Aver og Lauritzen svarer Torben Andersen

Aflyttet modtog i denne uge, et whitepaper fra ‘aktivist’ Torben Andersen. Det handlede om firmaet Ganglions (aka Aver og Lauritzen) datasikkerhed, som han stillede en række spørgsmål til.
Vi sendte papiret videre til ganglion og inviterede dem i studiet, hvilket de ikke ønskede. Vi lovede dem at læse eventuelle kommentarer op i radioen, men da den fremsendte er SÅ omfattende og lang og fyldt med links og ikke giver mening som oplæst, har vi valgt kun at læse dele af den op, og lægge resten her til læsning og dokumentation

Hermed orginalt fremsendt dokument fra Poul Aver, CEO, HD.O., speciallæge almen og intern medicin, Aver og Lauritzen:

Baggrund om Aver & Lauritzen og programmet GANGLION
Hvem er Aver & Lauritzen, som er blevet angrebet så grundigt?
Læge- og ingeniørfirma som primært udvikler programmer til sundhedssektoren.
Programmerne er let anvendelige med arbejdsgange, der tager udgangspunkt i lægens
hverdag – fordi vi med vores mangeårige lægefaglige baggrund og erfaringer kender den
bedre end de fleste.
Vi har et anderledes og rigtig godt program, hvor det lægefaglige vejer tungt og teknikken er
på plads. Vi har eksisteret i mange år, og har teknisk og fagligt været i front, hvilket fremgår
af mange offentlige certificeringer, bl.a. vedrørende FMK og DDV.
Nu er Aver & Lauritzen så også de første i branchen, der har været udsat for en omfattende
stresstest af landets hackere og vi ser ud til at have bestået. Tænk på hvilke organisationer
der ikke har bestået – Forsvaret, TDC/YouSee osv.
Selv om vi har bestået uden lækage af patientdata, så vil hverken vi eller andre
organisationer kunne sikre os 100 % mod denne kriminalitet. Skal vi sikre os 100 %
hæmmes produktionen i høj grad – det er for dyrt – og i stedet bør man tage fløjlshandskerne
af og indse hvilke type mennesker man har med at gøre, og sikre at disse kriminelle
handlinger har så stor konsekvens, at det holder de kriminelle tilbage.
Konsekvenser:
Kommentar til rapporten.
Baggrund:
Der har gennem de sidste par år gået vedvarende rygter om at GangLion / Gangweb har været sårbar for hackerangreb. Rygterne har floreret både i black, grey- og whitehat miljøer. Her er et screenshot fra internetportalen Reddit, der viser at en bruger på Reddit for allerede to år siden havde hørt rygter om at der skulle være huller i systemet:
Brugeren “fosterbuster” dementerer i en anden tråd, at vedkommende selv har været inde og kigge og/eller downloade indhold fra databasen.
Link til to år gammel tråd på Reddit: https://www.reddit.com/r/Denmark/comments/2vr9nv/kender_i_til_hidtil_ukendte_historier_o m_danske/
Denne rapport er udfærdiget forholdsvist hurtigt, og indeholder de sårbarheder der er fundet i GangWeb / GangLion med afsæt i identifikation og udnyttelse af sikkerhedsmæssige svagheder, som kan gøre det muligt for en ekstern hacker at få uautoriseret adgang.
Der er procedurer, der bliver strammet op og udvikling som er fremskyndet. Bl.a. er
NemLogIn faset ind, en funktionalitet, som først ultimo marts er frigivet til brug hos
privatpraktiserende læger. Dette er en løsning, vi sammen branchen har kæmpet for at få
tilladelse til af myndighederne.

