Flere eksperter Version2 har talt med forstår simpelthen ikke, hvordan CSC kunne have en server stående, som ikke var krypteret.
»En intern server bør være krypteret. Især hvis den ligger inde med følsomme oplysninger,« siger Lars Ramkilde Knudsen, forsker i kryptologi og sikkerhed ved DTU Compute.
»Kryptering er ikke nogen ny opfindelse, og hvis det passer, at CSC ikke havde krypteret sin FTP-server, er det simpelthen både for dumt og for dårligt,« siger han til Version2.
CSC besidder en stor mængde data om danskerne, og Lars Ramkilde Knudsen finder det bestemt ikke betryggende, hvis virksomheden ikke har mere styr på sikkerheden.
»Desværre er det sådan mange steder i det danske system. Vi stoler på hinanden og tror ikke, det er nødvendigt at kryptere. Men det er det,« siger han.
Samme reaktion kommer fra Version2-blogger og it-specialist Poul-Henning Kamp, efter vi i går her på sitet kunne bringe en artikel om, hvordan døren stod vidt åben til en uktypteret FTP-server hos CSC, hvor blandt andet kildekoden til Polsag lå frit fremme.
»Det er dybt kritisabelt. Det koster altså ikke meget at sætte en Linux-maskine op, som kan kryptere FTP’en. Det skal der bare være styr på.«
Sikkerhedshullet blev i 2011 opdaget af Anders Jensen, der i sin tid var medarbejder i en virksomhed, der har adgang til CPR-udtræk fra CSC, og selvom han straks alarmerede CSC, måtte der gå et år og endnu en henvendelse, før hullet blev lukket.
Poul-Henning Kamp, der ligesom Version2 har været i kontakt med Anders Jensen mener ikke, at der er nogen undskyldninger for, at CSC ikke havde krypteret sin FTP-server.
Ifølge Poul-Henning Kamp giver det indtryk af en virksomhed, der ikke tager sikkerheden seriøst. Ikke mindst fordi alt tyder på, at CSC ikke reagerede på Anders Jensens advarsler, før der var gået op mod et år.
Samme indtryk fik en kollega til Anders Jensen, der ved et tilfælde havnede i CSC-serveren.
»Da Anders kontaktede CSC, blev han sendt rundt mellem flere forskellige medarbejdere. De lovede til sidst at lukke hullet, men det virkede som om, de ikke tog det alvorligt,« siger Mads Thomsen, der i sin tid sad på kontor med Anders Jensen. Ingen af de to arbejder længere i den pågældende virksomhed.
Under alle omstændigheder er det dybt kritisabelt, at CSC ikke reagerer på henvendelsen med det samme og får hullet lukket, mener Poul-Henning Kamp. Det glæder ham dog, at der endelig er én, der tør at stå frem med en sag som denne.
»Jeg har hørt om flere af den slags sager blandt folk derude, men denne er unik, fordi der endelig er én, der tør stå frem. Nu kan vi bare håbe, at Datatilsynet reagerer. Noget tyder på, at der er en generel, ligegyldig holdning hos CSC, som ikke mener, at der skal komme nogen og banke på deres dør. De kører løbet selv,« siger han
Også internetaktivisten Torben Andersen fik i 2013 adgang til flere ubeskyttede FTP-servere hos CSC ved hjælp af det gratis værktøj ShodanHQ – uden at anvende hverken brugernavn eller password. Der lå data som alle i princippet kunne få adgang til.
På reddit.com skriver han tirsdag i kølvandet på den nye sag, at han ligeledes forsøgte at trænge i gennem til CSC for at fortælle om de pivåbne servere, han havde fundet.
»Men jeg blev kastet rundt i deres system i flere timer. Det var som om, at de ikke fattede alvoren,« skriver han.
Ifølge Anders Jensen har CSC sidenhen ændret sit system, så det er bedre beskyttet.
Også i dag har Version2 forgæves forsøgt at få kommentarer fra CSC – både i forhold til denne sag og for at høre, hvorvidt de efterfølgende har rettet op på sikkerheden.
Leave a Reply