Rod med mail-sikkerhed på flere domæner hos Forsvarets Efterretningstjeneste og CFCS

Flere domæner hos Forsvarets Efterretningstjeneste (FE) har ikke implementeret de teknologier til beskyttelse mod blandt andet phishing-angreb, som Center for Cybersikkerhed (CFCS) ellers har anbefalet siden 2017. Som flere ved, er CFCS en del af Forsvarets Efterretningstjeneste.

Tilbage i december 2018 fortalte Version2, hvordan domænet for CFCS's Situationscenter, cfcs-sitcen.dk, hverken havde DMARC- eller SPF-beskyttelse. Det er teknologier, der gør det vanskeligt for uvedkommende at sende mails, der ser ud til at være sendt af - i dette tilfælde - Center for Cybersikkerhed uden at være det.

Så en fup-mail, der for modtageren ser ud til at komme fra en officiel adresse som info@cfcs-sitcen.dk, kan altså forhindres i at nå frem, hvis både modtagerens og afsenderens mail-server understøtter DMARC og underliggende teknologier.

Det gør cfcs-sitcen.dk ikke, selvom CFCS ellers siden 2017 har anbefalet danske organisationer at implementere DMARC for at undgå svindelmails.

Da Version2 talte med chef for CFCS Thomas Lund Sørensen i december om den manglende beskyttelse af mails fra domænet, kaldte han det en ren tilståelsessag.

DMARC DMARC sætter en politik for to andre protokoller, SPF og DKIM. SPF (Sender Policy Framework) er et simpelt system til validering af mails og er designet til at detektere spoofing. Modtageren af en mail kan kontrollere, at indgående mails fra et domæne kommer fra en server (IP-adresse), der er godkendt af domæne-ejeren (afsender). Listen over godkendte servere for et domæne publiceres via domænets DNS-oplysninger. DKIM (DomainKeys Identified Mail) beskriver, hvordan der kan knyttes et domæne-specifikt id til en mail. Domæne-ejeren kan signere den enkelte mail med en privat signeringsnøgle og dermed give modtageren mulighed for at verificere, om mailen er afsendt fra en server, der er registreret i DNS (Domain Name System). Verifikationen sker på baggrund af afsender-serverens offentlige signeringsnøgle, der er tilgængelig via DNS. Kilde: CFCS

I forhold til hvorfor der stadig ikke er beskyttelse på domænet, forklarer Thomas Lund Sørensen, at man hos CFCS har arbejdet på at indføre nogle overordnede procedurer, så der kommer styr på nuværende og fremtidige domæner.

»Det er en lidt større proces i virkeligheden, hvis man ikke bare vil fikse en enkelt ting, men gøre det grundigt og rigtigt. For CFCS-domænernes vedkommende ligger det nu ude hos en person, der har til opgave at sætte de rigtige SPF-records, DMARC osv.,« siger Thomas Lund Sørensen.

Thomas Lund Sørensen forventer, at der snart kommer styr på de øvrige domæner, der har direkte tilknytning til CFCS.

»Der er forskellige skridt; man kan tage det case by case, det har i hvert fald i vores tilfælde vist sig ikke at være nogen særlig stor succes. Vi har DMARC og hele molevitten på vores hoveddomæne, men vi har det altså ikke på vores side-domæner, som vi ikke bruger til e-mail.«

Han forklarer, at de procedurer, CFCS arbejder på, som blandt andet skal sikre, at der bliver taget stilling til sådan noget som DMARC-beskyttelse, i første omgang omfatter CFCS' egne domæner og ikke FE som helhed.

»Foreløbig sætter vi en politik for Center for Cybersikkerhed, og den politik vil vi lade smitte af andre steder, hvor vi kan komme til at gøre det,« siger Thomas Lund Sørensen.

fe-mail.dk og fe-ddis.dk

Og der er umiddelbart behov for, at sådan en politik smitter af andre steder i den organisation, CFCS er en del af.

Mens der ifølge Thomas Lund Sørensen har været fokus på at sætte DMARC-beskyttelse hos de domæner, der hører direkte under CFCS, og som bliver brugt til mail-kommunikation, så mangler beskyttelsen på flere andre domæner hos FE, der også bliver brugt til mail-kommunikation.

Uanset om et domæne bliver brugt til mail-kommunikation eller ej, så kan man anføre, at en mail-modtager ikke nødvendigvis ved noget om, hvordan FE og CFCS bruger domæner.

fe-ddis.dk er FE's hoveddomæne og bruges indirekte også af CFCS til mails. På Version2-redaktionen har vi således modtaget adskillige mails sendt fra domænet i forbindelse med diverse pressehenvendelser til CFCS gennem årene.

Udover den manglende DMARC-beskyttelse så har fe-ddis.dk desuden en SPF-record (en liste med IP-adresser, der må sende på vegne af domænet), som har været ugyldig i over et år.

Et opslag på status.dmarc.dk, som Henrik Schack står bag, under 'SPF Defektlisten' viser, at SPF-recorden for fe-ddis.dk i skrivende stund har været ugyldig i 376 dage. En ugyldig SPF-record kan eksempelvis betyde, at mails sendt fra domænet ikke når frem, men havner i en spam-mappe.

Thomas Lund Sørensen forventer, der snart kommer DMARC og en velfungerende SPF-record på fe-ddis.dk.

»Den bold er vi på«

DMARC og de underliggende teknologier kan være et godt værn mod målrettede phishing-angreb, også kaldet spear-phishing. Blandt andet fordi DMARC tvinger en angriber til at bruge et domæne, der kan se noget løjerligt ud, så det er synligt for mail-modtageren, at noget kan være på færde.

Eksempelvis hvis der står @virksomhedsnavn-dk.com i stedet for @virksomhedsnavn.dk

Spear-phishing er aktuelt i en anden sammenhæng i relation til CFCS. Som blandt andet Version2 har fortalt, lægges der i et nyt lovforslag op til, at CFCS som en såkaldt forebyggelsesaktivitet skal lave simulerede spear-phishing-angreb mod udvalgte medarbejdere hos virksomheder og myndigheder efter anmodning fra de pågældende organisationer.

Den første beskyttelse i forhold til phishing og meget vellignende mails - det er vel om at få de her ting på plads? (som DMARC, red.)

»Ja, og det er også derfor, vi står ved vores kraftige anbefaling om, at man anvender DMARC som en mulig måde at beskytte sig mod at modtage de her spoofede mails på. Og det er slet ikke slut, hverken inden for forsvarets område eller indenfor statens område med at få det gode budskab både spredt, men sådan set også at få det efterlevet. Den bold er vi på, og den ønsker vi at være det på,« siger Thomas Lund Sørensen.