Metoderne der er benyttet tager afsæt i det adgangsniveau en generel internetbruger har til systemerne.
Grundet tidsmæssige udfordringer går vi ikke i dybden med alvorligheden af sårbarheden eller trusselsniveau for de enkelte sårbarheder.
AL: Der angives viden om sårbarhed igennem 2 år, det harmonerer ikke med stram tidsplan. Aver & Lauritzen kan på skærmdump se at hacking-forsøgene er startet tidligt.
Så mangel på tid synes ikke at være et relevant argument for ikke at vise et konkret indbrud.
AL: Øvrig viden som er nødvendig:
GANGLION er delt i en klinikdatabase og en borgernær database, sidste med tidsanmodninger, receptanmodninger og emailkonsultationer. Det er ikke klinikdatabasen, altså ikke de rigtige journaler som har været i fare for at blive hacket.
Vi har ikke konstateret datatab.
Type:
Mulig konfigurationsfejl Domæne: http://www.ganglion.dk
Url med mulig konfigurationsfejl: http://www.ganglion.dk/download/formularer/
Læk af informationer:
Ved at tilgå adressen er det muligt for lægmand at downloade skabeloner der normalt er forbeholdt læger. Det kan være tilsigtet, men når man tænker over hvad disse skabeloner kan bruges til i de forkerte hænder, kombineret med “social engineering”, vil en person med onde hensigter kunne skabe relativt store problemer for andre mennesker.
Der findes andre og bedre måder at lade sine kunder tilgå den slags data på, end at de ligger i en offentlig mappe på hoveddomænet for systemet.
AL: www.ganglion.dk indeholder alm. offentlige data og information.
På www.ganglion.dk/download/formularer/ ligger en samling af blanketter der er offentligt tilgængelige. Der er ikke noget hemmeligt indhold på den. Indholdet kan findes andre steder på nettet på samme måde, som man kan finde udkast til skøder, testamenter osv. Det betyder ikke, at man ved på egen hånd at udfylde en blanket, får rettighederne den omhandler – det ville være dokumentfalsk.
F.eks. fremhæves attesten ASK 220 med skærmdump af index – det er en arbejdsskadesattest og den findes let ved opslag på nettet, f.eks. udstillet af lægeforeningen https://laeger.dk/sites/default/files/certificates/03112202_ask_220_oeje.pdf

Generelt er det ikke hverken aktivisternes eller AL ́s opgave at censurere og bestemme hvad der må være på nettet af lovligt indhold.
Type:
Konfigurationsfejl Domæne:
Ganglion.dk / Gangweb.dk Manglende SSL:
Der har i lang tid ikke været SSL installeret på serversiden, hvilket Aver & Lauritzen efter sigende skulle have rettet op på. SSL certifikatet er dog ikke globalt på domænerne, hvilket betyder at man stadig kan tilgå forskellige undersider på Ganglion / Gangweb hvor SSL ikke er implementeret.
AL: klinikkernes hjemmesider er i mange tilfælde redirigeret fra klinikkens eget domain, disse domains er normalt ikke beskyttet af de relativt omkostningstunge certifikater, men de indeholder heller ikke personfølsomme oplysninger – kort sagt er de almindelige hjemmesider. Når der indtastes patientfølsomme data, så sker det i en framet version af GangWeb eller den nyere P-boks. Her er der til gengæld SSL og det har der været siden tidernes morgen.
Datatilsynet har udtalt sig om teknikken og afvist at der skulle være noget galt, pudsigt nok er der artikel herom i version2, den 27.4.2017 “Datatilsynet afviser anmeldelse af manglende https på læge-hjemmeside … “ link.
Vi må konstatere at rapportskriverne ikke er enige i Datatilsynets vurdering.
Type:
Konfigurationsfejl / potentiel sårbarhed Kodeord gemmes i klartekst i cookies:
Når en bruger logger ind, gemmes brugernavn samt ukrypteret password i Cookies, hvilket kan føre til kompromittering af loginoplysninger igennem et Man-In-The-Middle angreb på netværket eller via XSS-sårbarheder.
AL: Henviser til Datatilsynets vurdering, jvf. ovenfor.
Type:
SQLi
Domæne: https://gangweb.ganglion.dk/ Trussel: Høj

