Ethical hacking: Må man dele en it-sårbarhed?

    Illustration: Improsec

 

Illustration: Improsec

Har man ret til at bringe andre folks system-integritet i fare, hvis det er for at forhindre et større angreb, eller er det endda en undladelsessynd, hvis man lader være? Version2 har snakket Responsible Disclosure Policy med Claus Vesthammer, COO i Improsec.

Kristian Ravn [email protected] Fredag, 23. marts 2018 - 5:12

Et klassisk etisk dilemma handler om et løbsk tog.

Forestil dig, at du står på en bro, og ser et tog, der har kurs mod fem børn, der af uforklarlige og irrelevante årsager leger på sporet. Men der er en hjælp at hente.

Tæt på dig er der et sporskifte, og hvis du drejer det, vil det løbske tog slå ind på en anden kurs og kun ramme ét barn, der også leger på skinnerne den dag. Anvender du sporskiftet?

Claus Vesthammer, der er COO i sikkerhedrådgivningsfirmaet Improsec, argumenterer for, at man er nødt til at handle. Heldigvis er situationen hypotetisk, selvom dilemmaet ikke er.


Penetrationstest

For at finde svaghederne i et system kan en white hat-hacker udføre en penetrationstest på en virksomheds it-systemer med det formål at opnå adgang til en eller flere definerede mål, som for eksempel systemrettigheder eller dokumenter.


White-hat hacking

White Hat-hackere er en fællesbetegnelse for individer, der anvender hacker-teknikker til hjælpe virksomheder og/eller samfundet med at beskytte sig selv.

I Improsecs arbejde med white hat-hacking og penetrationstest af it-systemer for store danske firmaer finder Improsec lejlighedsvis sårbarheder i deres klienters systemer.

I går offentliggjorde sikkerhedsfirmaet - som omtalt på Version2 - to nye sårbarheder i IBM Notes. Sårbarhederne gjorde det muligt at opnå fuld kontrol over maskinerne, der benyttede softwaren.

Læs også: Dansk firma finder to nye sårbarheder i IBM Notes

Vesthammer fortæller, at de har registreret mere end 15 sårbarheder det seneste år.

De sårbarheder er det løbske tog på sporet og årsagen til Improsecs dilemma. Før eller siden bliver nogen ramt af sårbarheden.

Hvis Improsec handler, er det muligt minimere skaden, men de bliver selv en aktør i hele sagen og dermed etisk ansvarlig.

Når de vælger at offentliggøre en sårbarhed, kan det lige så vel være internettets gode som slemme elementer, der finder og henholdvis lukker eller udnytter sikkerhedshullerne.

Vælger de at holde sårbarheden for sig selv eller blot aflevere den til et firma, der ikke gør mere ved det, risikerer de at være implicit medvirkende i det kriminelle misbrug, der måtte være af sårbarheden.

Når man har den viden om en potentiel sårbarhed, er der ingen entydigt korrekt vej frem. Derfor har de hos Improsec formuleret en såkaldt Responsible Disclosure Policy.

Den giver en leverandør fem forretningsdage til at anerkende en sikkerhedsbrist. Selvsamme har derefter 60 dage til at rette fejlen - ellers forbeholder Improsec sig retten til at frigive oplysninger om sårbarheden, så alle kan se og udnytte sikkerhedshullerne.


Andre kan have opdaget fejlen allerede

Forestil dig, at en leverandør ikke har reageret på henvendelser fra Improsec, der derfor offentliggør sårbarhederne. Forestil dig også, at det straks bliver udnyttet af ukendte individer. Pilen peger vel tilbage på Improsec, der må tage deres del af ansvaret?

I starten af februar 2018 gik Improsec ud med sårbarheder i IBM Notes, selvom IBM ikke havde udgivet patches til deres systemer. Sårbarhederne var blevet opdaget i arbejdet for en kunde, men var så alvorlige, at de hos Improsec mente sig forpligtet til at handle.

»Da vi gik offentligt med vores seneste tre sårbarheder i IBM Notes, så var det jo faktisk, uden at IBM havde frigivet patches til dem. Vores formål er at gøre verden til et mere sikkert sted, og det kan man gøre på mange måder. En af måderne er at oplyse om sårbarheder, vi finder,« svarer Claus Vesthammer fra Improsec, der anerkender, at den sårbare softwareleverandør teknisk set ikke er deres kunde, og sårbarheden derfor heller ikke deres problem.

