Aver og Lauritzen svarer Torben Andersen

Aflyttet modtog i denne uge, et whitepaper fra ‘aktivist’ Torben Andersen. Det handlede om firmaet Ganglions (aka Aver og Lauritzen) datasikkerhed, som han stillede en række spørgsmål til.
Vi sendte papiret videre til ganglion og inviterede dem i studiet, hvilket de ikke ønskede. Vi lovede dem at læse eventuelle kommentarer op i radioen, men da den fremsendte er SÅ omfattende og lang og fyldt med links og ikke giver mening som oplæst, har vi valgt kun at læse dele af den op, og lægge resten her til læsning og dokumentation

Hermed orginalt fremsendt dokument fra Poul Aver, CEO, HD.O., speciallæge almen og intern medicin, Aver og Lauritzen:

Baggrund om Aver & Lauritzen og programmet GANGLION
Hvem er Aver & Lauritzen, som er blevet angrebet så grundigt?
Læge- og ingeniørfirma som primært udvikler programmer til sundhedssektoren.
Programmerne er let anvendelige med arbejdsgange, der tager udgangspunkt i lægens
hverdag – fordi vi med vores mangeårige lægefaglige baggrund og erfaringer kender den
bedre end de fleste.
Vi har et anderledes og rigtig godt program, hvor det lægefaglige vejer tungt og teknikken er
på plads. Vi har eksisteret i mange år, og har teknisk og fagligt været i front, hvilket fremgår
af mange offentlige certificeringer, bl.a. vedrørende FMK og DDV.
Nu er Aver & Lauritzen så også de første i branchen, der har været udsat for en omfattende
stresstest af landets hackere og vi ser ud til at have bestået. Tænk på hvilke organisationer
der ikke har bestået – Forsvaret, TDC/YouSee osv.
Selv om vi har bestået uden lækage af patientdata, så vil hverken vi eller andre
organisationer kunne sikre os 100 % mod denne kriminalitet. Skal vi sikre os 100 %
hæmmes produktionen i høj grad – det er for dyrt – og i stedet bør man tage fløjlshandskerne
af og indse hvilke type mennesker man har med at gøre, og sikre at disse kriminelle
handlinger har så stor konsekvens, at det holder de kriminelle tilbage.
Konsekvenser:
Kommentar til rapporten.
Baggrund:
Der har gennem de sidste par år gået vedvarende rygter om at GangLion / Gangweb har været sårbar for hackerangreb. Rygterne har floreret både i black, grey- og whitehat miljøer. Her er et screenshot fra internetportalen Reddit, der viser at en bruger på Reddit for allerede to år siden havde hørt rygter om at der skulle være huller i systemet:
Brugeren “fosterbuster” dementerer i en anden tråd, at vedkommende selv har været inde og kigge og/eller downloade indhold fra databasen.
Link til to år gammel tråd på Reddit: https://www.reddit.com/r/Denmark/comments/2vr9nv/kender_i_til_hidtil_ukendte_historier_o m_danske/
Denne rapport er udfærdiget forholdsvist hurtigt, og indeholder de sårbarheder der er fundet i GangWeb / GangLion med afsæt i identifikation og udnyttelse af sikkerhedsmæssige svagheder, som kan gøre det muligt for en ekstern hacker at få uautoriseret adgang.
Der er procedurer, der bliver strammet op og udvikling som er fremskyndet. Bl.a. er
NemLogIn faset ind, en funktionalitet, som først ultimo marts er frigivet til brug hos
privatpraktiserende læger. Dette er en løsning, vi sammen branchen har kæmpet for at få
tilladelse til af myndighederne.

Metoderne der er benyttet tager afsæt i det adgangsniveau en generel internetbruger har til systemerne.
Grundet tidsmæssige udfordringer går vi ikke i dybden med alvorligheden af sårbarheden eller trusselsniveau for de enkelte sårbarheder.
AL: Der angives viden om sårbarhed igennem 2 år, det harmonerer ikke med stram tidsplan. Aver & Lauritzen kan på skærmdump se at hacking-forsøgene er startet tidligt.
Så mangel på tid synes ikke at være et relevant argument for ikke at vise et konkret indbrud.
AL: Øvrig viden som er nødvendig:
GANGLION er delt i en klinikdatabase og en borgernær database, sidste med tidsanmodninger, receptanmodninger og emailkonsultationer. Det er ikke klinikdatabasen, altså ikke de rigtige journaler som har været i fare for at blive hacket.
Vi har ikke konstateret datatab.
Type:
Mulig konfigurationsfejl Domæne: http://www.ganglion.dk
Url med mulig konfigurationsfejl: http://www.ganglion.dk/download/formularer/
Læk af informationer:
Ved at tilgå adressen er det muligt for lægmand at downloade skabeloner der normalt er forbeholdt læger. Det kan være tilsigtet, men når man tænker over hvad disse skabeloner kan bruges til i de forkerte hænder, kombineret med “social engineering”, vil en person med onde hensigter kunne skabe relativt store problemer for andre mennesker.
Der findes andre og bedre måder at lade sine kunder tilgå den slags data på, end at de ligger i en offentlig mappe på hoveddomænet for systemet.
AL: www.ganglion.dk indeholder alm. offentlige data og information.
På www.ganglion.dk/download/formularer/ ligger en samling af blanketter der er offentligt tilgængelige. Der er ikke noget hemmeligt indhold på den. Indholdet kan findes andre steder på nettet på samme måde, som man kan finde udkast til skøder, testamenter osv. Det betyder ikke, at man ved på egen hånd at udfylde en blanket, får rettighederne den omhandler – det ville være dokumentfalsk.
F.eks. fremhæves attesten ASK 220 med skærmdump af index – det er en arbejdsskadesattest og den findes let ved opslag på nettet, f.eks. udstillet af lægeforeningen https://laeger.dk/sites/default/files/certificates/03112202_ask_220_oeje.pdf

