Hackersagen: Ingen alarmer ringede hos CSC

Det månedlange hackerangreb mod it-leverandøren CSC udløste i måneder ikke en eneste alarm, forklarede sikkerhedschefen i dag i retten. Det kom også frem, at CSC selv havde lagt brugernavne på nettet.

Hackerne udnyttede ukendte huller hos CSC til at trænge ind i systemerne, forlød det i dag. (Foto: PAWEL KOPCZYNSKI/Scanpix)

Flere af de brugernavne, som blev anvendt ved angrebet mod CSC i 2012, lå dengang - og ligger fortsat - frit tilgængeligt på nettet.

Det blev her til eftermiddag diskuteret ved i Retten på Frederiksberg under afhøringen af CSC's sikkerhedshef, Martin Gohs, der, ganske usædvanligt, havde medbragt sin egen advokat. Han skulle forhindre, at der under afhøringen blev offentliggjort alt for nærgående detaljer om CSC's it-systemer.

Disse detaljer var dog allerede tidligere blevet fremlagt på storskærme i retssalen.

Gohs forklarede, at der hele vejen under hackerangrebet ikke var gået en eneste alarm hos CSC, der i perioden fra april 2012 til august samme år blev tappet for 19 gigabyte data. Det var data med blandt andet danskernes CPR-numre, navne og adresser, som blev hentet ned til servere i Iran, Cambodja og Tyskland.

Zero-days

CSC-chefen forklarede detaljeret om, hvordan angriberne var gået efter en svaghed i CSC's systemer, som de fik til at reagere på en række kommandoer, systemerne ikke skulle have reageret på - en såkaldt zero day-sårbarhed, kun hackerne på daværende tidspunkt kendte til.

Det var kommandoer, der til sidst gav hackerne adgang til at komme ind i CSC's systemer, hvor de straks etablerede yderligere to bagdøre, der forblev åbne, indtil CSC lukkede dem i begyndelsen af marts 2013. Altså næsten et år efter at hackerne begyndte at afsøge CSCs systemer for sårbarheder, og mere end et halvt år efter, at svensk politi første gang advarede dansk politi om et muligt angreb.

Leverandøren af CSC's mainframe, IBM, havde allerede to måneder forinden, den 19. december, frigivet en kritisk rettelse til hullet, som CSC først installerede efter at politiet havde henvendt sig i slutningen af februar.

Meget aktivitet fra Cambodja

- Vi kunne se, at der havde været aktivitet fra Cambodja og også fra Tyskland. Måden, det var sket på, var usædvanlig i forhold til det, vi normalt ser. Det var usædvanligt, fordi forespørgslerne var meget lange og indeholdt meget data, for eksempel systemkommandoer, forklarede Martin Gohs om de efterfølgende undersøgelser af CSCs IT-systemer.

Ifølge Gohs havde hackerne med succes fået det til at se ud som om, de havde lov til at være der.

- Man har gjort en stor indsats for at passe ind i systemet - altså bevæge sig inden for de normale rammer, så man ikke udløste en alarm hos os, forklarede han.

Under afhøringen af Martin Gohs forklarede han flere gange, at det var CSC selv, og ikke politiet, der havde foretaget de tekniske undersøgelser af hackerangrebet.

Brugernavne lagt ud ved fejl

Martin Gohs forklarede desuden, at selskabet selv havde offentliggjort nogle af de brugernavne, der blev anvendt ved hackerangrebet. Det var sket ved en fejl i materiale, der lå tilgængeligt for CSCs kunder.

Afhøringen tog en underholdende drejning, da den medtiltalte 21-årige danskers forsvarer, Michael Juul Eriksen, kunne fremvise, hvordan han med ganske få klik kunne få adgang til en håndfuld data, som CSC ellers havde forsøgt at gemme på en lukket del af sin hjemmeside.

Via netarkivet The Wayback Machine, der gemmer gamle version af netsteder, kunne Eriksen let finde en udgave af en CSC-hjemmeside, hvor alle kunne se flere af de brugernavne, som blev brugt til hackerangrebet.

Kan stadig findes

Disse navne var offentligt tilgængelige i 2012 og indgår i en central chat mellem den 21-årige og den person, der formodes at have hacket CSC, og som politiet mener er svenske Gottfrid Svartholm Warg.

Brugernavnene må, påpegede Michael Juul Eriksen, fortsat betragtes som offentlige, eftersom at alle kan finde dem i The Wayback Machine. Navnene er dog ikke længere aktive.

Den 21-årige har tidligere forklaret, at brugernavne til CSC's systemer lå frit tilgængeligt på nettet.

Både den 21-årige og svenske Gottfrid Svartholm Warg nægter sig skyldige i sagen - sidstnævnte med henvisning til, at hans computer kan være blevet fjernstyret.

Facebook
Twitter