleed-bug.

Læs også: Danske myndigheder forbigår historisk stor internettrussel i tavshed

Buggen blev offentligt kendt den 7. april i år og ramte tusindvis af servere gennem en fejl i open-source krypteringsbiblioteket OpenSSL. GovCert meldte først offentligt ud om sårbarheden den 11. april.

»Med Heartbleed-sårbarheden så vi fx ikke nogen scanninger på vores systemer, og derfor var vi tilbageholdende med at udtale os om den,« siger Thomas Lund-Sørensen og lægger ansvaret over på de enkelte virksomheder og myndigheder:

»Vi mener, at vi er kommet ud med det her til vores kunder i rette tid. Vi driver ikke it-sikkerhed for en virksomhed eller statslig myndighed - det gør de selv.«

Hos IT-Branchen lyder anbefalingen, at virksomhederne bør benytte sig af de mange private varslings- og sikkerhedstjenester, der er til rådighed for at holde sig opdateret og systemerne beskyttet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (27)
Anders Hessellund Jensen

Hvorfor i alverden skulle Danmark dog spilde skattekroner på at udsende advarsler om offentligt kendte sårbarheder? - Der er utallige andre organisationer der udfører den opgave langt bedre end et dansk center for IT-sikkerhed nogensinde vil kunne. Det er da penge lige ud af vinduet.

Et dansk center for cybersikkerhed kan naturligvis heller ikke påtage sig ansvaret for alle danske myndigheders IT-sikkerhed. Man kan ikke centralisere ansvar, det virker ikke. Resultatet af at forsøge er det præcist modsatte, nemlig at dem der rent faktisk skal udføre sikkerheden i praksis ikke føler de har ansvaret.

Man kan dog diskutere, om centeret skulle have en kontrol- eller rådgivningsfunktion. Her er shellshock-sårbarheden en rigtig god anledning. Man kunne bede de offentlige myndigheder om en redegørelse for hvordan de har håndteret Shellshock, og så kunne man efterfølgende tage fat på de myndigheder, som ikke har håndteret sårbarheden tilfredsstillende.

Anonym

Hvis der skal være noget formål med GovCert, som jo har vide beføjelser, langt ud over hvad private aktører har, så må man forvente at GovCert er mere proaktive og løsningsorienterede.

Der er rigtigt meget gammelt skrammel, som er i fuld drift, og der bliver mere hver eneste dag.
Jeg behøver bare at henvise til den aktuelle hackersag, hvor det tydeligt fremgår, hvad der er af muligheder i dårlig offentlig IT. Men det er jo kun et enkelt eksempel, og den slags er det jo ikke kun offentlig IT som lider under.

Altid at være på bagkant, er simpelthen ikke godt nok, i forhold til den følsomme data som GovCert skal beskytte.

Det er selvfølgelig ikke GovCert's opgave at drifte sikkerheden hos de enkelte, men det må være GovCert som skal være helt på forkant med at advare om trusler, herunder mulige trusler, hvor man jo frit kan opgradere truslen, i det omfang man opdager aktivitet på den.

Dagens eksempel, må være JP Morgan Chase, hvor 83.000.000 brugere er blevet kompromitteret.
Link til TV2 [http://nyhederne.tv2.dk/udland/2014-10-03-83-millioner-kunders-oplysning...]

Tilsvarende angreb i Danmark, vil betyde nedsmeltning af hele den Danske økonomi.
Har GovCert så bare tænkt at stå bagefter med armene over kors og sige at det ikke er deres bord ?

Christian Nobel

DMI har besluttet i forbindelse med risikoen for skybrud ikke at varsle på forhånd, da de ikke en organisation, der går ud og råber ulven kommer, før de har set ulven.

Det er ikke fordi, der mangler offentlighed omkring skybrud, folk kan jo bare se ud af vinduet.

Anders Hessellund Jensen

Måske man skulle etablere et dansk center for Penetrationstest (af offentlige IT-systemer). Centeret skulle være:

1) 100% uafhængigt
2) Have beføjelser til at udføre penetrationstest af alle offentlige IT-systemer på et hvilket som helst tidspunkt, herunder eksempelvis anvendelse social engineering
3) Alle fundne sårbarheder offentliggøres med det samme de er rettet hos den pågældende myndighed
4) Centerets finansiering fordeles på de myndigheder, som centeret finder sårbarheder hos

Et sådant center ville utvivlsomt sætte meget stort fokus på sikkerheden i offentlige IT-systemer, og jeg tror også man ville kunne tiltrække nogle meget dygtige medarbejdere til sådan et center.

