Ethical hacking: Må man dele en it-sårbarhed?

Illustration: Improsec

Illustration: Improsec

Har man ret til at bringe andre folks system-integritet i fare, hvis det er for at forhindre et større angreb, eller er det endda en undladelsessynd, hvis man lader være? Version2 har snakket Responsible Disclosure Policy med Claus Vesthammer, COO i Improsec.

Claus Vesthammer, der er COO i sikkerhedrådgivningsfirmaet Improsec, argumenterer for, at man er nødt til at handle. Heldigvis er situationen hypotetisk, selvom dilemmaet ikke er.

I Improsecs arbejde med white hat-hacking og penetrationstest af it-systemer for store danske firmaer finder Improsec lejlighedsvis sårbarheder i deres klienters systemer.

I går offentliggjorde sikkerhedsfirmaet - som omtalt på Version2 - to nye sårbarheder i IBM Notes. Sårbarhederne gjorde det muligt at opnå fuld kontrol over maskinerne, der benyttede softwaren.

Når man har den viden om en potentiel sårbarhed, er der ingen entydigt korrekt vej frem. Derfor har de hos Improsec formuleret en såkaldt Responsible Disclosure Policy.

Den giver en leverandør fem forretningsdage til at anerkende en sikkerhedsbrist. Selvsamme har derefter 60 dage til at rette fejlen - ellers forbeholder Improsec sig retten til at frigive oplysninger om sårbarheden, så alle kan se og udnytte sikkerhedshullerne.

»Da vi gik offentligt med vores seneste tre sårbarheder i IBM Notes, så var det jo faktisk, uden at IBM havde frigivet patches til dem. Vores formål er at gøre verden til et mere sikkert sted, og det kan man gøre på mange måder. En af måderne er at oplyse om sårbarheder, vi finder,« svarer Claus Vesthammer fra Improsec, der anerkender, at den sårbare softwareleverandør teknisk set ikke er deres kunde, og sårbarheden derfor heller ikke deres problem.

»Men så ville jeg også fralægge mig ansvaret. Så siger vi: ‘Vi kender den her sårbarhed, men så gør vi bare ikke noget. Så håber vi, at der ikke er nogen andre, der finder den’,« forklarer Claus Vesthammer, der muligvis har en pointe.

Spørger man Claus Vesthammer, om det er nok, hvis man blot underretter softwareleverandøren, får man et nej:

»Det må være i almen interesse at lægge sidste skud på stammen overfor producenten, for de gør jo som regel noget. IBM kom med updates, dagen efter vi offentliggjorde sårbarhederne,« fortæller Vesthammer. Han bliver suppleret af sin kollega, Jakob Heidelberg, der er CEO i Improsec:

»Eksempelvis havde en anden researcher, 6 måneder før og uafhængigt af os, fundet den samme sårbarhed i IBM Tivoli Storage Manager, som vi rapporterede til IBM i marts måned sidste år. IBM havde i den tid ikke gjort noget for at sikre deres kunder, men først da vi lagde pres på, blev de nødt til at rette ind.«

Vesthammer anerkender, at der kan være folk, der kommer i klemme, men forsætter:

»Vi gør det også under den tese, at vi jo ikke nødvendigvis er de første, der har fundet de her sårbarheder. Der kunne jo sidde skumle typer på nettet, som måske ikke er så velvillige til at fortælle producenterne om de sårbarheder de har fundet,« argumenterer Claus Vesthammer, der fortsætter med en historie fra virkeligheden.

»Vi havde fundet nogle uhensigtsmæssigheder i Windows kernel, som en af vores daværende medarbejdere var ovre og fortælle om på Black Hat og Def Con (hacker-, og sikkerhedskonferencer, red.) sidste år. Inden da blev vi kontaktet af en mellemøstlig efterretningstjeneste, som gerne ville købe de exploits under forudsætning af, at de så ikke blev publiceret.«

Hvis nettoresultatet er, at Improsec får tvunget en leverandør til at udgive en patch, men den så alligevel ikke bliver installeret i organisationerne rundt omkring, selv efter at sårbarheden er offentliggjort, har man så ikke gjort mere skade end gavn?

»Det er sådan lidt tilbage til de klassiske dyder indenfor it-sikkerhed. Desværre sidder vi stadig og snakker om de samme ting og problemer, som vi gjorde for ti år siden. Opdater din software. Hav styr på dine brugere. Hav styr på din log. Det er stadig sådan nogle ting, vi bokser med.«

Uanset om man vurderer det rimeligt eller urimeligt at sætte kniven for struberne af softwareleverandørerne, så ændrer det ikke på, at væsentligheden i it-sikkerheden stiger, i takt med at it rykker længere og længere ind vores liv og kontrollerer alt fra identitet til insulinpumper. Heldigvis tager de fleste virksomheder godt imod, når de etiske hackere ringer.

Read the article here