Danskere kontaktet af 'fremmed nations militære organisation' efter fund af Windows-sprækker

Sikkerhedsvirksomheden ImproSec er blevet kontaktet af en militær organisation fra et andet land, som gerne ville købe sårbarheder.

På baggrund af de sprækker, Morten Schenk fra it-sikkerhedsvirksomheden ImproSec har fundet i Windows 10's forsvarsværker, er den danske virksomhed blevet kontaktet af en militær organisation i et andet land.

CEO i ImproSec Jakob Heidelberg ønsker ikke at komme det meget nærmere, end at kontakten var fra en 'fremmed stats militære organisation'. Han kan dog fortælle, at der er tale om et mellemøstligt land.

»Jeg kan ikke sige, hvem det er og sådan noget, det vil jeg ikke. Dem vil jeg ikke have efter mig, lad os bare sige det sådan.«

Jakob Heidelberg er CEO i it-sikkerhedsvirksomheden ImproSec. Illustration: Privatfoto

Henvendelsen drejede sig om, at den unavngivne organisation var interesseret i at købe sårbarheder i software, når ImproSec finder dem.

Version2 har på det seneste bragt flere historier om de sårbarheder, sikkerhedsfolkene fra ImproSec har fundet frem til.

Dels var der historien om en sårbarhed i IBM's storage-backup-software Tivoli, og senest er der fortællingen om Morten Schenks opdagelse af flere teknikker til at omgå indbyggede sikkerhedsmekanismer i Windows 10, såsom Kernel address space layout randomization (KASLR).

Morten Schenk planlægger at offentliggøre de nærmere detaljer i forhold til dette arbejde på den kommende Black Hat-konference, der finder sted i slutningen af juli i Las Vegas.

Læs også: Dansker vil offentliggøre flere sprækker i Windows 10's forsvar - udenom Microsoft

Og det er tilsyneladende Schenks graven rundt i Windows 10-kernen, der er er kommet den udenlandske organisation for øre, som så har kontaktet ImproSec.

I udgangspunktet er det da heller ikke så mærkeligt, hvis netop fortællingen om den danske virksomheds opdagelse af flere - ikke-offentliggjorte problemer - i et stykke ekstremt udbredt software som Windows 10 kan have interesse for sådan en organisation.

Som bekendt er der ikke noget usædvanligt i, at diverse statslige organisationer interesserer sig for sårbarheder i software, der kan bruges til at kompromittere systemer i f.eks. efterforsknings- eller spionage-øjemed.

Tidligere har det eksempelvis været fremme, hvordan det danske rigspoliti var på kundelisten hos italienske Hacking Team. Det var en virksomhed, der specialiserede sig i at sælge sårbarheder i forskellig software, og som selv endte med at blive ramt af et datalæk.

Og så var der historien om EternalBlue-exploited, der oprindeligt skulle stamme fra NSA, og som endte med at blive brugt af andre i forbindelse med både WannaCry-angrebet og det senere såkaldte NotPetya-angreb.

Troede, det var en svindler

Tilbage til ImproSec. Da virksomheden blev kontaktet af den militære organisation, foregik det uden kryptering eller forsøg på at camouflere kontaktens oprindelse.

»Det var meget lige ud af boksen,« som Jakob Heidelberg formulerer det.

I første omgang troede han faktisk, at der var tale om en eller anden form for svindel.

»Så undersøgte jeg det nærmere, og det var en konkret person, som var ansat ved denne her fremmede stat.«

Først blev der sendt et par mails, og senere kom der så et opkald fra personen, der altså var interesseret i at købe sårbarhederne fra den danske virksomhed. En konkret pris blev dog aldrig diskuteret, fortæller Jakob Heidelberg.

»Så dybt gik vi ikke ind. Vi afviste dem i porten.«

I forhold til prisen så kunne en stat sagtens vise sig at være villig til at betale væsentligt mere for oplysninger om en sårbarhed, sammenlignet med hvad producenten af den pågældende software selv ville betale som et led i et bug bounty-program.

Altså et af den slags programmer, hvor sikkerhedsforskere som Jakob Heidelberg og Morten Schenk modtager en kontant belønning for at finde sikkerhedshuller og gøre producenten opmærksom på det.

Principielt afviser Jakob Heidelberg dog at ville tage imod et tilbud fra - i dette tilfælde - en fremmed stat om at købe sårbarheder.

»Det vil vi ikke, det strider mod etiske principper. Alle mennesker har jo formentlig en eller anden grænse, kunne jeg forestille mig, men det er slet ikke noget, vi spekulerer i overhovedet.«

Opmærksomme på egen sikkerhed

Når eksempelvis fremmede stater er ude efter den slags sårbarheder, som sikkerhedsforskerne hos ImproSec kan grave frem, så stiller det selvsagt også høje krav til virksomhedens eget sikkerhedsniveau. Det er jo ikke sikkert, interesserede aktører spørger om lov, før de forsøger at tage sårbarhederne.

»Vi er ekstremt opmærksomme på, at et en kompromittering af et sikkerhedsfirma ville være på niveau med kompromittering af et hosting firma,« siger Jakob Heidelberg.

Han ønsker ikke at gå for langt ned i detaljer med, hvilke tiltag ImproSec selv tager for at sikre sig, men han kan løfte sløret for, at det involverer en vis grad af krypteret kommunikation, offline dataopbevaring, sikker opbevaring af nøgler og generel opmærksomhed blandt sikkerhedsfolkene.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Povl H. Pedersen

Heidelberg som navn, og mellemøsten som region, så er der vel kun en oplagt kandidat. Et land som generelt er meget stærke på området, både nationalt og i den private sektor.

Der er vel ikke mange lande der har en officiel cyber afdeling i den region.

  • 0
  • 1
Tom Paamand

Jeg brød selv sammen i et skraldergrin, da den cubanske ambassade i 90erne ringede om et muligt betalt samarbejde omkring min viden om dansk våbenproduktion. Jeg ringede selvfølgelig tilbage for at få opklaret om kontaktforsøget var reelt - og det var det. Penge kan man jo altid bruge - for der er stort set intet at tjene på artikler mm om emnet.

Men nej, jeg har ingen interesse i at hjælpe militante regimer, og lod det blive ved den sjove historie. Kvajhovederne kunne bare have sendt en agent klædt ud som journalist, for jeg deler altid velvilligt ud, hvis målet er fuld offentliggørelse. Ligesom ImproSec åbenbart har valgt om den sårbarhed i Windows 10 - hvor (mon ikke det er) Saudi-Arabien da bare frit kunne deltage i Black Hat-konferencen sammen med alle deres bogstav-kollegaer.

  • 0
  • 0
Log ind eller Opret konto for at kommentere