Den alvorligste brist der er fundet i systemet er en SQL fejl, der har gjort det muligt for uvedkommende at få adgang til hele databasen der vedrører GangWeb og potentielt downloade det hele.
Der går rygter i undergrunds-hackermiljøer, at databasen er downloadet flere gange, senest for blot en måned siden.
Denne sårbarhed kan ikke valideres i denne rapport ved hjælp af screenshots, men den har med sikkerhed været der bekræfter flere kilder.
AL: Der er ikke fremført beviser, men på baggrund af rygtet lukkede vi øjeblikkeligt siden. Vi står alligevel klar med en ny og med moderne login via NemLogIn, efter at den blev frigivet til brug for primær sundhedssektor ultimo marts 2017.
FEJL PÅ ANDRE DOMÆNER / PORTALER DER VEDRØRER GANGLION
AL: Caresolutions.dk og netklinik.dk
Disse domainer indeholder ikke personfølsomme data og skal derfor ikke nødvendigvis beskyttes på samme niveau.
Dette er en administrationsside. Kundelister i vores branche er offentlige og vedligeholdes af Sundhedsstyrelsen (SOR).
Men vi vil dog naturligvis ikke have at folk med kriminelle hensigter kan komme til og øger derfor sikkerheden.
Cure4You
Der er også fundet SQL sårbarhed på domænet https://www.cure4you.eu/admin/login Denne sårbarhed giver også adgang til hele databasen.
Dette er ikke verificeret med screenshot, men af flere forskellige personer.
Om SQL sårbarheden stadig er der i skrivende stund, vides ikke.
AL: denne side tilhører et andet og stort firma i branchen, EG A/S. Men vi kan IKKE forestille os at SQLi er muligt her. En påstand, som virker ubegrundet og uden beviser.
Andre portaler:
Her følger et udsnit af anonyme beskeder om sårbarheder på andre sider / portaler der vedrører GangWeb / Ganglion.
Omstillingsbordet.dk:
Beskeder modtaget fra anonym
“Omstillingsbordet.dk er deres telefonsystem til lægerne. Det er der også fri adgang til”
“Alt support, oprettelse og administration af alle lægehusene ligger derinde. Kunne se alle deres detaljer, slette dem, overtage deres telefoner osv”
UKENDT PORTAL:
Grundet de sidste dages travlhed, har det været svært at holde fuldstændigt styr på hvad der er op og ned i forhold til hvilke domæner og portaler der er sårbarheder her, men her følger kopier af nogle private beskeder modtaget vedrørende oplysninger der har ligget frit fremme. Disse kan desværre ikke verificeres med screenshots, men de er sendt fra anonyme folk der før har givet detaljerede informationer om sårbarheder i systemer, hvor der altid har været en succesrate på 100%, i oplysningerne modtaget fra dem.
Hvilke portaler / adresser disse beskeder omhandler ved jeg ikke, og da det ikke er muligt at få fat i personerne igen ad samme krypterede kanal, kan jeg desværre ikke kaste mere lys over det, men det er stadig foruroligende:
“de individuelle url til alle de forskellige lægers adgang til gangweb og kodeord plus brugernavn ligger og flyder derinde”
“Og der er TeamViewer og VPN oplysninger til at tilgå de fleste lægehuses servere ”
AL: de massive hackerangreb resulterede i et indbrud på en af vore administrationsservere. Det understreges, at oplysningerne her er en delmængde af, hvad der skal til for at tilgå klinikkerne = samtlige oplysninger ligger ikke på én server, så man skal vide mere. Et led i vores sikkerhed er, at man ikke ved centralt indbrud kan få generel adgang til klinikkerne.

———

CSC-mainframen der sladrede

Den store sal i Retten på Frederiksberg er noget ganske særligt.
Der er nemlig et tykt lag skudsikkert glas mellem tilhørerne på den ene side og anklagere, forsvarere, nævninge, dommere og de anklagede på den anden. Der er til gengæld aflange huller i glasset – muligvis for at lyden fra salen skal kunne nå os, publikummet og journalisterne, der sidder herude.
De gange jeg har siddet der, og det er en del gange, har jeg teoretiseret over, om man mon kunne få et pistolløb gennem de huller? Om nogen mon havde tænkt over det?CSC - making it real
Når man ser gennem glasset, ser man ind på en scene: De anklagede sidder til højre, Gottfried Swartholm Warg sammen med forsvarer Luise Høj, og den 21-årige medtiltalte dansker, med navneforbud, med sin forsvarer Michael Juul Eriksen. Til venstre holder de to anklagere til: senioranklager Maria Cingari og Anders Riisager fra Statsadvokaten.
Sidstnævnte indledte første retsdag med en erklæring om, at computere for ham var som ’kryptonit for Superman’ – en udtalelse, der på mange måder blev symptomatisk for hele sagen. Vi, tilskuerne, der talte en bred flok af journalister, familie og det, man kalder it-interesserede, fnes nervøst.
Gottfried Swartholm Warg, også kaldet Anakata, blev idømt tre og et halvt års fængsel, og den 21-årige med navneforbuddet fik seks måneder.
Tre dommere og fire nævninge mente, at Warg var hovedmand bag hackerangrebet og stod for selve udførelsen af angrebet.
De fandt det samtidig bevist, at den 21-årige havde medvirket til angrebet i den indledende fase.

