Version2’s læsere: Ingen ved deres fulde fem vil indrapportere sikkerhedshuller

Hvordan skal sikkerhedshuller og -sårbarheder i it-systemer kunne komme for dagens lys, når den velmenende borger mødes af en politianmeldelse. Det spørgsmål har den seneste uge optaget Version2’s læsere.

Vi kunne før jul fortælle historien om, hvordan softwareudvikleren Henrik Høyer er blevet tiltalt af politiet for både at have hacket og udøvet hærværk mod it-systemet i sin søns børnehave.

Sagen startede allerede i december 2014, hvor børnehaven Frændehus havde fået et nyt it-system fra leverandøren Infoba. Systemet fungerer som en digital udgave af opslagstavlen mellem forældre og pædagoger i børnehaven og gemmer blandt andet på informationer om børnenes fravær samt mere følsomme personoplysninger omkring allergier og sygdomme.

Læs også: Softwareudvikler er tiltalt for hacking og hærværk mod it-system i søns børnehave

Henrik Høyer blev bekymret for it-sikkerheden i systemet, og valgte derfor at teste, om systemet nu også var sikkert - hvilket han kunne konstatere, ikke var tilfældet. Blandt andet var systemets beskedfunktion programmeret således, at det ikke rensede indlæg for eventuelle script-koder.

En sårbarhed Henrik Høyer valgte at udnytte og via script injection-metoden skrive en besked i systemet med et javascript, der fik en popup til at komme frem hos brugerne med ordlyden: »Ring til Infoba og sig, at jeres nye intranet-løsning er blevet hacket«.

Infoba valgte at politianmelde softwareudvikleren – en sag der nu kommer for byretten i Roskilde. Ifølge juraprofessor Lars Bo Langsted fra forskningscentret i cyberkriminalitet ved Aalborg Universitet kan sagen danne præcedens på et område, der er fyldt med usikkerhed og mangel på tidligere retslige afgørelser.

Artiklen satte gang i en lang og meget interessant diskussion blandt Version2’s læsere.

Hvorfor skal budbringeren skydes?

»Det her med at man skyder budbringeren, i stedet for at klynge firmaet op og give dem ansvar, er typisk Danmark. Manden skulle have en flaske rødvin og tak. I stedet får han en retssag på nakken. Det er jo netop på grund af mennesker som ham, at vi kan gøre systemerne mere sikre mod de rigtige banditter,« lyder det fra Version2-læser Dan Riis.

Flere i debatten giver udtryk for, at det burde være strafbart at lave så dårlig kode, som det umiddelbart synes Infoba har begået. Version2-læser Jens Holm skriver blandt andet:

»Jeg forstår ikke, at det ikke er strafbart, at levere usikre It systemer med henblik på at håndtere personfølsomme oplysninger. Jeg tænker, at Infoba burde straffes for lemfældig omgang med personfølsomme oplysninger.«

Er det lovligt at teste for sårbarheder i it-systemer?

I artiklen anbefaler juraprofessor Lars Bo Langsted, at man aldrig forsøger at undersøge it-systemer for sikkerhedshuller uden at spørge leverandøren om lov først.

»Siger de nej, skal man holde sig væk. Det er strafbart uretmæssigt at skaffe sig adgang,« siger han til Version2.

Den udmelding er flere Version2-læsere helt enige i

»Jeg synes, at whitehat-hackere er fantastiske, når de gider beskæftige sig frivilligt med test af systemer. Men de er sgu nødt til at have tilladelserne på plads – også selvom systemejeren er ærekær og ikke reagerer. Der er for meget Vilde Vesten over det andet der,« skriver Simon Justesen.

Mens Kristoffer Olsen ser det som et problem, hvis det kræver en forudgående tilladelse at kigge efter sikkerhedshuller.

»Tænk hvis dette havde været den gældende retstilstand på markedet for operativsystemer og browserløsninger. Så var vi godt nok ikke kommet langt i bestræbelserne på at give almindelige brugere et højere niveau af datasikkerhed,« skriver han.

Skyldig kendelse vil resultere i flere sikkerhedshuller

Version2-læser Dan Storm frygter konsekvenserne, hvis Henrik Høyer dømmes skyldig i sagen: »Så har vi fået en principiel afgørelse, som betyder, at virksomheder kan udvikle løsninger til både det offentlige og private, som kan være fyldt med sikkerhedshuller og sårbarheder, de ikke vil blive gjort opmærksom på, udover når et reelt angreb sker.«

Peter Christiansen mener ikke, at der er nogen ved deres fulde fem, som har lyst til at oplyse danske virksomhed eller institutioner om sikkerhedshuller efter denne farce.