Martin Kofoed

Rollen er med andre ord at sidde på hænderne, og når lorten så HAR ramt ventilatoren, skriver man et par rapporter basere på udenlandske erfaringer, som på dette tidspunkt er både rigelige og fyldestgørende.

Det lyder som endnu et offentligt ønskejob. Hvorfor dummer man sig altid, og finder arbejde dér, hvor der også følger en form for ansvar med?

Anonym

@ Ebbe Hansen

CfC blev anvendt som brandslukning i bl.a. IT installationer, i form af Halon.
Det er forbudt at anvende CfC, også i forbindelse med brandbekæmpelse, i IT miljøer.

CFC er helt enkelt farligt for alle, også i forbindelse med anvendelse som brandslukning og man anvender helt andre metoder som sikrer data, også under en brand, således at man er på forkant inden skaden sker.

Sidsel Jensen Blogger

Fra GovCERTs hjemmeside:

GovCERT bidrager til, at du som kunde har det bedst mulige grundlag for at håndtere risici på dit netværk og dine tjenester og understøtter dermed dine muligheder for at:

  • reagere på internetbaserede trusler mod informationssikkerheden
  • hurtigere imødegå konsekvenserne af elektroniske angreb
  • foretage kvalificerede vurderinger af risici og beskyttelsesbehov

Hvis de ikke opfylder deres egne formålsbetingelser - så luk skidtet - tilsynet af dem ophørte 1.juli og blev lagt ind under tilsynet med Efterretningstjenesterne.

Nogen kunne i mellemtiden passende pen-teste Digtial Post og e-boks - når vi nu allesammen tvinges over på den latterlige platform 1. november

Stanley Dakin

Efter mere end en uge, skorter det ikke på (dum)smarte bemærkninger om det offentliges fejl i denne sag. Jeg vil gerne efterlyse konstruktive forslag fra de mange højrøstede eksperter.

Der er (mindst) tre spørgsmål efter dette:

  1. Har folketinget tilstrækkelig fokus på IT-sikkerhed, og har de uddelegeret tilstrækkelige beføjelser? Her synes den almene holdning at være NEJ.
    OK - så er det os eksperter der skal på banen med anbefalinger til de IT-ukyndige - kom i gang hurtigt for den næste incident truer.

  2. På trods af at det konkluderes at GovCert og konkrete medarbejdere ikke har beføjelserne, kritiseres de for ikke at have truffet drastiske og vidtgående beslutninger - hvor er visdommen i den konklusion?

  3. Ved enhver trussel skal konsekvens også vurderes - Det lader til at flertallet synes at det var helt rimeligt at sætte Danmark i IT mæssig undtagelsestilstand under denne forgangne trussel. Kan vi måske (hjælpe folketinget med at) udarbejde en risikovurdering der rummer flere muligheder end nedlukning af alle strømførende endheder, når der konstateres en ny trussel?

Kom så - hvis ikke vi kan tænke rationelt, hvem kan så?

Stanley Dakin

Når det kommer til stykket - og der skæres ind til benet:

Landets samlede IT sikkerhedsniveau afhænger af sub-kontrakter med private, multinationale leverandører der helt legitimt har profit som primære parameter.

Der skal derfor indskydes et nationalt kontrolleret lag af IT-sikkerheds ekspertise.

Gammel traver - evig evergreen:
du kan outtsource en opgave - men ikke ansvaret...

Anonym

@ Stanley Dakin

Du kan sagtens få konkrete forslag.

GovCert skal op i omdrejninger og være mere proaktive. Deres beføjelser er vide, især efter de er kommet ind under Efterretningstjenesten.

Almindelig risikovurdering, på bl.a. grundlag af efterretning indhentet hos allierede, det må være et minimum.

Der er ingen som forlanger at Danmark skal sættes i undtagelsestilstand, hverken blandt dem som kommenterer eller dem som er indeholdt i artiklen. Hvis du mener at Danmark skal i undtagelsestilstand, så må det stå for din regning.

Der har, gennem mange år, været mange og konstruktive forslag, der ikke får nogen opbakning, men ofte bliver bekæmpet, uanset at de er yderst relevante.
Her er der tale om omfattende viden, som koster tid og penge at tilvejebringe, hvilket afspejler en velvilje som du åbenbart mener er utilstrækkelig.
Grundlag for sådan viden og indsigt, afskriver beslutningstagerne sig fra, i det øjeblik man vælger at financierer andre aktører, som i utallige tilfælde, beviseligt, efterfølgende ikke leverer varen.
Netop dette leverandørcirkus, inkl. GovCert, er grundlaget for, at der er et utroligt lavt niveau af sikkerhed i de offentlige løsninger som tilbydes og forlanges benyttet.