Med den hårde dom på tre et halvt års ubetinget fængsel til Gottfried Swartholm Warg og den helt iskolde afvisning af muligheden af, at hans computer kunne have været fjernstyret, har retten, og dermed den danske stat, delt seriøse ørefigner ud. En hidtil ustraffet 21-årig dansk mand sidder varetægtsfængslet i 17 måneder og inkasserer så seks måneders ubetinget fængsel – alene for at have deltaget i en chat-samtale. Det er i den hårde ende. Ved at undlade at gøre sikkerhedsforholdene hos databehandleren CSC, Computer Sciences Corporation, til en del af sagen har det offentlige Danmark samtidig spredt gift rundt omkring sig selv og alle os andre.

Fem måneders frit spil

Det hele begynder i februar 2012. Nogen forsøger at logge ind på en ukrypteret FTP-server tilknyttet CSC’s IBM-mainframe. Men ingen er kommet ind. Endnu. Og ingen alarmer er gået hos CSC.
Den 7. april, 2012 trænger nogen så helt ind, angiveligt via en såkaldt zeroday-sårbarhed. Dagen efter overføres et script til CSC’s mainframe, og nu har indtrængerne administratorrettigheder. Den adgang bliver brugt til at lave tre bagdøre i systemet og sætte gang i en massiv kopiering og overførsel af data fra CSC’s systemer.
Der er downloadet filer og datasæt fra CPR-registeret, politiet, kriminalregisteret, kørekortregisteret og Schengen-informationssystemet. Det er de mest følsomme data, vi overhovedet har.
De data passerer gennem servere i Cambodia, Tyskland og Iran. Den sidste “uberettigede aktivitet” sker den 28. august!
De mest højlydte advarsler kommer fra svensk politi i juni 2012. De gentager dem tre gange mere i det efterår. Ingen lytter.
Samtidig, i juni 2012, undlader CSC og Rigspolitiet at reagere på en stærkt kritisk revisionsrapport fra Deloitte.
Svensk politi anholder Gottfried Swartholm Warg i Cambodia i august 2012. Hans computere er fyldt med data fra CSC’s servere og indeholder et program, der kan simulere en mainframe magen til den, CSC bruger. Det svenske politi ringer til Danmark igen.
I februar 2013 underretter dansk politi CSC om indbruddet. CSC får først lukket den sidste smækkende bagdør 6. marts 2013 – angiveligt for ikke at forstyrre kunderne på systemet for meget.

Det amerikansk ejede firma CSC er en af den danske stats største it-leverandører. CSC har siden maj 2001 stået for al it i Folketinget og stort set alle andre funktioner i det offentlige Danmark. Det kan undre, at et så betroet firma ikke har haft bedre sikkerhed, men det har hidtil ikke været sagens kerne: Medier og myndigheder har endnu en gang valgt at fokusere på symptomerne; i dette tilfælde den meget dygtige Warg og den dansker, han har været perifert i kontakt med via en chat.
Gottfried Swartholm Warg kan, yderst teoretisk, have haft det motiv at slette data om sig selv i Schengen-registreret, hvor han stod opført som undvegen fra dommen mod Pirate Bay i sin tid. Hvad angår den 21-årige, ja så kunne det måske have været interessant for anklagerne at se, hvad der gemte sig i den krypterede del af den computer, han med fuld ret har nægtet politiet adgang til – og dermed i øvrigt til fulde har bevist, at kryptering virker.
Men det er kun forestillinger. Selve meningen og beviserne kniber det med.
Dansk politi har ikke selv har haft adgang til CSC’s systemer. CSC hyrede et helt tredje firma til at gennemgå systemerne, og det er oplysningerne fra CSC’s egen “hired gun”, der er blevet brugt i retten.

