Telemarksforsking, en privat stiftelse som utfører oppdragsforskning for primært offentlige, norske kunder, måtte i tirsdag forrige uke midlertidig stenge nettstedet etter at digi.no varslet stiftelsen om det som utgangspunktet må være en svært alvorlig sårbarhet i webapplikasjonen.
Ved hjelp av en hvilken som helst nettleser var det mulig å hente ut stort sett all informasjon fra det underliggende databasesystemet, en noe eldre versjon av Microsofts SQL Server som kjøres på en eldre, men fortsatt støttet versjon av Windows Server.
Nettstedet er basert på ASP (Active Server Pages), en Microsoft-teknologi for å lage dynamiske webapplikasjoner ved hjelp av skript på serversiden. Via en slik fil var det mulig å sette inn vilkårlige SQL-spørringer i URL-ene til Telemarksforskings nettsted. Resultatet av spørringene ble vist som en del av en feilmelding som URL-manipuleringen kunne tvinge fram.
Tips fra anonym ekspert
Det er ikke digi.no-redaksjonen som har oppdaget sårbarheten. Informasjonen stammer fra en norsk hacker som vi skal komme tilbake til i kommende saker. Vi kjenner ikke identiteten til vedkommende, men vet at vedkommende tidligere har levd av å bryte seg inn i IT-systemer langt mer avanserte enn en skarve webserver.
Hackeren kunne ikke bare dokumentere hvordan Telemarksforskings nettsted kunne angripes, men presenterte også en liste over hele strukturen i databasesystemet. Dette inkluderte godt beskrivende kolonnenavn som fortalte at databasesystemet inneholdt informasjon om blant annet fakturaer, budsjetter, timelister og ansatte, inkludert visse personopplysninger.
Vi fikk av hackeren også et begrenset utdrag av brukertabellen, hvor det viste seg at passordene var lagret i klartekst, inkludert minst én bruker med administratorrettigheter.
Flere mangler
Årsaken til at dette var mulig å hente ut, er en kombinasjon av flere mangler i webapplikasjonen. For det første var det tydelig at visse URL-parametere som ASP-applikasjonen aksepterer, var mangelfullt filtrert.
Ved å sette inn enkle anførselstegn på riktige steder i URL, kombinert med en sammenligning av data med to forskjellige variabeltyper, samt litt URL-koding på toppen, var det mulig for hackeren å få webapplikasjonen til ikke bare å tolke deler av URL-en som databaseinstruksjoner i stedet for data, men også å få vist resultatet av instruksjonene i en feilmelding fra serveren, som ble vist på grunn av den ikke lovlige sammenligningen mellom datatyper.
_logo.svg.png){kind=logo}
En avgjørende faktor for at dette var såpass enkelt å utføre, var at webapplikasjonen ikke bare viste feilmeldinger om at noe hadde gått galt, men også detaljert feilinformasjon fra databasesystemet.
Les også: Dette må du vite om SQL-injisering – og slik beskytter du deg (Digi Ekstra)
Rask respons
Telemarksforsking var relativt raske med å reagere da digi.no via epost varslet stiftelsen om sårbarheten. Nettstedet ble tatt ned samme dag. Dagen etter fikk vi snakke med Telemarksforskings direktør, Karl Gunnar Sanda, og IT-ansvarlig Brynjulv Eika, på telefon.
– Vi er veldig glade for å ha fått avklart et sikkerhetshull, sa Sanda.
Samtidig var han opptatt av å få fram at databasesystemet som ble eksponert, kun brukes av et prosjektstyringssystem som har en offentlig og en intern del, altså det offentlige nettstedet og et intranett.
Ikke forskningsdata
Selve forskningsdataene er derimot lagret i et system som driftes av Høgskolen i Sørøst-Norge, og som er helt separert fra webapplikasjonene som hackeren greide å trenge seg inn i.
– Vi har relativt nylig hatt en gjennomgang av våre systemrutiner fra Datatilsynet, men har nok da hatt hovedfokus på våre forskningsdata, fortalte Sanda.
– Vi har nok ikke tenkt på oss selv som spesielt utsatt.
Han la blant annet til at visse sensitive persondata som inngår i forskningsarbeidet, kun er lagret på én enkelt pc, som står i et låst rom og ikke har nettilgang.
– Både dataeier og vi selv stiller slike krav, sa Sanda.
Om dataene som faktisk var tilgjengelige på grunn av sårbarheten, fortalte Sanda at Telemarksforsking er en bedrift med stor åpenhet om forskningsresultatene og annet.
– Men det er ikke alt som det er meningen at skal være offentlig, la han til.
Persondata, derimot
– Hovedbøygen er knyttet til personopplysningen til våre egne ansatte. Det er ingen sensitive personopplysninger som har ligget ute, men timelister og slikt, muligens også lønnstrinn, fortalte Sanda.