»Det burde være fuldt lovligt at skrive hvilket som helst input i hvilken som helst formular, url etc. uden at blive retsforfulgt. Det er udviklerens opgave at sikre input til hans system og ingen andres,« skriver han

Mens Brian Hansen i en sarkastisk tone anskueliggør, hvorledes softwarefirmaer måske fremover skal gøres opmærksom på sikkerhedshuller:

»Slør dine spor, advar ejeren af systemet og giv dem lidt tid til at fikse det. Derefter poster du exploitet på reddit / pastebin, og læner dig tilbage … Det er jo tydeligvis sådan, at de vil have det,« skriver han

Ditlev Petersen mener, at at en velmenende borger, der afprøver sikkerheden i et it-system, altid vil stå i en dårlig stilling, fordi der enten udføres hacking eller forsøg på hacking: »Der burde findes en offentlig myndighed med ret og pligt til løbende at undersøge sikkerheden i livsvigte systemer og systemer med følsomme data. Og med både mandskab og evner inden for alle slags grimme trick,« lyder hans forslag i stedet.

Endelig skriver Version2-læser Peter Makholm meget fornuftigt: »Hvis vi ønsker at kunne diskutere fejl åbent og ærligt, kræver det, at begge sider af diskussionen påtager sig et ansvar for at handle forsvarligt.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bjarke Jørgensen

Jeg synes det er en rigtig god idé med de her opfølgningsartikler (dog måske knap så meget sensationsoverskrift). Det gør også at man har lyst til at give sit besyv med, og at vi får nogle gode og relevante debatter så vi kan blive klogere.

Keep it up

  • 14
  • 0
Bent Jensen

og andre selskaber som tager sikkerhed og løsning af huller alvorligt. Samt ligefrem giver penge til dem som indrapportere hullerne.

Selskaber der tror at trusler og sikkerhed ved "hemmelighed" virker kan bliver meget hårdt ramt. Prøv at se på Sony.

Med hensyn til softwaren i børnehaven, så håber jeg da de har fået lukket alle huller, da de ved deres ageren har fået sat sig selv i kikkerten.

  • 9
  • 0
Ivo Santos

Med alle de der ligegyldige retssager uskyldige har fået på halsen, er det lige før at det bedste man kan gøre er at rejse til f.eks. et østeuropæisk land og sende en besked til diverse hacker samfund, og så bagefter brokke sig over hvorfor alle de der amatør firmaer overhovedet har fået de pågældende vigtige opgaver i de hele taget.
Og på den anden side hvorfor har datatilsynet ikke de samme rettigheder som f.eks. det amerikanske NTSB for hvis de havde kunne de vel have lukket ned for de problemfylde projekter.
Tag f.eks. Concorden, det var åbenbart for dyrt at opgradere sikkerheden i de pågældende fly, hvilken resulterede de ikke kom oppe at flyve efter de blev tvunget til at blive på landjorden, den slags kan vi jo takke sådan nogen som f.eks. NTSB, derfor vi mangler noget lignende indenfor it og lign.

  • 4
  • 1
Michael Hansen

Jeg spår nu, at flere nu vil teste det anonymt, og istedet for at kontakte relevant firma/myndighed for at gøre dem opmærksom på det/få det løst, så bliver alle data bare lækket istedet, er det bedre for alle, nej egentlig ikke, men hvis alternativet er de konstant går efter budbringerne så er det jo bare det, det vil ende med.

  • 5
  • 0
Tobias German Jørgensen

Jvf. https://www.youtube.com/watch?v=XGmDBo-00mY kontaktede Alexander Graf det tyske medie "Heise Online" og delte ad den vej hans exploit uden umiddelbart at stå frem personligt. Det kunne jo være en fremtidig best practice at kontakte et seriøst it-medie med dokumentation af exploitet som så kan kontakte den relevante virksomhed for en kommentar med et par måneders deadline til offentliggørelse. Dermed er hackeren vel dækket af kildebeskyttelse, og kan samtidigt stole på at der bliver fulgt op på fejlen(e)?!

