Kommentar: Du bliver nødt til at lytte til dem der finder sikkerhedshuller i din software

Det var en lang vej, men i dag er både Microsoft, Facebook og endda Pornhub i stand til at håndtere henvendelser om sikkerhedshuller diskret og hurtigt.

Der er en udtværet streg i sandet, som markerer grænsen mellem den nødvendige hacking, og hacking der volder skade. Eller sådan kan det i hvert fald til tider se ud, når en it-leverandør eller en systemejer langer ud efter hackeren med politianmeldelser og advokater.

For de it-sikkerhedsbevidste er stregen imidlertid ganske tydelig, for hvis du trækker data ud af et system for at vise, at der er et sikkerhedshul og for at gøre de rette personer opmærksomme på problemet, så sikkerhedshullet kan lukkes, så har du blot bidraget til at hærde systemet.

Hvis du finder et sikkerhedshul og trækker data ud for selv at bruge dem eller sælge dem videre, så er du på den anden side af stregen. Men hvorfor ser vi så flere danske sager, som er kendetegnet af to ting:

For det første reagerer leverandøren ikke på henvendelsen. I visse tilfælde er forklaringen, at det kan være svært at finde frem til den rette kontakt - skal man eksempelvis kontakte kommunen eller leverandøren, hvis sikkerhedshullet findes i et selvbetjeningssystem på kommunens hjemmeside?

For det andet bliver den, der finder sikkerhedshullet mødt med trusler eller ligefrem en politianmeldelse. Her er det springende punkt ofte, at personen er startet som privat bruger af systemet, har opdaget en uregelmæssighed og har testet, hvor alvorligt et sikkerhedshul der er tale om. Denne test kan indebære at trække data ud af systemet, uden der er et almindeligt legitimt formål.

0-dags-årene i 00'erne

Det er imidlertid vigtigt som både leverandør og kunde at holde sig for øje, hvad alternativet kan være til ikke at have en politik for håndtering af indberetning af sårbarheder. Det mest grelle eksempel er perioden i 00'erne, hvor især Microsoft holdt nervøst øje med mailing-listen Full Disclosure.

Dengang var indrapportering af sårbarheder ikke sat i system. Derfor så man både eksempler på at skabe ravage ved at afsløre sikkerhedshuller uden varsel, men der var også sikkerhedseksperter, som valgte at afsløre sikkerhedshuller, der ikke var lukket, i et forsøg på at få leverandøren til at reagere.

Tanken bag de sidste tilfælde var, at når de var i stand til at finde sikkerhedshullet, så kunne der også være personer med mere skumle motiver, som kunne finde det samme sikkerhedshul.

Og det er en vigtig pointe. Uanset hvordan det bliver opdaget, så eksisterer sikkerhedshullet. Og der er sikkert flere. Så selvom du lukker for sårbarheden, så vil der være andre, du ikke har opdaget endnu.

Ansvarlig rapportering af sårbarheder

Balladen i 00'erne førte til begrebet 'responsible disclosure', altså ansvarlig rapportering af sårbarheder. Et af de væsentligste tiltag - som i første omgang var kontroversielt - var Tipping Point, som tilbød at betale for oplysninger om alvorlige sikkerhedshuller.

Det kom som en modreaktion på, at visse typer sårbarheder blev handlet på sorte børser og købt af dem, der eksempelvis ville inficere Windows-pc'er med en bagdør, som kunne bruges til DDoS-angreb og pengeafpresning eller tyveri af kreditkortinformationer.

I dag findes der en række af disse dusørprogrammer eller bug bounty-ordninger, hvor leverandøren enten selv eller gennem en partner sørger for at kunne tage imod henvendelser om sikkerhedshuller, kommunikere med den person, som har fundet sårbarheden og give en passende belønning.

Det er en ordning, der lægger et ansvar på begge parter. Den der finder sikkerhedshullet skal holde på information, indtil leverandøren har haft passende mulighed for at lukke hullet. Og leverandøren skal kommunikere om processen, så sikkerhedseksperten ved, hvordan der bliver taget hånd om sagen.

Som leverandør skal man huske, at dem, der indrapporterer sikkerhedshuller, ofte er motiveret af en oprigtig bekymring for, at sårbarheden kan blive misbrugt og kompromittere data om systemets brugere.

Som at blive boret hos tandlægen

Som systemleverandør kan en henvendelse om et it-sikkerhedshul være ubehagelig. Der må jo ikke være fri adgang til at høste cpr-numre fra systemet. Og den, der finder sikkerhedshullet, har haft fingrene langt nok nede i systemet til at få bekræftet, hvor galt det står til.

