Kommentar: Du bliver nødt til at lytte til dem der finder sikkerhedshuller i din software

Det var en lang vej, men i dag er både Microsoft, Facebook og endda Pornhub i stand til at håndtere henvendelser om sikkerhedshuller diskret og hurtigt.

Der er en udtværet streg i sandet, som markerer grænsen mellem den nødvendige hacking, og hacking der volder skade. Eller sådan kan det i hvert fald til tider se ud, når en it-leverandør eller en systemejer langer ud efter hackeren med politianmeldelser og advokater.

For de it-sikkerhedsbevidste er stregen imidlertid ganske tydelig, for hvis du trækker data ud af et system for at vise, at der er et sikkerhedshul og for at gøre de rette personer opmærksomme på problemet, så sikkerhedshullet kan lukkes, så har du blot bidraget til at hærde systemet.

Hvis du finder et sikkerhedshul og trækker data ud for selv at bruge dem eller sælge dem videre, så er du på den anden side af stregen. Men hvorfor ser vi så flere danske sager, som er kendetegnet af to ting:

For det første reagerer leverandøren ikke på henvendelsen. I visse tilfælde er forklaringen, at det kan være svært at finde frem til den rette kontakt - skal man eksempelvis kontakte kommunen eller leverandøren, hvis sikkerhedshullet findes i et selvbetjeningssystem på kommunens hjemmeside?

For det andet bliver den, der finder sikkerhedshullet mødt med trusler eller ligefrem en politianmeldelse. Her er det springende punkt ofte, at personen er startet som privat bruger af systemet, har opdaget en uregelmæssighed og har testet, hvor alvorligt et sikkerhedshul der er tale om. Denne test kan indebære at trække data ud af systemet, uden der er et almindeligt legitimt formål.

0-dags-årene i 00'erne

Det er imidlertid vigtigt som både leverandør og kunde at holde sig for øje, hvad alternativet kan være til ikke at have en politik for håndtering af indberetning af sårbarheder. Det mest grelle eksempel er perioden i 00'erne, hvor især Microsoft holdt nervøst øje med mailing-listen Full Disclosure.

Dengang var indrapportering af sårbarheder ikke sat i system. Derfor så man både eksempler på at skabe ravage ved at afsløre sikkerhedshuller uden varsel, men der var også sikkerhedseksperter, som valgte at afsløre sikkerhedshuller, der ikke var lukket, i et forsøg på at få leverandøren til at reagere.

Tanken bag de sidste tilfælde var, at når de var i stand til at finde sikkerhedshullet, så kunne der også være personer med mere skumle motiver, som kunne finde det samme sikkerhedshul.

Og det er en vigtig pointe. Uanset hvordan det bliver opdaget, så eksisterer sikkerhedshullet. Og der er sikkert flere. Så selvom du lukker for sårbarheden, så vil der være andre, du ikke har opdaget endnu.

Ansvarlig rapportering af sårbarheder

Balladen i 00'erne førte til begrebet 'responsible disclosure', altså ansvarlig rapportering af sårbarheder. Et af de væsentligste tiltag - som i første omgang var kontroversielt - var Tipping Point, som tilbød at betale for oplysninger om alvorlige sikkerhedshuller.

Det kom som en modreaktion på, at visse typer sårbarheder blev handlet på sorte børser og købt af dem, der eksempelvis ville inficere Windows-pc'er med en bagdør, som kunne bruges til DDoS-angreb og pengeafpresning eller tyveri af kreditkortinformationer.

I dag findes der en række af disse dusørprogrammer eller bug bounty-ordninger, hvor leverandøren enten selv eller gennem en partner sørger for at kunne tage imod henvendelser om sikkerhedshuller, kommunikere med den person, som har fundet sårbarheden og give en passende belønning.

Det er en ordning, der lægger et ansvar på begge parter. Den der finder sikkerhedshullet skal holde på information, indtil leverandøren har haft passende mulighed for at lukke hullet. Og leverandøren skal kommunikere om processen, så sikkerhedseksperten ved, hvordan der bliver taget hånd om sagen.

Som leverandør skal man huske, at dem, der indrapporterer sikkerhedshuller, ofte er motiveret af en oprigtig bekymring for, at sårbarheden kan blive misbrugt og kompromittere data om systemets brugere.

Som at blive boret hos tandlægen

Som systemleverandør kan en henvendelse om et it-sikkerhedshul være ubehagelig. Der må jo ikke være fri adgang til at høste cpr-numre fra systemet. Og den, der finder sikkerhedshullet, har haft fingrene langt nok nede i systemet til at få bekræftet, hvor galt det står til.

Men det er som at blive boret hos tandlægen. Der skal prikkes, lirkes og bores for at være sikker på, at der rent faktisk er et sikkerhedshul og for at kunne fortælle, præcis hvor udviklerne skal lede efter problemet.