  • 2
  • 0
Henrik Madsen

Så må man jo bare give exploitet til nogle onde hackere som så kan totalhacke firmaet og smide det hele online.

Firmaet vil nok gå konkurs, men det er jo åbenbart sådan de vil have det.

Det signalerer de da tydeligt med en politi anmeldelse fremfor et mange tak og en hurtig patch.

  • 5
  • 1
Tobias German Jørgensen

Antager dette er din kilde: http://www.heise.de/ct/ausgabe/2015-6-Editorial-Lasst-PGP-sterben-255100....
Han konkluderer jo netop også at PGP er broken.

Hvis man insisterer på at bruge PGP kan man jo starte med at verificere de nøgler man sender til, fx. Kofod, Sonne, Høeg Nissen eller en v2 journalist, med alt hvad dertil hører af rituel keysigning osv.

Ellers er der allerede en dansk whistleblower organisation, www.veron.dk, som efter min mening vil være et fornuftigt sted at starte.

  • 2
  • 0
Anders Gregersen

Et andet aspekt i disse sårbare løsninger er at vi som bruger nogle gange er tvunget til at benytte løsningen. Så ikke nok med at der sløses med sikkerheden og at budbringeren hænges ud, så er man stadig tvunget til at indtaste følsomme oplysninger med den viden så f.eks. at ens børn ikke får noget de er allergiske overfor eller tilsvarende problemstillinger. Den nye EU forordning vil forhåbentlig hjælpe med at få reduceret mængden af problemfyldte løsninger, men der mangler en process for hvordan man rapportere sårbarheder uden at personen bliver retsforfulgt og hængt ud som hacker (selvfølgelig alt efter hvordan man har påvist sårbarheden) og en konsekvens for serviceudbyderen hvis problemet ikke lukkes indenfor en fast tidsperiode.

  • 4
  • 0
Bent Jensen

g en konsekvens for serviceudbyderen hvis problemet ikke lukkes indenfor en fast tidsperiode.


Det kommer der. 5% Af omsætningen, det kan mærkes for de fleste forretninger.

PS. Synes slet ikke jeg har hørt noget om hvad der gøres angående Safe Harbor her efter 1.Jan.
Nu er fristen for at få tingene bragt i orden jo udløbet. Og dem der bare har ladet slå til i troende på en ny får jo lidt travlt hen over weekenden.
Der kan anmeldes fra Mandag. Men man skulle måske vente på de nye bøder ?

  • 1
  • 0
Flemming Frøkjær

Tag f.eks. Concorden, det var åbenbart for dyrt at opgradere sikkerheden i de pågældende fly, hvilken resulterede de ikke kom oppe at flyve efter de blev tvunget til at blive på landjorden


Sikkerheden havde ikke noget med Concordens endeligt at gøre, den blev op opgraderet, og kom i drift igen i fra 2001 til 2003. Den har altid været et prestige projekt som gav underskud. Da glansen gik af den tog man den ud af drift.

  • 0
  • 1
Ivo Santos

Sikkerheden havde ikke noget med Concordens endeligt at gøre, den blev op opgraderet, og kom i drift igen i fra 2001 til 2003. Den har altid været et prestige projekt som gav underskud. Da glansen gik af den tog man den ud af drift.

Jeg må tilstå at jeg ikke kender alle detaljer vedr. Concorden, og ærlig talt så er det heller ikke relevant for denne diskussion.

Pointen er at uden NTSB og lign. organisationer så ville der havde været en risiko for at det pågældende styrt kunne have sket mindst en gang til.
Desuden er jeg helt sikker på at organisationer som f.eks. NTSB gør at flysikkerheden er så høj som det rent faktisk er.

Den anden del af min pointe er at det vi mangler i danmark og vel også i resten af hele verden er et it tilsyn som har magt til at lukke it-services ned som ikke er sikre nok, eller som har en anden type fejl, og faktisk findes sådan et it-tilsyn ikke i dag, men det vil helt sikkert skåne os alle for den slags ulykker.

Nok er et it-ulykke, eller hvad man skal kalde det, ikke lige så slemt som når et fly styrter ned og alle i flyet mister livet, men til gengæld er det temmelig slemt for dem som får deres identitet stjålet på grund at dårlig it sikkerhed, og den type ulykker kan faktisk næsten undgås hvis altså vi har et tilsyn med magt til at lukke for it-services som lider af en eller flere typer fejl.

  • 1
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize