UTGÅTT: Programvaren bak nettsiden for Nasjonal sikkerhetsmåned har ikke vært oppdatert på tre år. (Bilde: Jørgen Skjelsbæk)
UTGÅTT: Programvaren bak nettsiden for Nasjonal sikkerhetsmåned har ikke vært oppdatert på tre år. (Bilde: Skjermbilde)

Sikkerhetsflause for Norsis:
Tre år uten oppdatering

  • IT

Norsis

  • Norsk senter for informasjonssikring
  • Primæroppgaven er å drive forebyggende virksomhet og holdningsskapende arbeid på datasikkerhet.
  • Delfinansiert av staten.
  • Holder til på Gjøvik.
  • Oktober er den nasjonale sikkerhetsmånden for å skape oppmerksomhet om behovet for hele tiden å sikre dataverktøyet vårt.
  • Tips og råd er samlet på nettsiden sikkert.no.


Inspirert av USA har Norsk senter for informasjonssikring (Norsis) lansert oktober som Nasjonal Sikkerhetsmåned .

På nettsiden sikkert.no får du tips og råd om hvordan du sørger for å holde inntrengere ute fra datamaskinen.

Toppen av forsiden er prydet med it-minister Rigmor Aasrud, som anbefaler "Hold alle programmer oppdatert. Alltid!"

Utdatert

En student ved NTNU har på eget initiativ sjekket sikkerheten på denne nettsiden, samt Norsis' egen hjemmeside.

Konklusjonen er nedslående.

– Web-serverne som kjører begge disse sidene har ikke vært oppgradert på tre år. Både Windows-versjonen, Apache-versjonen, PHP-versjonen, Tomcat-versjonen og OpenSSL-versjonen som er installert på disse serverne er utdaterte. Samtlige har opptil flere kjente sikkerhetshull som en angriper kan utnytte, skriver studenten i en e-post til Teknisk Ukeblad.

Han ønsker ikke å stå frem med navn.

Les også: Her starter datainnbruddet





Små ressurser

De fleste sikkerhetshullene er såkalte DoS-hull. DoS står for denial of service, på norsk tjenestenekt.

Mest utbredt er såkalte distribuerte tjenestenektangrep (DDoS-angrep), der noen tar kontroll over et stort antall pc-er og bruker dem til å kjøre så store oppslag mot en nettside at serveren stopper opp.

Nærkontakt med hackerne

Hos Norsis skal det ikke et så stort apparat til for å gjøre skade.

– Ved et DDoS-angrep trenger man veldig mange datamaskiner for å ta ned en server. I dette tilfellet med DoD-hull vil det være nok med én eneste datamaskin for å ta ned serveren. Som følge av sikkerhetshull i programvaren kan man for eksempel lure serveren til å bruke opp all RAM og krasje, forklarer studenten.

Ny Stuxnet-trussel





Nybegynnerfeil

Programmet som håndterer innholdet på nettsidene er også utgått på dato.

Betegnelsen er Content Management System (CMS), og her benyttes en versjon med åpen kildekode, Open CMS, som er konfigurert på en måte som studenten mener er preget av nybegynnerfeil.

– Med enkle og lovlige grep kan man hente ut informasjon som for en dyktig angriper gir tilgang til innloggingsinformasjon. sier NTNU-studenten.

Teknisk Ukeblad velger ikke å oppgi detaljene i denne fremgangsmåten.









Legger seg flat

Norsis bekrefter situasjonen.

– Vi har tjenester som er satt ut til en ekstern leverandør, og her har vi tydelige krav om at alt skal oppdateres. Denne leverandøren har ikke gjort jobben sin, forklarer seniorrådgiver Christian Meyer. Dette er en mindre bedrift på Gjøvik, der Norsis holder til.

– Vi har tjenester som er satt ut til en ekstern leverandør, og her har vi tydelige krav om at alt skal oppdateres. Denne leverandøren har ikke gjort jobben sin, forklarer seniorrådgiver Christian Meyer. Dette er en mindre bedrift på Gjøvik, der Norsis holder til. GLEMT: Seniorrådgiver hos Norsis forklarer at en dataleverandør glemte å oppdatere webserverne - i tre år. (Foto: Espen Zachariassen) Espen Zachariassen





Satt utenfor

Ifølge Meyer var det ekstra tjenester knyttet til nettsidene som gjorde at leverandøren valgte å sette webserverne utenfor de automatiske oppdateringsrutinene, slik at de dermed ble uteglemt. Dette er nå rettet opp, etter at NTNU-studenten tok kontakt med Norsis.





Ingen analyser

– Hvordan kan det oppstå et slikt etterslep i oppdateringer hos den virksomheten som er satt til å drive forebyggende virksomhet og holdningsskapende arbeid innen datasikkerhet?

– Vi må ta på vår kappe at vi ikke har gjort denne typen sårbarhetsanalyser for å sjekke at leverandøren har gjort jobben sin. Det blir vel litt som skomakerens barn, sier Meyer.

Les også: Samler proffene for å stanse ID-tyveri





Intet å skjule

– Samtidig er det viktig å si at vår organisasjon driver med åpen informasjon. Vi har ikke spesielle bedriftshemmeligheter å skjule. Nivået på sikkerheten må sees i forhold til hva man driver med. Og sårbarhetene gjaldt webserverne. Vår interne informasjon kjøres på servere som oppdateres automatisk, påpeker seniorrådgiveren.





Skjerper rutiner

Nå har virksomheten lagt om rutinene.

– Heretter blir det faste halvårlige statusmøter med leverandøren hvor de må dokumentere at de oppdaterer alle våre systemer, sier Christian Meyer.