– Basalt set er sagen ligesom alle andre. Der er nogle tekniske udfordringer, men det skal jo bare køres ned til, om der er foregået noget strafbart, sagde forsvarer Michael Juul Eriksen i mit radioprogram, “Aflyttet”, efter at den 21-årige sigtede dansker havde været gennem første afhøring.

Men sådan kom det ikke til at gå: Chatten var for eksempel et andet problem. Det er den, man har dømt den 21 årige og nogen grad også Warg ud fra. Den 21-årige har ikke benægtet, at han har deltaget i den chat. Han har forklaret, at det navn, han ifølge anklageren skulle have optrådt under, “Advanced Persisitant Terrorist Threat”, ikke var hans “handle”.

Der er god grund til at være mistænksom over for den chat: Den var nemlig kun lagret som en kopieret text-fil og er et uddrag af en længere chat-samtale. Og som de to nævninge, der ikke mente Warg var skyldig, udtalte i kendelsen: “…der er usikkerhed forbundet med at anse det for bevist, at det var tiltalte Warg, der under navnet “My Evil Twin” deltog i chatten”. To nævninge mener begge, at der er rimelig tvivl om, hvorvidt Warg er skyldig. Fire mener det modsatte, og mens Gottfried Swartholm Warg stadig er fængslet i Danmark under skærpede forhold, er sagen nu anket til landsretten. Anklagemyndigheden var tilfreds. Der blev sat præcedens. Nogen blev dømt. Hårdt.

– Borgerne er også potentielt blevet berørt og er det måske stadig. Blandt andet har Warg haft adgang til kriminalregistret, der er blevet kompromitteret, og det er i sig selv en enorm skadevirkning. Vi ved jo ikke, om der er ændret i oplysninger og straffeattester, sagde anklager Maria Cingari efter domsafsigelsen. Havde hun havde taget sine egne ord alvorligt, burde hun briste i gråd, og vi andre, os, borgerne, kræve de ansvarliges hoved på et fad.
Hvad gør vi?

Ud over de nu dømte, hvem er så de ansvarlige, der har sendt hele den danske registerkultur, grundlaget for retssamfundet, forvaltningens DNA, på en virtuel dødsrute via Iran, Tyskland, Cambodia?

Er det CSC?
Ja, Center For Cybersikkerhed (CFCS) har faktisk tildelt selskabet en forsigtig kindhest: “… myndighederne skal være mere opmærksomme på at stille passende sikkerhedsmæssige krav til leverandørerne og følge løbende op på, at leverandørerne efterlever kravene,” skriver CFCS i en hemmelig rapport, som Politiken fik indsigt i.
Hvordan den kontrol skal udføres i forhold til et stort udenlandsk firma uden danske statsansatte inden for murene – og med et dybt underbudgetteret datatilsyn, der ikke har kompetencerne – har hidtil fået lov til at stå uforklaret.
Hvis nogen har tænkt sig at lære af CSC-sagen, går de meget stille med dørene. Der er ellers nok af gode spørgsmål at tage fat på.
Det første er, om det overhovedet er en god ide at have så mange følsomme data liggende på et sted. På samme maskine. Og med adgang til internettet.
Det andet er, om det er forsvarligt at have dem liggende hos kommercielle, udenlandske firmaer, hvis logs, opdateringsrutiner og soft- og hardware vi ikke har en kinamands chance for at kontrollere.
Det tredje spørgsmål er, hvornår nogen stikker den der pistol ind gennem hullerne i det virtuelle glas, vi gemmer samfundets mest kritiske data bag, og begynder at fyre løs på må og få, så vi endegyldigt mister muligheden for at vide, om det, der står tilbage, nu er sandt eller falsk, hvis røgen nogensinde lægger sig.
Politikerne har råbt op, men alt for forsigtigt, da de selv står bag udliciteringerne, ikke tør ændre kurs, absolut intet ved om it-sikkerhed og derfor er afhængige af dyrt betalte konsulenter fra andre, udenlandske, firmaer.
Men de tror åbenbart, i ramme alvor, at man kan true sig til sikkerhed med kontrakter. De påstår igen og igen, at det kun handler om mere regulering og jura, mens de samtidig skærer ned på Datatilsynets bevillinger. Og som aben cykler syngende rundt der mellem datatilsyn, ministerier, ordensmagt og CSC, er vi nogle, der tæller ned til næste gang, det sker: Den store, endegyldige ofring af borgernes følsomme data på det naive forvaltningssjuskeris alter, der hvor man fejrer en Gud, der naturligvis aldrig vil stille sig tilfreds med et par “it-interesserede” mænd, men som vil blive ved med at kræve ind, til vi alle sammen ligger der, uden sikker viden, endnu flere syvmileskridt inde i et tvangsdigitaliseret Danmark med knuste logfiler i hjertet.

