Sikkerhedsbrist gør Statens IT mere sårbar over for hackerangreb

Det undrer ekspert, at Statens IT endnu ikke har implementeret centralt redskab, som beskytter mod hackerangreb. Direktør lover at løse det: ”Vi har bare ikke fået det gjort", lyder det.

Foto: Bogdan Cristel/Reuters/Ritzau Scanpix
Nickolaj Storgaard Oksen

Statens ITs hjemmesider er sårbare over for angreb fra hackergrupper, som kan opsnappe potentielt fortrolige oplysninger.

Det skyldes, at man kan tilgå siderne med en ikke-krypteret HTTP-anmodning, hvorefter hjemmesiden blot videresendes til den krypterede version kaldet HTTPs gennem en såkaldt 301-omdirigering.

Sådan lyder det fra Peter Kruse, der er ekspert i IT-sikkerhed og partner i sikkerhedsfirmaet CSIS.

”Det er et totalt 'no-go', at man ikke har sikret sig mod det. Det er direkte en katastrofe, at man kan bruge en helt flad HTTP på et weblogin,” siger Peter Kruse.

Altinget opdagede sikkerhedsbristen ved brug af DK Hostmasters domænetest og verificeret med en simpel "Header Status Tjekker", der analyserer, hvordan en HTTP-anmodning bliver behandlet.

HTTP, HTTPS og HSTS
  • HTTP står for Hyper Text Transfer Protocol, og er et sæt af regler for udveksling mellem digitale enheder og servere.
  • HTTPS står for Hyper Text Transfer Protocol Secure, og er grundlæggende det samme som HTTP, men blot i en krypteret version.
  • HSTS står for Hyper Text Transfer Protocol Strict Transport Security, og er en tilføjende politik, der tvinger en enhed til altid at kommunikere krypteret mellem server og enhed.

Og konkret betyder det ifølge Peter Kruse, at forbindelsen under omdirigeringen er sårbar over for såkaldte ”Man-in-the-Middle”-angreb, hvor hackere kan indsætte sig som skjult mellemmand og dermed opfange og stjæle information, der sendes mellem to enheder.

Problemet kan løses med en indstilling kaldet HSTS, der står for HTTP Strict Transfer Security, der indstillet korrekt afviser ethvert forsøg på at bruge det usikre HTTP og i stedet  gennemtvinger HTTPS.

HSTS så dagens lys allerede i 2009, men Statens IT har endnu til gode at indføre det på alle af deres mere end 500 hjemmesider. Særligt på tjenester med en login-funktion er det altså nødvendigt, og den sikkerhedsfunktion er eksempelvis ikke tilføjet på Statens ITs egen webmail.

”Det burde være relativt nemt at få indført, og man burde have gjort det allerede for fem år siden. Hvis de ikke bruger HSTS eller lignende på deres webmail, så kan uønskede personer aflæse de login-oplysninger, der bliver brugt, og derefter selv logge ind,” siger Peter Kruse og tilføjer:

Altinget logoDigital
Vil du læse artiklen?
Med adgang til Altinget digital kommer du i dybden med Danmarks største politiske redaktion.
Læs mere om priser og abonnementsbetingelser her
0:000:00