»Centrale dele af det danske CPR-system er fosset ud«

I går faldt der dom i en svensk hackersag, der har tråde til angrebet på CSC herhjemme. Både bagmand og fremgangsmåde menes at være identisk. Ifølge eksperter understreger det CSCs manglende sikkerhed.

Foto: Dennis Lehmann
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

Sikkerhedseksperter tager sig fortsat til hovedet over, hvordan det kunne lykkes den svenske mesterhacker Gottfrid Svartholm Warg sammen med sine hjælpere at infiltrere servere i Danmark og Sverige og downloade enorme mængder fortrolige oplysninger.

Det, der begyndte med, at en kunde hos IT-virksomheden Logica, der ligesom CSC i Danmark opbevarer data for både virksomheder og staten, opdagede unormal datatrafik, har nu udviklet sig til at være den største hackersag i Skandinavien nogensinde.

I går blev der sat et foreløbigt punktum – eller nærmere en tankestreg – i sagen, da Gottfrid Svartholm Warg og en medtiltalt ved byretten i Nacka i Sverige blev idømt fængselsstraffe på henholdsvis to og et år for at have hacket IT-virksomheden Logica i Sverige og downloadet store dele af den svenske persondatabase og databaser tilhørende Logicas kunder.

Selvsamme Warg ønskes samtidig udleveret til Danmark, fordi han menes at være manden bag det omfattende angreb mod CSC i Valby, hvor bl.a. CPR-oplysninger om samtlige danskere med kørekort er blevet stjålet. Og ligheden mellem angrebene i Sverige og Danmark stopper ikke ved gerningsmanden.

Computersystemerne, som Logica og CSC bruger, er identiske, og i begge tilfælde har Gottfrid Svartholm Warg, der under hele forløbet har befundet sig i Cambodja på flugt fra en tidligere fængselsdom, fået hjælp af medsammensvorne i Danmark og Sverige. Både den svenske anklager og flere danske IT-sikkerhedseksperter bekræfter over for Berlingske, at angrebene er sammenlignelige, hvilket giver et hidtil uset overblik over, hvad der egentlig foregik hos CSC fra april til august 2012, hvor hackerne havde adgang til IT-systemerne.

»Eklatant sjusk«

»Der er et klokkeklart overlap mellem sagerne. Helt konkret er de i begge tilfælde gået efter computere med sårbarheder, hvor de så har fået brugeradgang. Inde i systemet har de så kunnet opgradere sig selv til andre sikkerhedsniveauer, og på den måde tiltvunget sig yderligere adgang,« forklarer Peter Kruse, partner og sikkerhedskonsulent i IT-sikkerhedsfirmaet CSIS, der via samarbejde med dansk og svensk politi under opklaringen af sagerne har indgående viden om de to forløb.

Han undrer sig over, at hackernes rumsteren i systemerne på intet tidspunkt er blevet opdaget af hverken Logica eller CSC.»Lige ud af posen så synes jeg, at det vidner om eklatant sjusk, at man ikke har overvåget de her systemer bedre. Vi taler altså om, at der er fosset gigabyte af data ud, uden at man har taget notits af det,« siger Peter Kruse.

Han bliver bakket op af Joseph Kiniry, professor ved DTU Compute, der selv har mere end 20 års erfaring som hacker.

»Ærligt talt så overrasker det mig, at der skulle en tilfældig begivenhed i Sverige til at gøre Logica opmærksom på, at deres system var blevet kompromitteret. Det fortæller mig, at de ikke har fulgt den bedste praksis, når det kommer til at sikre deres system. Og at CSC ikke engang opdagede, at de var blevet angrebet, det er bare endnu værre,« siger han.

Manglende overvågning

Ifølge de to eksperter findes der metoder til at opdage, hvis der opstår ændringer i systemer af den type, som CSC benytter sig af. Bl.a. kan man tage et »fingeraftryk« af, hvordan systemet skal se ud. Hver nat, når der ikke er så meget dataaktivitet, kan man så sammenligne det digitale fingeraftryk af systemet med virkeligeheden for at kontrollere, om der er sket ulovlige ændringer i løbet af dagen – f.eks om der er blevet oprettet nye brugerkonti, og om der er konti, der har fået flere rettigheder.

»Hvis de havde haft en ordentlig opsætning, så havde de opdaget den første aften, at der var sket et angreb. Det er altså ikke raketvidenskab. De burde gøre det. Det virker som om, de har gjort en minimal indsats, for at forhindre den her slags angreb,« siger Joseph Kiniry.

At det har været muligt ubemærket at downloade så store mængder data, som tilfældet er, undrer også de to eksperter.

»Der har været noget rivende galt. Der er nogen hos CSC, som sidder med nogle meget røde ører, og som skylder en forklaring,« siger Peter Kruse.Men kan de ikke være lovligt undskyldt, fordi der trods alt må formodes at være en ret stor trafik hos CSC?»Af samme årsag bør de også tage opgaven mere seriøst. Hvis man ikke kan kapere det, så kan det være, at man ikke skal påtage sig opgaven i første omgang. Hør her, vi taler om, at der er centrale dele af det danske CPR-system, som er fosset ud – og oven i købet til udenlandske IP-adresser. Hvor sandsynligt er det, at det er en legitim forbindelse? Den trafik burde man simpelthen opdage, uanset hvor meget man mener, man skal overvåge,« siger Peter Kruse.

Hos CSC afviser man blankt kritikken.

Det har ikke været muligt at tale med CSCs nordiske direktør, Lars Schmidt, men i et skriftligt svar til Berlingske fortæller han, at »når man udsættes for et angreb af det omfang, der er tale om her, sættes alt ind for at undersøge, hvordan det er sket – og hvordan vi sikrer, at det ikke sker igen.«

Han understreger, at CSC samarbejder med Rigspolitet og internationale sikkerhedseksperter om opklaringen og håndteringen af sagen.