Både de ansatte og Datatilsynet skal være orientert om sikkerhetsbruddet.
Når digi.no spør om det er grunn til å tro at andre kan ha fått tilgang til dataene, svarte Brynjulv Eika at det er et naivt spørsmål.
Hvis han [hackeren, journ. anm.] har fått tilgang, kan andre ha fått tilgang, sa Eika. Han fortalte at det stort sett bare er budsjettabellene i databasen som er interne og som sådan ikke er en del av den offentlige webløsningen.
– I prinsippet er det slik at det du legger ut på en server på internett, er tilgjengelig. Man må derfor ha bevissthet rundt hva man publiserer på en slik server, la han til.
Innloggingsinformasjonen som er lagret i database, er knyttet til intranettet. Eika sa at han ikke kan forklare hvorfor passordene var lagret som klartekst.
– Det var et sikkerhetshull som vi er i ferd med å løse, sa han.
Vi har selvfølgelig gitt Telemarksforsking rimelig tid til å utbedre problemet, før vi publiserte denne saken.
Oppe igjen
Mandag denne uken var nettstedet til Telemarksforsking oppe igjen, seks dager etter at institusjonen ble varslet om sikkerhetsproblemet.
– Da vi skjønte hva feilene besto i, har det tatt den tiden det måtte ta med omprogrammering, kryptering og testing. Nedetiden har vært grei å håndtere for bedriften og de ansatte. Spørsmål utenfra har blitt håndtert via Facebook, skriver Sanda i en epost til digi.no.
Svært alvorlig
Fredrik Bugge Lyche er avdelingsleder for sikkerhetstesting hos Watchcom. Digi.no ba ham om en generell kommentar til den typen sårbarhet som Telemarksforsking var berørt av, uten informere ham om hvem som var rammet denne gang.
– På generell basis er SQL-injeksjon med mulighet til å lese informasjon om brukere, passord og bedriftshemmeligheter svært alvorlig. Er det i tillegg mulig å gjøre endringer i databasen, blir sårbarheten enda verre, sier Lyche til digi.no.
Han forteller at dette er en type sårbarhet som selskapet vil fortelle kunder om med en gang, hvis det blir avdekket når Watchcom utfører sikkerhetstester hos kundene.
– Vi vil anbefale dem å ta ned systemet frem til feilen er utbedret, legger han til.
Burde kunne unngås
På spørsmål om SQL-injisering, som denne typen sårbarheter kalles, er utbredt, sier Lyche at det ikke er en veldig vanlig sårbarhet, men noe som Watchcoms ansatte finner med jevne mellomrom.
– Til å være en sårbarhet man har vært klar over såpass lenge, ser vi det for ofte. Typiske steder hvor vi ser denne typen feil oppstår er i egenutviklet kode og eldre webløsninger som ikke er blitt oppdatert.
– For å sikre seg mot slike sårbarheter. burde webutviklere man benytter vite om de vanlige sikkerhetsfeilene, og hvordan man unngår de. I tillegg, hvis man bruker rammeverk, må man huske å holde dem oppdaterte. Videre anbefaler vi jevnlig sikkerhetstesting, spesielt ved introduksjon av nye løsninger, eller større releaser, forteller Lyche.
– Passord i klartekst er heller ikke en veldig vanlig feil, men vi ser det også jevnlig, legger han til.
På spørsmål om hva Watchcom kan tilby på dette området, forteller Lyche at selskapet har et team som kun driver med sikkerhetstesting og daglig jobber med å lete etter denne typen feil. Dessuten tilbyr selskapet websikkerhetskurs for utviklere.
Lavhengende frukt
Tilbake til John Doe, hackeren som digi.no-leserne skal få bli mer kjent med etter hvert.
Han forteller at sårbarheter som dette, som han kaller for lavthengende frukt, er langt fra uvanlig. Han mener at sårbarheten hos Telemarksforsking har vært der i rundt sju år, uten at den har blitt utbedret eller oppdaget av stiftelsen selv.
Når mange nå er veldig opptatt av GDPR og standarder for informasjonssikkerhet, så mener hackeren at man, i alle fall i Norge, har bommet litt på konseptet digital sikkerhet.
– GDPR og ISO 27001 har ingen innvirkning på det hackere studerer, skriver han i en kryptert epost til digi.no.
– Konseptene som brukes, er skrevet i kode, og det er i kode hacking foregår, skriver hackeren. Han sier han er skremt over at det er bedrifter i Norge som tilbyr IT-sikkerhetstjenester i Norge, uten å ha egne programvareutviklere.
– Dette jo helt grunnleggende. Hvis ingen programmerer, så er det klart ingen har peiling på hva som skjer under panseret! Hvor er det de tror softwarebugs kommer fra, avslutter han.
Leste du denne? 16. mai ble det full kriseberedskap i Evry etter datalekkasje. Rotårsaken kan påvirke alle norske selskaper
