Der gik en dag fra nyheden om den kritiske Shellshock-sårbarhed ramte offentligheden, til GovCert reagerede sendte en advarsel ud til de statslige it-leverandører om sikkerhedshullet.
Shellshock er blevet sammenlignet med Heartbleed-sårbarheden, en anden stor internettrussel, der dukkede op tidligere på året. Den nye sårbarhed er ifølge it-sikkerhedseksperten Peter Kruse fra CSIS så let at udnytte, at selv et 8-årigt barn, ville kunne finde ud af det.
»Det kan ikke gå hurtigt nok, når man har en sårbarhed af denne her kaliber og specielt en sårbarhed, som også rammer z/OS (IBM’s mainframe styresystem, red.), som jo er de mainframes, som vi allerede har masser af i Danmark. Det er på alle måder superkritisk, at der kommer information ud, så folk kan få patchet det i en fart,« siger Peter Kruse til Version2.
Nyheden om Shellshock blev kendt onsdag 24. september, men GovCert sendte først advarslen til statens leverandører torsdag 25. september, mens offentligheden fik besked på Center for Cybersikkerheds hjemmeside fredag 26. september.
»Vi meldte det ud torsdag. Vi reagerer ikke på andres meldinger om, at det er farligt. Der er altid noget, der er farligt. I stedet kigger vi på, om der rent faktisk er nogen, der forsøger at udnytte sårbarheden, før vi melder ud,« siger chefen for netsikkerhedsafdelingen i Center for Cybersikkerhed, Thomas Kristmar.
Shellshock-sårbarheden var dog allerede kendt i lukkede sikkerhedskredse meget tidligere ifølge Peter Kruse.
»Hvis GovCert havde de rette kanaler, ville de have vidst det allerede mandag i sidste uge (22. september, red.), og så skal man forberede en varsling til udsendelse, når den officielle advarsel er sendt ud. Jeg kan ikke se andet end, at de har siddet på hænderne,« siger han og fortsætter:
»To dage er simpelthen for længe i et internetmiljø, hvor vi har udadvendte systemer, som er sårbare.«
Sårbarheder blev patched for sent i statslige it-systemer
På trods af advarslerne om Shellshock, lykkedes det lørdag i sidste uge for Peter Kruse at finde sårbarheder i mainframes til statens it-drift fra leverandørerne IBM og CSC. Begge virksomheder havde ifølge sikkerhedseksperten ikke sikret deres systemer mod Shellshock-buggen.
GovCert holdt i første omgang tilbage på advarslerne, fordi Shellshock-hullet skulle være patched.
»Vi havde torsdag opfattelsen af, at patchen rettede sårbarheden. Det viste sig så, at det ikke var tilfældet. Derfor gjorde vi noget ekstra ud af at informere om det efterfølgende,« siger Thomas Kristmar, der dog ikke vil udtale sig om, hvilke konkrete virksomheder, som GovCert sendte advarslerne ud til.
»Vi er ikke myndigheders og virksomheders sikkerhedsleverandør. De har selv ansvar for at holde sig opdaterede.«
Advarer først, når det er gået galt
På Center for Cybersikkerheds hjemmeside står der, at »GovCERT medvirker til, at der i staten er overblik over trusler og sårbarheder i tjenester, netværk og systemer relateret til internettet.«
Alligevel oplyste GovCert først om sårbarheden i det øjeblik, den blev udnyttet.
»Torsdag kunne vi bekræfte, at der var nogle scanninger på sårbarheden, der gjorde, at vi sendte generelle varslinger ud til vores kunder. Vi har dog ikke set nogen succesfulde kompromitteringer.«
Hos Digitaliseringsstyrelsen, der har ansvar for en lang række offentlige it-tjenester, fik man allerede en varsling fra det private it-sikkerhedsvirksomhed CSIS sent onsdag aften og en varsling fra GovCert torsdag middag. Og på baggrund af disse varslinger tog styrelsen fat i leverandørerne for at høre, hvordan de var påvirket af sårbarheden, og hvilke foranstaltninger de havde truffet på den baggrund.
»Vi har været i kontakt med leverandørerne af alle de systemer, vi er ansvarlige for. Enten har der ikke været nogen problemer i forhold til den konkrete sårbarhed, eller også har leverandørerne installeret en patch, der lukker hullerne,« siger kontorchef i Digitaliseringsstyrelsen Cecile Christensen
Synes du ikke, det er sent først at få varslingerne fra Center for Cybersikkerhed torsdag, når sårbarheden, der er blevet sammenlignet med Heartbleed, har været bredt kendt siden onsdag eftermiddag, 24. september?
»Vi læner os op ad de vurderinger, Center for Cybersikkerhed kommer med, og vi har generelt tiltro til, at de advarer, når det er relevant. Du må tale med dem om tidspunktet for, hvornår de melder den slags ud,« siger hun.
Efter at have meldt ud om Shellshock-sårbarheden til statens leverandører torsdag, ventede GovCert endnu en dag med at oplyse offentligheden om sikkerhedshullet på Center for Cybersikkerheds hjemmeside.
»Vores fokus er på den kritiske infrastruktur. Borgere og små- og mellemstore virksomheder er ikke indenfor vores arbejdsområde,« siger Thomas Kristmar.
Det er ikke første gang, at danske myndigheder er blevet kritiseret for at tøve med at informere om store internettrusler.
Da Heartbleed-buggen blev opdaget i april i år, var der i starten heller ingen officielle meldinger om, hvad man som borger skulle foretage sig, og hvilke digitale tjenester, der var ramt.
Leave a Reply