”Vi ser underliga uppkopplingar från era system”, inleddes meddelandet från en kollega vid ett annat universitet. ”Kan ni kolla upp det?”

Mejlet var det första tecknet på att någonting inte stod rätt till vid Lunarc, Lunds universitets avdelning för kraftfulla beräkningskluster. Mottagare var Jonas Lindemann, då systemingenjör vid universitetet. Han började se över systemet.

Upptäckterna tydde direkt på ovälkommet besök. Märkliga, dolda kataloger som ingen användare ville kännas vid. Systemkritiska program som såg ut att fungera som de skulle, men som upptäcktes ha manipulerats för att stjäla lösenord.

– Jag blev helt kallsvettig. Jag hoppade in i bilen, åkte till datahallen. Där drog jag ur alla externa internetsladdar. Men jag lät alla system stå påslagna innan jag kontaktade säkerhetsgruppen, säger Jonas Lindemann.

Utredningen som följde visade mycket riktigt att ovälkomna besökare tagit sig in i systemet någon månad tidigare. Gott om tid för att stjäla lösenord, med andra ord. Inte minst med tanke på att forskare har för vana att logga in från ett universitet till ett annat. Varje gång passerar deras lösenord via just det program som hade bytts ut, och hamnade därmed i hackarens händer.

Därefter följde en och en halv månad då två system inte kunde användas. Vart och ett kostar de omkring tio miljoner kronor och används bara för de mest resurskrävande beräkningarna: Simuleringar av hållfasthet och kemiska processer till exempel. Forskare både vid Lunds universitet och andra lärosäten i landet använde sig av Lunarcs anläggning.

Att teknikchefer pratar öppet om intrång de råkat ut för hör inte till vanligheterna. Men Jonas Lindemann bröt den trenden. Han var tidigt frikostig med information inför kollegor, och nu har han börjat hålla föreläsningar där han beskriver förloppet i detalj.

Ett par år har gått sedan händelsen. Den första upptäckten gjordes 2008.

– Vi stod där med stora dumstruten på. Om vi inte hade berättat skulle de ha kunnat utsättas för samma sak. Nu fick de en chans att kolla sina system.

Ni är den del av den akademiska världen. Kan ett privat företag prata öppet om intrång?

– Ja, jag tror det. Jag förstår att man inte direkt vill gå ut i media och berätta, men i rätt forum gagnar det alla.

Så hur gick det med den hackade superdatorn? En åtgärdslista togs fram. Alla system skulle installeras om. De skulle patchas snabbare – när intrånget skedde låg Lunarc en vecka efter vilket räckte för angriparen. Och viktigast av allt: Ingenting skulle kopplas upp igen utan ett nytt inloggningssystem. Valet föll på en tvåfaktorsautentisering med engångslösenord. Vid varje inloggning skickas det till användarens mobil. Utan det släpps man inte in.

Kvittot på att det fungerade dröjde inte länge. En forskare i Tyskland ringde Jonas Lindemann och berättade att engångslösenord hade börjat skickas till hans mobil mitt i natten, utan att han hade försökt logga in. Forskarens dator söktes igenom.

– Det visade sig att den var infekterad och hans lösenord hade sniffats. Det enda som stod mellan oss och ett intrång den gången var engångslösenordet som hade skickats till mobilen.

Fakta

  • Principen bakom tvåfaktorsautentisering är enkel. För inloggning krävs någonting användaren vet (ett lösenord) och någonting användaren har (mobiltelefon, dongel eller liknande.)
  • Varje inloggning kräver ett engångslösenord eller en kod vid sidan av det ordinarie lösenordet.
  • Det finns en mängd metoder: Lösenord kan skickas via sms, skapas av en mobilapp eller hanteras via speciell hårdvara i form av donglar.