Kontroversiel hacker-forretning er lovlig - sådan da

Illustration: Virrage Images/Bigstock
Det er lovligt, når hackere videresælger viden om alvorlige sikkerhedshuller i dyre domme til virksomheder som Hacking Team. »Svært at tjene gode penge på andre måder,« lyder det fra whitehat-hacker.

Man studser lige et øjeblik, når man hører beløbet: 300.000 kr.

For nogle vil der være tale om en årsløn, men for den russiske hacker Toropov var der blot tale om en enkelt opgave: Han havde fundet en sårbarhed i Flash, som han solgte videre. Ikke til Flash-producenten Adobe, så virksomheden kunne lave en opdatering, der rettede det kritiske sikkerhedshul. Nej, Toropov holdt kortene tæt til kroppen og solgte sin viden sammen med et exploit, han selv havde udviklet, videre til det italienske sikkerhedsfirma Hacking Team.

Læs også: Ekspert: Rigspolitiets kontroversielle software-køb undergraver vores alles it-sikkerhed

Denne praksis er han ikke alene om. Det italienske firma har været i vælten på det seneste på grund af sit omdiskuterede overvågningssoftware, som Hacking Team har solgt til myndigheder verden over, heriblandt Rigspolitiet i Danmark.

Softwaren er især kontroversiel fordi den benytter sig af en række sårbarheder i udbredte applikationer som eksempelvis Flash til at hacke sig ind på de mistænktes computere og smartphones. Viden om sikkerhedshullerne køber Hacking Team sig til blandt hackere verden over, der til gengæld får en stor sum penge for at holde munden lukket omkring sårbarhederne. For hvis softwareproducenterne får nys om dem, bliver de hurtigt lukket, og så kører Hacking Teams forretning ikke rundt.

Denne del af it-sikkerhedsindustrien opererer i en juridisk gråzone, hvor det på den ene side er nødvendigt at have den mest opdaterede viden om aktuelle sikkerhedshuller. Dette indebærer en omgang med en gruppe af hackere, der har et dollarknitrende incitament til at gøre, hvad der skal til, for at finde sikkerhedshuller i den software, som de fleste mennesker bruger hver dag. På den anden side afhænger forretningen af, at denne lyssky viden forbliver uopdaget - da den ellers ikke kan udnyttes af sikkerhedsfirmaernes kunder.

Men hvad man end må mene om sagen, så er denne praksis som sådan ikke ulovlig ifølge it-advokat fra Bird&Bird, Martin von Haller Grønbæk:

»Der er ikke noget som udgangspunkt i vejen for, at man indhenter informationer om systemer og sælger dem videre,« siger han og fortsætter:

»Udfordringen er, at ikke alle offentliggør det, de sælger. Men hvis man tvang folk til at offentliggøre det, så var der heller ikke noget incitament til at opdage sikkerhedshullerne.«

Advokatfirmaet Bird&Bird fik i 2013 til opgave at lave en vurdering for Hacking Team i Italien af, hvorvidt selskabet havde ret til at eksportere sin software til de forskellige lande. Martin von Haller Grønbæk siger i den forbindelse, at han ikke har haft noget konkret med analysen at gøre.

Sårbarheder sælger for millioner på det sorte marked

Det er efterhånden et kendt fænomen - og en mulig karrierevej - at blive såkaldt penetrationstester eller med andre ord: en hacker der finder sårbarheder i systemer og indrapporterer dem.

En af dem er 28-årige Hans-Michael Varbæk. Han blev allerede som 13-årig fanget af idéen om at være hacker efter at have set filmen The Matrix, hvor hovedpersonen Neo sidder og laver programmer til at hacke med.

»Jeg syntes det var spændende. Det virkede som magi dengang, at man med et program kunne lave ting, man måske ikke burde kunne. Så tænkte jeg: gad vide om, man kan det,« siger Hans-Michael Varbæk.