»Men så ville jeg også fralægge mig ansvaret. Så siger vi: ‘Vi kender den her sårbarhed, men så gør vi bare ikke noget. Så håber vi, at der ikke er nogen andre, der finder den’,« forklarer Claus Vesthammer, der muligvis har en pointe.

I den virkelige verden kan en person, der forlader en ulykkesscene, straffes med op til to års fængsel, hvis de ikke griber ind. Man er forpligtet til at hjælpe, når der er liv på spil. Selvom indsatsen trods alt er lavere med digitale sårbarheder, burde logikken være det samme.

Spørger man Claus Vesthammer, om det er nok, hvis man blot underretter softwareleverandøren, får man et nej:

»Det må være i almen interesse at lægge sidste skud på stammen overfor producenten, for de gør jo som regel noget. IBM kom med updates, dagen efter vi offentliggjorde sårbarhederne,« fortæller Vesthammer. Han bliver suppleret af sin kollega, Jakob Heidelberg, der er CEO i Improsec:

»Eksempelvis havde en anden researcher, 6 måneder før og uafhængigt af os, fundet den samme sårbarhed i IBM Tivoli Storage Manager, som vi rapporterede til IBM i marts måned sidste år. IBM havde i den tid ikke gjort noget for at sikre deres kunder, men først da vi lagde pres på, blev de nødt til at rette ind.«

Vesthammer anerkender, at der kan være folk, der kommer i klemme, men forsætter:

»Vi gør det også under den tese, at vi jo ikke nødvendigvis er de første, der har fundet de her sårbarheder. Der kunne jo sidde skumle typer på nettet, som måske ikke er så velvillige til at fortælle producenterne om de sårbarheder de har fundet,« argumenterer Claus Vesthammer, der fortsætter med en historie fra virkeligheden.

»Vi havde fundet nogle uhensigtsmæssigheder i Windows kernel, som en af vores daværende medarbejdere var ovre og fortælle om på Black Hat og Def Con (hacker-, og sikkerhedskonferencer, red.) sidste år. Inden da blev vi kontaktet af en mellemøstlig efterretningstjeneste, som gerne ville købe de exploits under forudsætning af, at de så ikke blev publiceret.«

Med andre ord: Uanset om man blander sig eller ej, er sårbarhederne en realitet, og man kan ikke altid vide, hvad folk ønsker at bruge dem til.

»Vi vil gerne gå ud med dem for at sikre, at de rent faktisk bliver udbedret.«


Softwarehygiejnen er stadig akilleshælen

Efter blandt andet WannaCry-angrebet i maj 2017, der inficerede et meget stort antal computere og åbnede et meget stort antal øjne for problematikkerne i digitale sårbarheder, er der gang i forretningen, fortæller Vesthammer.

Det, der gør angrebet fra 2017 ekstra sørgeligt, er, at den sårbarhed, der blev udnyttet i angrebet, faktisk var blevet adresseret af Microsoft allerede i marts 2017 med update MS17-010.

Hvis nettoresultatet er, at Improsec får tvunget en leverandør til at udgive en patch, men den så alligevel ikke bliver installeret i organisationerne rundt omkring, selv efter at sårbarheden er offentliggjort, har man så ikke gjort mere skade end gavn?

»Det er ikke anderledes end alle mulige andre sårbarheder, der måtte eksistere, som enten er disclosed (offentliggjort, red.) af producenten selv eller lignende. Så der tænker jeg ikke, at der er nogen forskel. Et godt eksempel er ransomwaren WannaCry. Det var en stor historie, men et helt almindeligt problem, og i øvrigt noget, man med god softwarehygiejne selv kunne have imødekommet,« fortæller Vesthammer og runder af:

»Det er sådan lidt tilbage til de klassiske dyder indenfor it-sikkerhed. Desværre sidder vi stadig og snakker om de samme ting og probleme,r som vi gjorde for ti år siden. Opdater din software. Hav styr på dine brugere. Hav styr på din log. Det er stadig sådan nogle ting, vi bokser med.«

Uanset om man vurderer det rimeligt eller urimeligt at sætte kniven for struberne af softwareleverandørerne, så ændrer det ikke på, at væsentligheden i it-sikkerheden stiger, i takt med at it rykker længere og længere ind vores liv og kontrollerer alt fra identitet til insulinpumper. Heldigvis tager de fleste virksomheder godt imod, når de etiske hackere ringer.

Læs mere om de opdagede sårbarheder på Improsec.com.