Hvis sikkerhedseksperten - efter at have tilgået data på en ikke-tilsigtet måde - bliver mødt med en politianmeldelse, så kan det måske være et udslag af en strategi, som handler om at lægge låg på sagen.

Politianmeldelser er ofte sket i sager, hvor der har været medieomtale af sikkerhedshullerne. Her ligner en politianmeldelse noget, som dels skal få personen til at trække følehornene til sig og holde op med at udtale sig til medierne, og dels som en advarsel til andre, der måtte finde sikkerhedshuller og overvejer at kontakte medierne.

Men i disse sager har personen som regel forsøgt på én eller anden måde at få leverandøren eller kunden i tale og gøre opmærksom på problemet. Hvis der ikke kommer et svar, og sikkerhedshullet stadig står åbent, så vælger nogle af disse personer at kontakte medierne.

De ansvarlige principper

Det er ikke kønt at skulle udstille sine sikkerhedshuller. Og måske er der kunder, som bliver skræmt væk, hvis man forklarer dem om sit offentlige program for indrapportering af sårbarheder. Men Microsoft, Google, Facebook og hundredvis af andre it-selskaber har vist, at det virker i det lange løb og øger troværdigheden.

Et godt sted at starte kunne være at se på de politikker, som brugerne af tjenesten Hackerone har opstillet. Det danskstiftede og nu San Francisco-baserede selskab Zendesk bruger Hackerone og har en standardpolitik.

Den omfatter, hvilken information der skal indgå, og hvilke rammer der er tilladt for at teste en sårbarhed. Her er det eksempelvis ikke tilladt at forsøge et denial-of-service-angreb, men reglerne siger ikke noget om, at man ikke må forsøge at trække data ud som led i en test.

De firmaer, som har ordninger for indrapportering af sårbarheder, har også tydelig kontaktinformation og gør opmærksom på, hvor lang tid, de skal bruge på at undersøge en anmeldelse og udbedre sårbarheden.

Ingen siger, at sikkerhedshuller behøver udløse en kontant belønning, men en stående trussel om eksempelvis en politianmeldelse vil i hvert fald kun sikre, at sårbarhederne ikke bliver rapporteret til leverandøren.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (5)

Kommentarer (5)
Niels Henrik Sodemann

Eller benytte platform som danskstartede https://cobalt.io. Vi har brugt dem i nogle år og man må bare konstatere at det er relative vildt hvor mange huller der er I vores kode, som vi har ment var i orden.

Det er selvfølgelig ekstremt frustrerende når huller bliver fundet, både fordi de skal rettes, men også fordi vi skal betale en Bounty på mellem $100 og $1500.

Rigtig meget pen test i det offentlige sker efter ”lænestols modellen”, med traditionelle konsulenter / værktøjer. Man må bare konstatere at hackerne ude i den store verden, har et kæmpe forspring i viden og værktøjer. Det er selvfølgelig derfor, der dukker som mange sager op.

PS: Frederiksberg / KMD sagen havde minimum givet en $1500 bounty.

Niels Henrik Sodemann

Hvordan er kvaliteten af de rapporter du modtager?

Det er ikke rapporter, men fungere som følgende. Vi opretter et timeslot på f.eks. en måned hvor godkendte hackere så prøver at finde huller i vores system.

Hvis de finder et hul og/eller det der ligner et hul opretter de en rapport på en portal, inkl. en beskrivelse af hvad præcis man gør for at udnytte hul. Der er ca. en A4 side i omfang i gennemsnit. Vi skal så vurdere beskrivelse af hul samt kritikallitet. Når vi godkender en rapport trækkes bounty på mellem$100 og $1500 på vores konto.

Vi startede på et niveau hvor vi havde lukket alle huller fra McAfee Secure, samt var PCI complient og relativt sikre på at alt var i orden. Jeg tror at vi har lukket mere end 50 huller siden dengang (og betalt en del bounty).

Hans Schou

Det gør det nemmere at læse artiklen, når rollen på den der finder et hul, gennemgående bliver kaldt sikkerhedseksperten. Men nogle gange er det skræmmende lidt ekspert man skal være, så som Harald-Nyborg-hackeren. Kort fortalt ændrede sikkerhedseksperten et tal i URL'en, og fik adgang til en andens ordre. Billedligt talt, fra http://harald-nyborg.dk/?ordre=7 til http://harald-nyborg.dk/?ordre=8

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Affecto Denmark reaches highest Microsoft Partner level

Affecto Denmark, a leading provider of data-driven solutions, has reached the highest level in the Microsoft partner ecosystem: Managed Partner.
22. jun 2017

Innovate your business with Affecto's IoT Explorer Kit

Are you unsure if Internet of Things fits your business strategy?
31. maj 2017

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017