KMD er farlig for IT-sikkerheden i Danmark
Ja, sorry - titlen kunne måske antyde at vi skal snakke om alle de allerede kendte sager hvor KMD har fejlet med IT/IT-sikkerheden i Danmark.
men det er selvfølgelig Esben Warming Pedersen (herefter Esben) CPR sagen som KMD er ansvarlig for nu kører for fuld kraft.
Mere præcist vil jeg forsøge en lidt anden retning, dvs prøve at forklare min frygt for afledte konsekvenser af en præmatur politianmeldelse foretaget af KMD.
Fakta
Der er mange ting som vi ikke ved, og skal beklage hvis jeg i nedenstående ikke fuldt ud underbygger mine argumenter. Såfremt det sker skal jeg gerne rette, uddybe med kommentarer om rettelser!
Det er ubestrideligt at:
- KMD har programmeret en pladsanvisningsløsning
- Frederiksberg kommune bruger denne løsning
- Esben skulle bruge denne løsning, har altså en helt valid grund til at være i systemet, vigtigt for mig
- Esben opdager en spøjs funktion, ved indtastning af CPR nummer dukker oplysningerne op på den person som dette CPR tilhører
- Esben har delt oplysninger om CPR nr funktionen, og demonstreret sårbarheden til DR
- Hverken Esben eller DR har haft til hensigt, eller har delt hverken CPR nr eller andre personfølsomme oplysninger
- Funktionen har vist været i systemet i ca. 12 år
- Funktionen gik fra CPR til fulde navn, med en fødselsdato og CPR checksum, modulus 11 check, kunne/kan man således hurtigt finde sammenhæng mellem folks CPR nr og navn
Jeg har forsøgt at begrænse listen til de mest relevante.
Argumenter for anmeldelse
Det er jo ulovligt, derfor skal det anmeldes. Nogle diskussioner på twitter siger endda "pligt til at anmelde".
Jeg mener det er at springe til forhastet konklusion at sige der er foregået, foretaget noget ulovligt. Det kunne man så argumentere for er en grund til at anmelde, så vi får det afgjort af/i retten.
Lovgivningen i Danmark har ikke været i brug så fandens mange gange, og vi kunne godt ønske os lidt flere tydelige sager med hacking. Hvad må man og hvad må man ikke. Det er eksempelvis ulovligt at portscanne i Danmark, og det er samtidig ikke ulovligt at portscanne i Danmark, afhænger af hvad intention man har med at portscanne. Den sag hvor den anklagede blev dømt havde vedkommende Remote Access Trojans, de gode gamle Subseven-like - og derfor var intentionen at hacke videre ind, var argumentet.
Så jura og lovgivnging er et ømtåleligt emne. Specielt efter CSC hackersagen er jeg meget varsom med at sige hvad der er lovligt. Personligt er mit råd at passe på, og ikke gøre mod andres sites som man ikke ønsker de gør mod ens egne. Så lad være med at fyre Metasploit Hail Mary der afvikler exploits mod et site, men igen - jeg synes det er rimeligt at checke danske sites med sslscan som lister TLS/SSL indstillingerne. Det er ud fra at, hvis jeg skal aflevere mine personlige data til kommune X, så er det OK at teste med sslscan, som kun lister algoritmer og protokoller, men ikke bryder ind.
DU KAN DOG STADIG KOMME I PROBLEMER, altså fuck jeg skal skrive at du ikke må arbejde med IT teknologier, fordi nogen kan blive #KMDfornærmet og anmelder dig, som vil give det resultat at DU udsættes for pres. Det kalder vi normalt Scientology metoder, fordi det er en kendt strategi for at knægte modstandere, tillykke KMD-Scientology.
Et andet argument fremført af KMD selv er: KMD ville kunne komme til at billigede en kriminel handling, her er hvad de skrev
"Og da det er vores vurdering, at der er foregået en ulovlig handling, så mener vi, at det mest korrekte er at politianmelde det. Ellers kunne vi stå i en situation, hvor vi billigede en kriminel handling, der berørte borgeres navne og CPR-numre."
Nej, helt ærligt I har kørt en løsning i tolv år med alvorlige fejl. Når I så efter henvendelse lukker så gør det ingen forskel. Hvis I kan henvise til det er sket i andre sager, eller hvordan det kunne forværre jeres situation, så kom gerne med det.