Men det er som at blive boret hos tandlægen. Der skal prikkes, lirkes og bores for at være sikker på, at der rent faktisk er et sikkerhedshul og for at kunne fortælle, præcis hvor udviklerne skal lede efter problemet.

Hvis sikkerhedseksperten - efter at have tilgået data på en ikke-tilsigtet måde - bliver mødt med en politianmeldelse, så kan det måske være et udslag af en strategi, som handler om at lægge låg på sagen.

Politianmeldelser er ofte sket i sager, hvor der har været medieomtale af sikkerhedshullerne. Her ligner en politianmeldelse noget, som dels skal få personen til at trække følehornene til sig og holde op med at udtale sig til medierne, og dels som en advarsel til andre, der måtte finde sikkerhedshuller og overvejer at kontakte medierne.

Men i disse sager har personen som regel forsøgt på én eller anden måde at få leverandøren eller kunden i tale og gøre opmærksom på problemet. Hvis der ikke kommer et svar, og sikkerhedshullet stadig står åbent, så vælger nogle af disse personer at kontakte medierne.

De ansvarlige principper

Det er ikke kønt at skulle udstille sine sikkerhedshuller. Og måske er der kunder, som bliver skræmt væk, hvis man forklarer dem om sit offentlige program for indrapportering af sårbarheder. Men Microsoft, Google, Facebook og hundredvis af andre it-selskaber har vist, at det virker i det lange løb og øger troværdigheden.

Et godt sted at starte kunne være at se på de politikker, som brugerne af tjenesten Hackerone har opstillet. Det danskstiftede og nu San Francisco-baserede selskab Zendesk bruger Hackerone og har en standardpolitik.

Den omfatter, hvilken information der skal indgå, og hvilke rammer der er tilladt for at teste en sårbarhed. Her er det eksempelvis ikke tilladt at forsøge et denial-of-service-angreb, men reglerne siger ikke noget om, at man ikke må forsøge at trække data ud som led i en test.

De firmaer, som har ordninger for indrapportering af sårbarheder, har også tydelig kontaktinformation og gør opmærksom på, hvor lang tid, de skal bruge på at undersøge en anmeldelse og udbedre sårbarheden.

Ingen siger, at sikkerhedshuller behøver udløse en kontant belønning, men en stående trussel om eksempelvis en politianmeldelse vil i hvert fald kun sikre, at sårbarhederne ikke bliver rapporteret til leverandøren.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
Niels Henrik Sodemann

Eller benytte platform som danskstartede https://cobalt.io. Vi har brugt dem i nogle år og man må bare konstatere at det er relative vildt hvor mange huller der er I vores kode, som vi har ment var i orden.

Det er selvfølgelig ekstremt frustrerende når huller bliver fundet, både fordi de skal rettes, men også fordi vi skal betale en Bounty på mellem $100 og $1500.

Rigtig meget pen test i det offentlige sker efter ”lænestols modellen”, med traditionelle konsulenter / værktøjer. Man må bare konstatere at hackerne ude i den store verden, har et kæmpe forspring i viden og værktøjer. Det er selvfølgelig derfor, der dukker som mange sager op.

PS: Frederiksberg / KMD sagen havde minimum givet en $1500 bounty.

Niels Henrik Sodemann

Hvordan er kvaliteten af de rapporter du modtager?

Det er ikke rapporter, men fungere som følgende. Vi opretter et timeslot på f.eks. en måned hvor godkendte hackere så prøver at finde huller i vores system.

Hvis de finder et hul og/eller det der ligner et hul opretter de en rapport på en portal, inkl. en beskrivelse af hvad præcis man gør for at udnytte hul. Der er ca. en A4 side i omfang i gennemsnit. Vi skal så vurdere beskrivelse af hul samt kritikallitet. Når vi godkender en rapport trækkes bounty på mellem$100 og $1500 på vores konto.

Vi startede på et niveau hvor vi havde lukket alle huller fra McAfee Secure, samt var PCI complient og relativt sikre på at alt var i orden. Jeg tror at vi har lukket mere end 50 huller siden dengang (og betalt en del bounty).

Hans Schou

Det gør det nemmere at læse artiklen, når rollen på den der finder et hul, gennemgående bliver kaldt sikkerhedseksperten. Men nogle gange er det skræmmende lidt ekspert man skal være, så som Harald-Nyborg-hackeren. Kort fortalt ændrede sikkerhedseksperten et tal i URL'en, og fik adgang til en andens ordre. Billedligt talt, fra http://harald-nyborg.dk/?ordre=7 til http://harald-nyborg.dk/?ordre=8

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017