Han måtte dengang lære sig selv at programmere og skaffe viden om, hvordan man fandt sikkerhedshuller i eksempelvis hjemmesider. Det startede som en hobby, hvor han blandt andet har arbejdet som en del af det danskudviklede whitehat-hackernetværk CrowdCurity, der fungerer som en slags Airbnb for penetrationstestere: Her kan virksomheder få adgang til en hær af venligtsindede hackere, der mod betaling finder frem til sårbarheder i virksomhedernes it-systemer. Formålet er her noget end at holde på hemmeligheder: det er at få viden ud til virksomhederne, så de kan få lappet sårbarhederne.

Læs også: Danskere står bag verdensomspændende hackernetværk

Men i dag arbejder Hans-Michael Varbæk for et konsulentfirma med fast løn. For der er langt fra penge nok i de såkaldte bug bounty-programmer, som blandt andet CrowdCurity tilbyder, når man bor i Danmark, lyder dommen. Selvom man ofte hører om en udvikler, der har fundet et mindre sikkerhedshul i eksempelvis Facebook og har tjent en månedsløn på at indrapportere det, så er branchen langt fra så lukrativ, som det indtryk man kan få fra medierne ifølge Hans-Michael Varbæk. Der er mange om buddet, og det kan hurtigt tage lang tid at finde et sikkerhedshul i noget software, som millioner af mennesker bruger.

»For at leve af bug bounty-programmer skal man bo i et billigt land, som fx Thailand,« siger han og tilføjer:

»Medmindre man er rigtig hardcore.«

Og så er vi tilbage til de svimlende summer, der er at hente for hackere i den mere skyggefulde side af branchen.

For at abonnere på Hacking Teams liste over sårbarheder, skal virksomhedens kunder betale over 1,1 mio. kr. årligt. Og det er en af årsagerne til, at Hacking Team kan betale en russisk hacker 300.000 kr. for en enkelt sårbarhed.

»Der har tit været tale om priser på det sorte marked fra 30.000 kr. og op til over tre millioner kr. Men det er svært at sige, hvad man får for de enkelte sårbarheder, fordi det er et lukket marked, hvor man ikke taler om priserne,« siger Hans-Michael Varbæk.

Det betyder dog ikke, at der er tale om det rene slaraffenland. For selvom det er lovligt at sælge viden om kritiske sårbarheder videre til virksomheder som Hacking Team, så afhænger det af, hvordan man har fået fat i den pågældende viden.

»Hvis du var hacker i Danmark, som havde fået adgang til oplysninger om sårbarheder i offentlige systemer ved at angribe systemerne på en måde som er ulovlig efter straffeloven, så er det ulovligt at sælge oplysningerne videre,« siger Martin von Haller Grønbæk.

Samtidig er der heller ikke frit slag til, hvem oplysningerne må sælges til ifølge it-advokaten.

»Det kan være ulovligt, hvis man ved, at dem man sælger videre til, vil bruge sårbarhederne til noget ulovligt,« siger Martin von Haller Grønbæk og bruger The Pirate Bay-sagen som eksempel.

Her blev indehaverne af den omdiskuterede pirat-torrentside dømt på, at de var klar over, at deres tjeneste hovedsageligt blev brugt til ulovlig fildeling.

Igen er der tale om en gråzone, for Hacking Team sælger tilsyneladende ikke sin overvågningssoftware videre til kriminelle grupper, men til myndigheder, der skal operere inden for lovens rammer.

Alligevel kom det for nylig frem - stik mod al det, som Hacking Team tidligere har påstået - at det italienske firma også har solgt sit overvågningssoftware videre til stater som Sudan og Bahrain, der er kendt for sine menneskerettighedsovertrædelser.

Dette er dog ikke i sig selv nok til dømme virksomheden efter straffeloven ifølge Martin von Haller Grønbæk. Kun i de tilfælde hvor de pågældende lande bruger teknologien til at stjæle immaterielle rettigheder fra eksempelvis Danmark, vil det være kriminelt.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#4 Allan Jensen

Hvad adobe skriver ændrer intet ved lovligheden. I danmark for at Tage et helt tilfældig eksempel, er der højsteretsdom for at du ikke fraskrive dig retten til reengeneering uansæt om du skriver under på det. Men sandsynligvis har du ikke skrevet under på noget før købet og så gælder intet Adobe siger juridisk under alle omstændigheder.

  • 0
  • 0
Log ind eller Opret konto for at kommentere