Der er INGEN i Danmark der ville penge fingre af KMD for IKKE at politianmelde dette. Der er ingen som ville sige KMD var mindre professionelle hvis de ikke anmeldte det.
HVIS man stadig mener at den slags burde anmeldes, såååååå burde der nok allerede ligge 100 hvis ikke 1.000vis af anmeldelser for misbrug af registerindsigter hos politiet - og det gør der vist ikke.
Så hvad er der at vinde ved at anmelde?
Problem for IT-sikkerheden i fremtiden
Vi MÅ og skal finde fejl i vores systemer, og vi skal selvfølgelig gøre vores bedste for at gøre dette før de sættes i drift. Desværre VIL der altid være fejl som slipper igennem til produktion, og først opdages senere.
Når fejl opdages er det essentielt at håndtere dette bedst muligt. Dvs erkend, fix, forklar - og ikke bortforklar. Ved at indrømme at der var en fejl har vi flere vigtige konsekvenser. Dem som er påvirket bliver informeret, dit CPR nr har måske været udsat for X, og dem som måtte være utrygge bliver beroliget. Samtidig bliver man anset som en professionel samarbejdspartner som ikke fejer noget under gulvtæppet.
Det er helt tydeligt at de fleste borgere i Danmark ikke kan vurdere disse sårbarheder i vores infrastruktur og applikationer. Så de fleste borgere, herunder topchefer og politikere vil ofte lave uhensigtsmæssige tiltag som kan forværre situationen. Se for andet nyligt eksempel Claus Hjort som taler om angreb på mailløsninger i samråd. Meget lærerigt.
Her er reaktionen fra KMD modsat, og det giver problemer, i min optik. Reaktionen indeholder opkald til arbejdsgiver, som derved indblandes. Truende adfærd og at udpege en ansat som en der udfører hacking er i sig selv at tyvte folk. Det er måske acceptabelt hvis leder X hos KMD kender leder Y hos Netcompany, studiekammerater eller lignende. Fint at bruge sit netværk til at få afklaret misforståelser, men det ligner ikke det er tilfældet her.
Reaktionen indeholder også at man politianmeldte, meget hurtigt. Der forøvrigt mange gode pointer på Twitter, som eksempelvis tråden https://twitter.com/christianpanton/status/878288144004546560 fra Christian Panton omkring tidslinien, her samlet.
"Hvorfor først blive opmærksom på automatisk CPR-robot, når de bliver forelagt videoen den 8/6? (1/2) De fixede bug 14 dage før (24/5). Det ville være naturligt at undersøge om hullet havde været udnyttet. Har de ingen logs? (2/3) Desuden: Hvorfor kontaktes Datatilsynet først efter videobeviset, ikke da hullet bliver fixet? Og derefter orientering til kunderne? (3/3)"
Så når vi nu får en ny sag om hacking, så skal vi passe ekstremt meget på. Hvis vi strammer - som mange gerne vil uanset sagerne - for hackere med langt hår og skæg, evt med svensk accent, er nogle slemme folk, SÅ bliver resultatet at man IKKE fortæller om fejl og huller i systemerne. Så bliver det noget vi spiller som bilkort over en øl på et rart værtshus, mens kriminelle frit kan udnytter flere og flere sårbarheder.
Der har allerede været mange som siger de IKKE vil fortælle KMD om fremtidige sårbarheder. Personligt kunne jeg overveje at vente et par måneder og så kigge lidt på KMDs systemer, og bare poste alt DET jeg finder - uden overhovedet at kontakte KMD først. Netbooken jeg brugte kunne så ryge i skraldespanden, og good luck med at finde beviserne på at det var mig der blandt flere 1.000 andre hackere på diverse net der gjorde det.
Hvornår er der tale om en sårbarhed/ulovlighed?
og fuck igen, hvad er /det/ som jeg kunne finde? I Danmark har vi allerede dømt JT i CSC hackersagen for at overdrage brugernavne til en anden som forsøgte at bryde ind, uden at det lykkedes. Så hvis jeg poster at KMD har en Juniper SRX550 stående med SNMP stående åbent ud til internet, er jeg så allerede på vildspor - selvom dette resultat er fundet via Shodan. Shodan er en kendt søgemaskine, som scanner efter åbne services, så jeg har ikke SELV verificeret at denne SNMP står åben.