ARTIKLEN ER TIDLIGERE BRAGT I PROSABLADET HER: https://www.prosa.dk/aktuelt/prosabladet/artikel/artikel/csc-mainframen-der-sladrede/?tx_prosamag_pi1%5Bpageid%5D=5978

Skal ALT være online?

Gæsteindlæg: Torben Andersen(in progress)
(hør Torben Andersen i Aflyttet her: http://arkiv.radio24syv.dk/video/8172709/aflyttet-uge-20-2013)

Da jeg var i Radio24syv -Aflyttet for et godt års tid siden, luftede jeg den her idé. Mest fordi jeg havde arbejdet med de nye danske “intelligente” elmålere, og slet ikke var i tvivl om at der var en værre møgsikkerhed på dem.

Men om de så havde haft über 1337 haxor sikkerhed med kvantekryptering, skulle der nok være en vej ind alligevel.

Internet of Things.
Det nye sort. Alt skal online, og det kan kun gå for langsomt.
Om 5 år vil jeg skyde på, at 1-3% af alle røg og brandalarmer i danske hjem er koblet på internettet. For så kan man jo få besked om at lortet står i flammer når man er på ferie i udlandet og intet kan stille op alligevel.
Måske sidder der endda et lille kamera i røgalarmen, som kan tilgås fra internettet også. Vældigt smart..

Alle elsker det. Især hackerne..

Mange af de “intelligente” ting der allerede er online, som hackerne begynder at få stor interesse for nu, kan ikke engang patches.
Kildekoden kan være blevet væk, nogle driverkoder kan være det man kalder binære “blops” – ingen kildekode overhovedet, eller de chipset der sidder i, kan være specialproducerede fra Broadcom, Qualcomm osv., og er lavet så billigt at selv koden er noget forbandet skrammel at patche, og det bliver ikke gjort.
Se hvordan man hacker millioner af routere på ingen tid, her: http://www.youtube.com/watch?v=stnJiPBIM6o

For nogle år siden lykkedes det også nogle whitehat hackere at få en HP printer til at selvantænde, ved at få printerhovedet til at gå amok og overophede.. og noget med en falsk firmware upgrade til Mac for noget tid siden, der fik batteriet til at blive så varmt at det brændte sammen..

Det bliver nogle kæmpe udfordringer vi går i møde med de her produkter de kommende år. Hvis ikke producenterne snart begynder at tage sikkerheden mere alvorligt, så indhenter teknologien os før eller siden, og det kan blive noget værre kaotisk noget.
Jeg har ikke særlig stor tiltro til, at vi som forbrugere begynder at tænke os en smule mere om, og enten forlange at sikkerheden bliver taget seriøst, eller simpelthen lader være med at købe for de her smarte digitale ting, vi i virkeligheden ikke har brug for, som samtidigt også bare bringer mere overvågning ind i vores hjem.
Men det bliver vi nødt til. Enten eller.

God weekend
Læs mere om hvad der sker med el-målere ligenu – her: http://thehackernews.com/2014/10/hacking-smart-electricity-meters-to-cut.html