Hvad er en sikkerhedsbrist værd?
Set ud fra et forretningsperspektiv, hvad er så den negative værdi af et sikkerhedshul på en virksomheds hjemmeside? Eller nærmere, hvordan regner man på det, hvilket værditab kan hullet evt. føre til, og hvad er sandsyneligheden for det værst tænkelige? Omvendt, hvad er værdien af viden om et hul for en 3. part? Kan den viden sælges til hullets ejermand? Eller er der kun de mere lyssky forretningsmodeller?
Hvis du vil handle med sikkerhedsbrister skal du nok satse på de lyssky forretningsmodeller. Efter nyhederne at dømme, vil du i de fleste tilfælde prøve at sælge en viden, som virksomhederne helst er foruden. Det scorer du ikke kassen på.
-
0 -
0
Det er klart, at viden om et sikkerhedshul kun har en værdi, fordi der potentielt er nogen, der kunne finde på at udnytte hullet. Trussel om at udnytte hullet eller trussel om at sælge viden om hullet må klart siges at høre til de lyssky forretningsmodeller. Det er nok svært generelt at kvantificere værdien på det lyssky marked af viden om et hul. Det må jo komme an på, hvad hullet potentielt kan bruges til. Hertil kommer påvirkningen af virksomhedens kursværdi, men af for mig uforståelige årsager ser det indtil videre ikke ud til, at de finansielle markeder overhovedet reagerer på disse forhold.
Den potentielle eksistens af lyssky elementer, der kunne udnytte disse lyssky forretningsmodeller, burde være tilstrækkeligt til, at en fornuftig virksomhedsledelse burde honorere den whistle-blower, der kommer med en sådan viden, om ikke andet så symbolsk.
På den ene side er en person med viden om et sikkerhedshul moralsk forpligtet til at informere hullets ejermand, derfor kan denne whistle-blower ikke forvente noget honorar, eller i hvert fald kun i symbolsk størrelse. På den anden side så ved vi, at der eksisterer et antal personer med en ikke helt uangribelig moralsk integritet, derfor burde en whistle-blower honoreres i forhold til den lyssky markedsværdi af viden om hullet for ikke at friste svage(re) sjæle.
De lyssky forretningsmodeller vil altid være de mest lukrative, men indebærer potentielt mindre attraktive implikationer, fx påtvungen ferie på Hotel Tremmely. Men der er da klart også en forretningsmodel i at finde og sælge viden om sikkerhedshuller - det er jo i bund og grund det, penetrationstest går ud på.
-
0
-
0
Svaret er altså ikke en disse, med mindre man bevæger sig over på den anden side af loven.
Selv uden at forlange penge for sikkerhedshuller kan det være ganske svært at trænge igennem, til tider føler man sig bare til grin. Se fx følgende korrespondence med en medarbejder i et webbaseret millionforetagende:
12/6-2008
Dear *** staff
I have found and confirmed a general Cross Site Request Forgery vulnerability on the *** web site. Basically all user actions can be spoofed by linking to an external malicious page. Anyone clicking such a link will have actions performed in their name at the attackers discression.
I would like to offer my service in the process of removing this vulnerability.
Regards
Jacob Christian Munch-Andersen
14/6-2008
Dear Jacob,
Thank you very much for alerting us about this vulnerability. And yes, you are correct, our users are potentially vulnerable for attacks of this nature. We are currently in the process of rewriting our entire codebase in ASP.NET and when that work is finished in a month or two, the entire site will use ViewStates that cannot be changed and also ValidateRequest.
Thanks again for letting us know, and please let us know if you find anything else which might compromise security on ***.
Best regards,
Note: I *** tidsregning er en til to måneder et meget vidt begreb.
-
0
-
0
Hvad sagde jeg? (Undskyld, jeg kunne ikke lade være!)
Flink mand - du fik at vide at du har 'et par måneder', så du kan roligt bruge en uges tid på at udnytte din viden på 'skyggesiden'. Og måske et hint om hvad du skal stille op med den 'nye' site. Der var tilsyneladende ret meget tillid til teknikken, så mon ikke de har overset nogle andre huller?
-
0
-
0
Det er da bedre end trusler om politi og / eller juridiske fælder...
Responsible disclosure er dødt.
-
0
-
0
