I den offentlige forvaltning er åbenhed det helt store mantra. Men man kan også gå for langt. En af de mest besøgte offentlige hjemmesider, Skat.dk, har i en periode haft sin tracelog liggende frit tilgængelig på en åben webserver. Disse logfiler indeholder både tekniske oplysninger om serveren, der kan misbruges til at finde svage punkter i systemet, og informationer om de besøgende på siden.
»Denne slags informationer skal kun være tilgængelige for administratoren. Det skal aldrig ligge på en offentlig server,« siger den svenske sikkerhedskonsulent Dan Egerstad, som rådgiver større virksomheder omkring sikkerhed.
Han vurderer, at it-kriminelle vil kunne finkæmme logfilerne for at finde sikkerhedshuller og andre informationer, der kan misbruges til at trænge ind på serverne.
»Det er simpelthen perfekt for en hacker. Hvis der er den mindste fejl i opsætningen, så kan man udnytte den til at komme ind. Du kan se ip-adresser og cookies for de besøgende, og disse informationer vil kunne anvendes til at overtage deres session,« forklarer Dan Egerstad.
Logfilerne er gemt under en standardadresse på serveren og dermed er det nemt for en hacker at finde filerne, hvis de ligger på serveren uden beskyttelse. Efter henvendelse fra DR har Skat fjernet logfilerne, men ComON har modtaget en række skærmbilleder, som viser de tekniske oplysninger i Skats åbne tracelog.
ComON har bedt sikkerhedsfirmaet eSec om at vurdere indholdet i logfilerne. Og her er konklusionen klar.
»Det er udtryk for dårlig it-sikkerhed at disse trace-filer, der er output fra noget debug der på det aktuelle tidspunkt er slået til, findes tilgængelige,« siger Ole Schmitto, adm. direktør for eSec.
Han tilføjer at der er tale om http trafik til skat.dk, ikke til selvbetjeningsserveren Tastselv, så der er ikke følsomme persondata involveret.
»Der er ikke tale om oplysninger der i sig selv giver mulighed for at hacke serveren eller netværket, men der er tale om oplysninger som fundet i en sikkerhedstest ville blive nævnt som ting der i en situation med en sårbarhed ville gøre det nemmere for en hacker at finde vej ind,« siger Ole Schmitto.
Logfilerne indeholder blandt andet interne adresser, herunder på database-serveren, layout af tabeller i den bagvedliggende database og SQL-kald til basen fra webapplikationen og informationer om versioner af den anvendte software, der kan anvendes til at finde sårbarheder.
Men der er også informationer om de besøgende på hjemmesiden.
»De fem specifikke traces drejer sig hver om en session, altså en udefra der har bedt om en URL, de viser IP-adressen og et request så man kan identificere hvem der har spurgt om hvad på hjemmesiden. Afsenderne tæller en TDC adresse, en søgemaskine, Horsens Kommune, en ADSL på Bornholm og en person/enmandsfirma på Nørrebro,« fortæller Ole Schmitto.
Skat bekræfter overfor ComON, at traceloggen i en periode har været tilgængelig på hjemmesiden. Det gælder dog kun den del af Skat.dk, hvor man finder informationer, vejledninger og nyhedsbreve, og altså ikke den del som omfatter TastSelv løsningerne, hvor borgere eller virksomheder logger sig ind.
»En systemudvikler har i en test-/supportperiode slået traceloggen til på Skat.dk for at kunne finde og rette fejl i anvendelsen af hjemmesiden. Den er beklageligvis ikke blevet slået fra efter test-/supportperioden og har derfor kunnet ses på internettet,« siger Jack Johansen, der er kontorchef hos Skats afdeling for it-arkitektur og sikkerhed.
Han understreger at traceloggen i mellemtiden er blevet fjernet fra hjemmesiden.
»For at undgå lignende misforståelser i fremtiden har Skat valgt at præcisere proceduren for anvendelse af tracelog for at forhindre, at denne kan blive gjort tilgængelig via internettet,« siger Jack Johansen til ComON.
I aften kan du se meget mere om it-kriminalitet og tyveri af personlige oplysninger på DR1. I programmet 'Testen: Det usikre internet' finder værtinde Mette Frisk bla. frem til en af internettets sortbørser, hvor der handles med danske kreditkort. Programmet sendes på DR1 kl 20.30.
Premium
OpenAI har udviklet et særligt værktøj, der med 99,9 procents sikkerhed kan identificere tekst skabt med ChatGPT