Generelt er det ikke hverken aktivisternes eller AL ́s opgave at censurere og bestemme hvad der må være på nettet af lovligt indhold.
Type:
Konfigurationsfejl Domæne:
Ganglion.dk / Gangweb.dk Manglende SSL:
Der har i lang tid ikke været SSL installeret på serversiden, hvilket Aver & Lauritzen efter sigende skulle have rettet op på. SSL certifikatet er dog ikke globalt på domænerne, hvilket betyder at man stadig kan tilgå forskellige undersider på Ganglion / Gangweb hvor SSL ikke er implementeret.
AL: klinikkernes hjemmesider er i mange tilfælde redirigeret fra klinikkens eget domain, disse domains er normalt ikke beskyttet af de relativt omkostningstunge certifikater, men de indeholder heller ikke personfølsomme oplysninger – kort sagt er de almindelige hjemmesider. Når der indtastes patientfølsomme data, så sker det i en framet version af GangWeb eller den nyere P-boks. Her er der til gengæld SSL og det har der været siden tidernes morgen.
Datatilsynet har udtalt sig om teknikken og afvist at der skulle være noget galt, pudsigt nok er der artikel herom i version2, den 27.4.2017 “Datatilsynet afviser anmeldelse af manglende https på læge-hjemmeside … “ link.
Vi må konstatere at rapportskriverne ikke er enige i Datatilsynets vurdering.
Type:
Konfigurationsfejl / potentiel sårbarhed Kodeord gemmes i klartekst i cookies:
Når en bruger logger ind, gemmes brugernavn samt ukrypteret password i Cookies, hvilket kan føre til kompromittering af loginoplysninger igennem et Man-In-The-Middle angreb på netværket eller via XSS-sårbarheder.
AL: Henviser til Datatilsynets vurdering, jvf. ovenfor.
Type:
SQLi
Domæne: https://gangweb.ganglion.dk/ Trussel: Høj

Den alvorligste brist der er fundet i systemet er en SQL fejl, der har gjort det muligt for uvedkommende at få adgang til hele databasen der vedrører GangWeb og potentielt downloade det hele.
Der går rygter i undergrunds-hackermiljøer, at databasen er downloadet flere gange, senest for blot en måned siden.
Denne sårbarhed kan ikke valideres i denne rapport ved hjælp af screenshots, men den har med sikkerhed været der bekræfter flere kilder.
AL: Der er ikke fremført beviser, men på baggrund af rygtet lukkede vi øjeblikkeligt siden. Vi står alligevel klar med en ny og med moderne login via NemLogIn, efter at den blev frigivet til brug for primær sundhedssektor ultimo marts 2017.
FEJL PÅ ANDRE DOMÆNER / PORTALER DER VEDRØRER GANGLION
AL: Caresolutions.dk og netklinik.dk
Disse domainer indeholder ikke personfølsomme data og skal derfor ikke nødvendigvis beskyttes på samme niveau.
Dette er en administrationsside. Kundelister i vores branche er offentlige og vedligeholdes af Sundhedsstyrelsen (SOR).
Men vi vil dog naturligvis ikke have at folk med kriminelle hensigter kan komme til og øger derfor sikkerheden.
Cure4You
Der er også fundet SQL sårbarhed på domænet https://www.cure4you.eu/admin/login Denne sårbarhed giver også adgang til hele databasen.
Dette er ikke verificeret med screenshot, men af flere forskellige personer.
Om SQL sårbarheden stadig er der i skrivende stund, vides ikke.
AL: denne side tilhører et andet og stort firma i branchen, EG A/S. Men vi kan IKKE forestille os at SQLi er muligt her. En påstand, som virker ubegrundet og uden beviser.
Andre portaler:
Her følger et udsnit af anonyme beskeder om sårbarheder på andre sider / portaler der vedrører GangWeb / Ganglion.
Omstillingsbordet.dk:
Beskeder modtaget fra anonym
“Omstillingsbordet.dk er deres telefonsystem til lægerne. Det er der også fri adgang til”
“Alt support, oprettelse og administration af alle lægehusene ligger derinde. Kunne se alle deres detaljer, slette dem, overtage deres telefoner osv”
UKENDT PORTAL:
Grundet de sidste dages travlhed, har det været svært at holde fuldstændigt styr på hvad der er op og ned i forhold til hvilke domæner og portaler der er sårbarheder her, men her følger kopier af nogle private beskeder modtaget vedrørende oplysninger der har ligget frit fremme. Disse kan desværre ikke verificeres med screenshots, men de er sendt fra anonyme folk der før har givet detaljerede informationer om sårbarheder i systemer, hvor der altid har været en succesrate på 100%, i oplysningerne modtaget fra dem.
Hvilke portaler / adresser disse beskeder omhandler ved jeg ikke, og da det ikke er muligt at få fat i personerne igen ad samme krypterede kanal, kan jeg desværre ikke kaste mere lys over det, men det er stadig foruroligende:
“de individuelle url til alle de forskellige lægers adgang til gangweb og kodeord plus brugernavn ligger og flyder derinde”
“Og der er TeamViewer og VPN oplysninger til at tilgå de fleste lægehuses servere ”
AL: de massive hackerangreb resulterede i et indbrud på en af vore administrationsservere. Det understreges, at oplysningerne her er en delmængde af, hvad der skal til for at tilgå klinikkerne = samtlige oplysninger ligger ikke på én server, så man skal vide mere. Et led i vores sikkerhed er, at man ikke ved centralt indbrud kan få generel adgang til klinikkerne.

———