Center for Cybersikkerhed efter sen Shellshock-advarsel: »Ikke vores opgave at informere bredt om nye sårbarheder«

October 3, 2014 by admin · Leave a comment

Danske myndigheder nøler med at melde ud om alvorlige sårbarheder i udbredte it-systemer.

Hos den statslige varslingstjeneste for internettrusler, GovCert, der hører under Center for Cybersikkerhed, advarer man først om sårbarheder, når nogen forsøger at udnytte dem.

Virksomheder og borgere har selv ansvar for at holde sig orienterede, lyder meldingen.

Seneste eksempel er den berygtede Shellshock-sårbarhed, hvor GovCert først reagerede flere dage efter lignende sikkerhedstjenester i andre lande.

»Vi er ikke en organisation, der går ud og råber ulven kommer, før vi har set ulven. Det var ikke fordi, der manglede offentlighed om den her sårbarhed,« siger chefen for Center for Cybersikkerhed, Thomas Lund-Sørensen, til Version2.

Da nyheden om den alvorlige Shellshock-sårbarhed i Unix-lignende systemer kom offentligt frem onsdag den 24., var blandt andet den statslige amerikanske varslingstjeneste USCert ude og advare mod buggen den samme dag. Og både de amerikanske og engelske varslingstjenester kom efterfølgende med løbende opdateringer over, hvordan man som bruger skulle forholde sig til sårbarheden.

Læs også: Shellshock: Linux- og Mac-systemer ramt af omfattende og alvorlig sårbarhed

Fra de danske myndigheder var der anderledes stille. GovCert advarede således først de driftsansvarlige for den kritiske it-infrastruktur i Danmark om sårbarheden en dag senere, torsdag den 25. september. Offentligheden fik først besked efter endnu en dag, fredag den 26. september.

Siden har der været tavst fra GovCert, selvom det så sent som lørdag den 27. september lykkedes for it-sikkerhedseksperten Peter Kruse at finde sårbarheder i statslige it-systemer på mainframes hos både IBM og CSC.

Læs også: Shellshock: Statsligt it-system stod pivåbent efter advarsler

Begrundelsen for de sene meldinger er ifølge Center for Cybersikkerhed, at det først venter med at give besked, til der er nogen, som forsøger at udnytte sårbarheden eller scanne efter sårbare systemer. Og det skete først dagen efter lyder meldingen.

»Det ligger ikke inden for vores opgave at informere bredt om nye sårbarheder. Vi varsler, når der er tale om noget, som der ikke er offentlig opmærksomhed omkring, og som kan ramme især den offentlige sektor bredt. Og det, vi bidrager med, er for eksempel, at vi kan se, at der er nogen, der forsøger at scanne efter sårbarhederne,« siger Thomas Lund-Sørensen.

»Center for Cybersikkerhed har været for langsomme«

Selvom GovCert ikke varsler om alle sårbarheder, så burde man have været hurtigere på aftrækkeren, når det gjaldt Shellshock, lyder det fra postdoc på DTU og it-sikkerhedsekspert Luke Thomas Herbert

Trusselsniveauet for Shellshock er blevet vurderet til 10/10 af den amerikanske database over sårbarheder, NVD, som blandt andet er varetaget af det statslige USCert. Og det burde Center for Cybersikkerhed have kunnet gennemskue ifølge Luke Thomas Herbert:

»Der burde ikke gå mere end et kvarter, fra du hører om Shellshock til du har en klar idé om, at det kan angribes. Og med en generel viden burde du øjeblikkelig have set, at det er stort, og de her shells kan udnyttes,« siger han og fortsætter:

»Den her gang har Center for Cybersikkerhed været for langsomme.«

Version2’s blogger Poul-Henning Kamp har også kritiseret GovCerts handlemåde i et blogindlæg:

Den korrekte og ansvarlige handling havde været, hvis GovCert, så snart de havde verificeret, at bash vitterlig var en åben ladeport, sendte en broadcast til alt og alle i offentlig IT, der lød:
»Så lukker vi alt offentlig IT med hemmelige eller personhenførbare oplysninger. I må åbne igen, når I har overbevist os om, at I har lukket alle eventuelle huller i denne kontekst.«

Læs også: Offentlig IT — endnu en nedsmeltning

Dette afviser chefen for Center for Cybersikkerhed dog blankt:

»Nej, det vil vi ikke sige. Det er i sidste ende op til hver enkelt myndighed at overveje, hvad man vil gøre i forhold til en given sårbarhed, og de systemafhængige risici der er forbundet med udnyttelsen af sårbarheden. Vi har derudover intet mandat til at pålægge dem noget i sådan en forbindelse og ser heller ikke noget behov for at få det,« siger Thomas Lund-Sørensen.

GovCert ventede også med at advare om Heartbleed

Det ikke første gang, at myndighederne venter med at advare om grelle it-sårbarheder. GovCert ventede også fire dage med at melde offentligt ud om den alvorlige Heartbleed-bug.

Læs også: Danske myndigheder forbigår historisk stor internettrussel i tavshed

Buggen blev offentligt kendt den 7. april i år og ramte tusindvis af servere gennem en fejl i open-source krypteringsbiblioteket OpenSSL. GovCert meldte først offentligt ud om sårbarheden den 11. april.

»Med Heartbleed-sårbarheden så vi fx ikke nogen scanninger på vores systemer, og derfor var vi tilbageholdende med at udtale os om den,« siger Thomas Lund-Sørensen og lægger ansvaret over på de enkelte virksomheder og myndigheder:

»Vi mener, at vi er kommet ud med det her til vores kunder i rette tid. Vi driver ikke it-sikkerhed for en virksomhed eller statslig myndighed – det gør de selv.«

Hos IT-Branchen lyder anbefalingen, at virksomhederne bør benytte sig af de mange private varslings- og sikkerhedstjenester, der er til rådighed for at holde sig opdateret og systemerne beskyttet.

Posted in computer.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>