Ethical hacking: Må man dele en it-sårbarhed?

Illustration: Improsec

Illustration: Improsec

Har man ret til at bringe andre folks system-integritet i fare, hvis det er for at forhindre et større angreb, eller er det endda en undladelsessynd, hvis man lader være? Version2 har snakket Responsible Disclosure Policy med Claus Vesthammer, COO i Improsec.

»Da vi gik offentligt med vores seneste tre sårbarheder i IBM Notes, så var det jo faktisk, uden at IBM havde frigivet patches til dem. Vores formål er at gøre verden til et mere sikkert sted, og det kan man gøre på mange måder. En af måderne er at oplyse om sårbarheder, vi finder,« svarer Claus Vesthammer fra Improsec, der anerkender, at den sårbare softwareleverandør teknisk set ikke er deres kunde, og sårbarheden derfor heller ikke deres problem.

»Men så ville jeg også fralægge mig ansvaret. Så siger vi: ‘Vi kender den her sårbarhed, men så gør vi bare ikke noget. Så håber vi, at der ikke er nogen andre, der finder den’,« forklarer Claus Vesthammer, der muligvis har en pointe.

Spørger man Claus Vesthammer, om det er nok, hvis man blot underretter softwareleverandøren, får man et nej:

»Det må være i almen interesse at lægge sidste skud på stammen overfor producenten, for de gør jo som regel noget. IBM kom med updates, dagen efter vi offentliggjorde sårbarhederne,« fortæller Vesthammer.

Read the article here