Shodan søgningen er forøvrigt, net:131.165.0.0/16 port:"161"
som finder Juniper Networks, Inc. srx550 internet router, kernel JUNOS 12.1X46-D40.2 #0: 2015-09-26 02:25:28 UTC builder@greteth.juniper.net:/volume/build/junos/12.1/service/12.1X46-D40.2/obj-octeon/junos/bsd/kernels/JSRXNLE/kernel Build date: 2015-09-26 04:44:
på 131.165.14.1 som er "mail.akkc.dk". Dvs det er nok en firewall foran en mailløsning. Juniper recommended version er BTW for SRX550 platformen Junos 12.3X48-D40 Standard 11 Jan 2017 :-)
Sidebar: brug altid fuld disk kryptering på din Kali, selvom du kun bruger åbne resourcer, kan du risikere at blive anklaget for dette og hint, så bedre at være på den sikre side - så bestemmer du selv hvad beviser du tillader at åbne for.
Mit råd fremover vil således være at gå direkte til DR.dk, direkte til Veron.dk, direkte til medierne. Sørg for at de er med indover og kan dokumentere kontakten med IT-firmaer som KMD. Datatilsynet er ikke til megen hjælp og en sag med GDPR lovgivning bliver efter min mening for langsom og rettet mod de forkerte, her Frb kommune tror jeg.
Så ja, det bliver anarki, men er det ikke allerede kaos med de allerede dømte og tunge elefanter som KMD og CSC?
fuck fuck fuck, er det den /radikalisering/ vi ønsker? Jeg er veluddannet IT-mand, sikkerhedsmand, med en hvis jeg selv skal sige det høj moral og etisk kompas i den rigtige retning. Ville det virke bedre med åbenhed om sårbarheder, et miljø i Danmark der opfordrede til at melde ind fornuftigt? Har KMD egentlig en lettilgængelig email hvor man kan sende den slags ind?
Microsoft som jeg ellers ynder at hade på, de fik op igennem årene mere styr på sikker software udvikling, og mange andre har styr på bug bounty programmer. Så er vi bare på et mellemstadie hvor KMD og andre mangler at lave catch up og indse hvilke resourcer der gerne vil HJÆLPE? Dvs Esben, Henrik Høyer, mig og andre - vi VIL gerne hjælpe, men så giv os lov, uden at vi risikerer fængsel og bankerot. Sidebar: version2 burde tage en snak med JT og lave en artikel om de omkostninger det har haft at være varetægtsfængslet i 17 mdr samt gå glip af indtægt både i de måneder, og nu her efter - hvor plettet straffeattest giver ringere indtægtsmuligheder.
Jeg vil gerne arbejde konstruktivt med IT-firmaer omkring sikkerheden i Danmark, men det kræver at jeg ikke risikerer både trusler, og rent faktisk skødesløse domme som JT og Warg sagerne. Punktum.
Vi er fandme på vildspor nu, og jeg håber at politiet nu efter kort tid sørger for at lægge denne sag i graven, straks, nu, med det samme.
Problemer for KMD nu - shitstorm 101
Det her er en regulær shitstorm, og velfortjent.
Vi har her at gøre med et firma som skulle være et af de store professionelle huse som viser sig fra sin værste side. KMD er nu igang med PR håndtering af sagen, og det går ikke skide godt, på almindeligt dansk.
Jeg kan kun sige at indtil den dag der eventuelt falder dom, hvor Esben risikerer at blive dømt - så kan vi fint viske tavlen ren. Vi kan alle lave fejl, og jeg ser gerne KMD indrømme dette. Det er ikke for sent.
Til gengæld så vil skaden være sket hvis Esben dømmes ... skaden som vil ramme os allesammen.
Til dem som sidder i KMD og synes jeg taler hårdt, så må jeg beklage. I gør sikkert jeres bedste, men indimellem skal man lade tingene brænde, skuden synke, for at kunne genopbygge noget bedre. Hella Djøf Disruption.
ca 12:00 Småfejl rettet, Sodan/Shodan og lignende
