- Skandinavias største hackersak noensinne

For elleve dager siden ble det kjent at et dansk politiregister med følsomme data hadde blitt hacket. Registeret inneholdt, ifølge politiet i Danmark, opplysninger om ettersøkte personer i Schengen-registrene, og lå på en IBM-stormaskin.

Ømfintlige data

Registeret er felles for alle medlemmene i Schengen, og ifølge en beskrivelse fra det danske datatilsynet inneholder registeret opplysninger om ettersøkte og forsvunnede personer eller personer under overvåkning i tillegg til opplysninger om stjålne eller forsvunnede motorkjøretøy - deriblant med navngivende identitetspapirer, registreringbeviser og informasjon om registreringsskiltene, påpeker Computerworld i Danmark.

Konkret kan følgende lagres i disse registrene: Personer som ønskes utlevert, uønskede utenlandske personer som nektes innreise, forsvunnede personer eller personer som av hensyn til egen sikkerhet og lignende bør tas i varetekt, vitner eller andre personer som er stevnet for en domstol eller som skal få en strafferettslig dom, personer og gjenstander som er gjenstand for diskret overvåkning eller målrettet kontroll og gjenstander som ettersøkes med tanke på beslagleggelse eller som bevismidler i en straffesak. Det skriver det danske Datatilsynet.

Alvorlig brudd

To personer er fakket i hacker-saken, en velkjent svensk hacker og en yngre dansk it-konsulent, ifølge Computerworld Danmark. Det påstås i Version2.dk, som var tidlig ute med å kjentgjøre hackerangrepet etter politiets pressemelding, at det trolig er snakk om Piratebay-medgründer Gottfrid Svartholm Wang. Han sitter for tiden i svensk fengsel i forbindelse med en annen sak.

I pressemeldingen fra politiet kom det frem at hackerne fra april til august i fjor har hatt tilgang til fortrolige systemer hos leverandøren CSC. Man vet at det er nedlastet personnumre fra førekortregistre og data om etterlyste personer i Schengen. I pressemeldingen fremhevet politiet at det ikke så ut til at data er manipulert i registrene, men at det heller ikke kan utelukkes foreløpig.

- Det er snakk om et alvorlig brudd på den it-sikkerhet det nødvendigvis skal være rundt politiets registere, og som vi forventer at CSC til enhver tid sikrer. Derfor ser politiet på saken med det største alvor. Det er naturligvis helt uakseptabelt at det har vært mulig å få adgang til politiets registre tross de meget høye sikkerhetsstandarder vi krever og forventer av vår leverandør, sa politisjef i Danmark, Jens Henrik Højbjerg i pressemeldingen.

På samme systemer som de hackede ligger også skatteregistrene, det danske personregisteret og data fra Moderniseringsstyrelsen, men det foreligger ikke indikasjoner på at disse ressursene har vært besøkt av hackerne. Derimot er det ifølge Dr.dk avdekket at også epost for 10.000 tjenestemenn er kompromittert og klussing med konfigurasjonsfiler.

CSC har ikke ønsket å kommentere saken i særlig grad, da den er under etterforskning, men selskapet har tatt kontakt med øvrige stormaskin-kunder. Enkelte av disse skal være rammet, ifølge Version2., men ifølge CSC-pressesjefen skal antallet være lavt. En av dem som er bekreftet er forsikringsselskapet Tryg, men omfanget skal være begrenset og informasjonen som er på avveie skal være uten fortolig innhold. Filen det er snakk om ble sendt til printer og snappet opp via tilgangen til CSCs stormaskin.

Samme som Logica-hacket

Det var svensk politi som tipset danskene om sikkerhetsbruddet etter at flere IBM-hovedmaskiner hadde blitt hacket, deriblant også hos Logica, skriver Version2. Der var hackerne mest fokusert på å få adgang til nettbanksystemene hos Nordea.

Men fremgangsmåten har vært lik.

- De har brukt samme sårbarheter i Z/OS. Ifølge rettsprotokollene er det helt identiske sårbarheter. Det skal ha skjedd i flere lag, hvor de har eskalert rettigheter på stormaskinen, sier Peter Kruse fra CSIS til Version2.

Første steget skal ha vært å få adgang til en FTP-konto på stormaskinen, dernest skal det ha vært hash-knekking av passordfil via programmet John the Ripper. Visstnok var det i Logicaas tilfelle svake passord til administratorsystemene som var inngangsnøkkelen til et større hvelv, etterfulgt av utnyttelse av sårbarheter.

Mistanken rundt Piratebay-Wargs virksomhet i Danmark kom da svensk politi gravde seg dypt ned i hans datamaskienr og fant en enkelt ip-adresse med forbindelse til danmark.

- Spørsmålet er om de har lett etter andre stormaskiner. Det her er allerede Skandinavias største hackersak noensinne, og den kan utrulle seg til å bli enda større, ifølge Kruse.

Det meste av norsk banknæring bruker IBM-stormaskiner.

På EUs agenda

Tilbake til Danmark har det iføgle Version2 vekket oppsikt at angrepet har blitt hemmeligholdt siden januar i år. Ifølge politiet er det på grunn av etterforskningens gang.

- Når man har en etterforskning på gnag er det begrensninger på hva vi kan si til offentligheten. Særlig når gjerningsmannen er på frifot og det dreier seg om it-kriminalitet, hvor bevismaterialet kan slettes med et tastetrykk, sier Højbjerg til avisa.

Justisministeren er ikke tilfreds.

- Det er et meget alvorlig angrep som involverer sterkt personsensitive opplysnigner. Derfor har vi satt alle ressurser på å få det oppklart. Det er ikke noe som tyder på misbruk av de lekkede opplysningene, men omfanget av data er stort, har Morten Bødskov sagt på et pressemøte ifølge Version2.dk.

Han skjønner hvis landets borgere føler seg urolige.

- Det er ganske utrygt. Vi skal ha tillit til at det offentlige og deres registere er sikre. Det er naturlig at man er bekymret for det, men det er meget vanskelig å si hva det kan ha blitt misbrukt til, sier han.

Version2.dk har også fått tips om at danske personnumre ligger til salgs på internett, men de har ikke fått verifisert dette.

Nylig har Version2.dk skrevet at det nå er krisemøter i EU etter bristen med Schengen-registeret. Der må det forklares hvorfor det tok ett r fra systemet ble hacket til EU-kommisjonen fikk beskjed 3. juni.

- Europa-kommisjonen er bekymret for de mulige konsekvensene av sikkerhetsbristen i det danske nasjonale system, særlig fordi ingen opplysninger ble gitt til andre Schengen-land eller til Europa-kommisjonen innen 3. juni, til torss for at innbruddet fant sted mellom april og august i 2012, sier talsperson for indre anliggende Michele Cecone til avisa.