CPR-numre hacket. Hvordan blev det gjort?
Man hører meget om angrebet mod CSC og om de millioner af oplysninger, deriblandt CPR og CVR numre, der blev stjålet.
Først vil jeg gerne gøre klart, at jeg aldrig har fattet, at man gav CPR-numre så meget magt i Danmark. Systemet er forældet og supernemt at regne ud. Der er tale om det såkaldte modulus-11 princip, som vitterligt trænger til fornyelse!
Men hvad er der sket, lige præcis? Hvordan kunne en hacker få adgang til alle disse oplysninger?
Piraterne benyttede den samme fremgangsmåde, som da de skaffede sig adgang til en mainframe hos Logica (i 2010).
Det er fordelen ved standardiseringen: Når man først har fået hul igennem på en slags maskine på en måde, vil samme metode virke for alle de andre … indtil det eventuelle hul er patchet. Nogle “huller” kan være svære at patche, især da de befinder sig på mainframes: Der er trods alt ikke tale om en bærbar med Windows som liiiige kan patches.
Andre huller er yderst vanskelige at patche, da de berører selve hardwaren: Hardwarefejl i CPUen kan føre til, at man kan få adgang til en maskine, uanset hvilket styresystem denne er udstyret med. Den slags huller kan også findes på mainframes.
De mainframes, som bliver brugt af CSC, er IBM-Mainframes, som kører z/OS. Det, der skete, var, at piraten arbejdede langsomt men sikkert i en periode på et par år, og fik eskaleret sine rettigheder på mainframen lidt efter lidt, så han endte med at have adgang til alle systemer på mainframen.
I en mainframe kan man køre mange “virtuelle instanser” (altså lidt som om man kan køre flere computere på en gang, hver med sin administrator, m.m.), men det lykkede piraten at tiltvinge sig en sådan status, at han havde adgang til alle systemer på mainframen.
Det hele starter med FTP
Piraterne har åbenbart fået adgang til mainframen via en FTP-konto, ganske enkelt.
Derfra kunne de gå i gang med at forsøge at knække flere adgangskoder til systemet ved hjælp af værktøjet John the Ripper.
John the Ripper er et hackerværktøj, som forsøger at gætte kodeord ud fra hashværdier i en kodeordsfil (jeg omtaler den i hacker-lektionen 8 — Bliv root på Unix).
Der var åbenbart svage kodeord i administrationssystemerne, som var medvirkende til, at hackerne fik foden indenfor. Ja. Jeg ved godt, at det lyder yderst trivielt, men det er ikke desto mindre den, der virker hver gang: svage kodeord: fødselsdatoer, “admin123” eller andre af slagsen. Det nytter ikke rigtigt noget at have et sikkert system, hvis man beskytter det med svagt password.
Når piraterne først havde fat i de svage kodeord og adgang til noget af systemet, kunne de benytte sig af svagheder i styresystemet til, lidt efter lidt, at eskalere deres rettigheder og dermed få adgang til hele mainframen.
Når det var gjort, var det bare om at installere forskellige scripts på systemet, som giver hackerne fri adgang og derfra forsøge at styre den. Så langt nåede de ikke, men det var kun et spørgsmål om tid før den skade, der kunne være sket kunne blive en ren katastroffe.
Samme angrebsform blev benyttet mod Logica i Sverige i 2010 og, siden alle disse mainframes benytter samme systemer, er det ikke til at vide, om andre systemer, i andre lande, også er ramt eller under angreb lige p.t.
Formålet med angrebet mod Logica var rimelig ligetil: Forsøg på røveri. Det er lidt uklart, hvad formålet med angrebet på CSC dog var. Politisk? For “sjov”? Forsøg på phishing eller storstillet røveri? Forsøg på “fire sale attack”(1) med afpresning som formål? Måske får vi forklaringen på et tidspunkt.
Chill
(1) Fire sale er oprindeligt et stort udsalg i butikker som lukker pga at de går ned — lige som efter en ildebrand, hvor varer blev beskadiget og derfor sælges billigere. “Everything has to go” kunne være mottoet.
I cyberverden er en fire sale et teoretisk princip om, hvordan man sætter et land på knæ ved at bruge et cyberangreb. En Fire Sale er i tre stadier:
1. Transportsystemer paralyseres: lyskurver, jernbaner, metroer, lufthavne, m.m..
2. Finanssystemer paralyseres: børsen, banken, finansielle data, m.m.
3. Landets livsnødvendigheder paralyseres: gas, vand, elektricitet, satelitter, og al anden form for kommunikation.
Fire Sale er et begreb, som blev mere kendt ved hjælp af filmen Die Hard 4 med Bruce Willis.