Der er en helt generel holdning også i politisk regi, som går ud på at hele befolkningen og i særdeleshed IT folk med bedre indsigt end gennemsnittet, er suspekte, nærmest kriminelle.
Det betyder bl.a. at det ikke er muligt at være mere konstruktiv end de fleste.
Skulle man være konstruktiv og sprætte en offentlig løsning op, som en åben bog, vil man i bedste fald påføre sig selv en meget stor udgift, og i værste fald et længerevarende ophold i fængsel. Også selv om man reelt ikke har deltaget med andet end en diskussion omkring emnet, med en tilfældig troll på en chat.

Hvis du vil have en overordnet vurdering af Offentlig IT i Danmark, så skal jeg gerne give dig den.
I 1980'erne, så kunne man tilgå strafferigistret, hvis man kendte telefonnummeret som modemet skulle ringe op til.
I 2010'erne, så skal man kende IP-adressen som man skal tilgå, og kan læse offentlig i en manual hvordan man skal kompromittere systemet, henholdsvis også læse login offentligt.
Hvad angår sikkerhed, så var løsningen i 80'erne helt sporbar, hvilket ikke er tilfældet i 2010'erne. Så med det i baghovedet, er sikkerheden forringet.

Jeg læser til morgen at en stor bank er blevet kompromitteret, men at man først går ud med at det far et lille afgrænset hack, for senere nu at beskrive et langt mere omfattende hack. Det beskriver i sig selv, at man enten ikke vil, eller ikke kan, redegøre for hvor meget der er hacket.
Samtidigt beskriver man, at man er forundret over, at der tilsyneladende ikke er stjålet noget. At man er forundret over at hackerne ikke har stjålet noget, beskriver over for mig, at man er helt uden for pædagogisk rækkevidde.
Man har tilsyneladende ikke det mindste begreb om hvad der foregår, og sandsynligvis ikke engang begreb om eget metier.

Min klare opfattelse af Offentlig IT, inkl. GovCert er, at man er så langt ude, at man ikke engang fatter hvad man selv beskæftiger sig med.
Hvad angår GovCert, så har de alle muligheder for at snage hos enhver, hvilket de sandsynligvis benytter sig af, uden at det i sig selv medfører noget reultat, for de forstår helt enkelt ikke at omsætte den viden de forhåbentlig ligger inde med, til resultater der kan anvendes til noget som helst.

Jeg skal ikke angribe at også GovCert handler i den bedste mening, for faktisk tror jeg de gør hvad de kan.
De er bare ikke gode nok, hvilket i sig selv gør dem farlige.
Også i forbindelse med GovCert, foregøjler man en beskyttelse, som helt enkelt ikke eksisterer.
Sandsynligvis er GovCert overbevist om noget andet og føler derfor at de gør det rigtigt, hvilket så bare udstiller hele nationen for endnu større risiko.

Sandheden i relation til også offentlig IT er, at hele nationen nu er fuldstændig transparent.

Sandheden i relation til sikkerhed er, at dem som aktivt forsøger at hjælpe, dem gør man alt for at sable ned. Man holder sig ikke engang tilbage, men fængsler, hvis nogen forsøger at skabe vidensgrundlag.

Kravet om yderligere imødekommenhed, og at man skal være konstruktiv, det er det helt enkelt ikke muligt at opfylde, for så kompromitterer man sig selv, henholdsvis gør sig selv til kriminel.

Peter Stricker

Efter mere end en uge, skorter det ikke på (dum)smarte bemærkninger


Magen til hoven og dumsmart bemærkning om debattørernes kommentarer til en offentlig institutions tydeligvis forkerte beslutning skal man da godt nok lede længe efter.

På trods af at det konkluderes at GovCert og konkrete medarbejdere ikke har beføjelserne


Hvor konkluderes det, at GovCert ikke har beføjelser til at udsende en advarsel?

kritiseres de for ikke at have truffet drastiske og vidtgående beslutninger


Så drastisk er en email vel heller ikke. Hvis du hentyder til phk's råd om, at lukke for offentlig IT indtil man er overbevist om, at man kan imødegå truslen, så lader det ikke til, at du har læst hans blog.

Gert Madsen

Jeg vil gerne efterlyse konstruktive forslag fra de mange højrøstede eksperter.


Vi kan læse at GovCert ikke hverkan kan eller vil leve op til deres egen formålsparagraf, hvilket må formodes også at indeholde årsagen til at de overhovedet eksisterer.

Derfor er det da meget konstruktivt at foreslå at skidtet nedlægges.

Der kan være meget fornuft i at se på dit forslag om et national instans til håndtering af IT sikkerhed, specielt på det offentlige område.
Men til det kan vi så udelukke GovCert.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder