Dagbog-bloggen

Skal man offentliggøre et sikkerhedshul?

I går fortalte Jakob Heidelberg om, hvor svært det var at råbe IBM op, da han og Flemming Riis fandt et alvorligt sikkerhedshul i deres backup-produkt Tivoli Storage Manager.

IBM endte med at få løst problemet efter 3 måneders tovtrækkeri, og IBM's kunder bør sende en stille tak til Jakob Heidelberg og Flemming Riis for deres anstrengelser - og hurtigst muligt udskifte deres backupsystem med et fra en leverandør, der tager sikkerheden seriøst.

Hvordan behandler man budbringeren?

Der er stor forskel på, hvordan virksomheder håndterer henvendelser om sikkerhedshuller. Innovative virksomheder som Google og Facebook har Bug Bounty-programmer, hvor udviklere ligefrem bliver opmuntret til at finde fejl og rapportere dem, mens andre virksomheder direkte er fjendtlige over for dem, der vover at påpege, at kejseren ikke har noget tøj på.

Det gælder i nyere tid fx Infoba, der lod sig provokere af Henrik Høyers demonstration af et cross-site scripting-hul i deres børnehavesystem og politianmeldte ham. Men vi har også set lignende eksempler tidligere, ikke mindst i Valus-sagen fra 2002, hvor en udvikler blev tiltalt og forsøgt dømt for at have offentliggjort et sikkerhedshul i betalingssystemet Valus.

Han blev senere frikendt, mens andre blev dømt i sagen, fordi de havde trykket på nogle links i et forum.

Den aggressive fremfærd fra virksomhederne og myndighederne har desværre gjort, at mange IT-kyndige tænker sig om to gange, når de finder et sikkerhedshul, når til den erkendelse, at det ikke er besværet værd at stille sig i skudlinien og opgiver at gøre noget ved det.

Derved forbliver sikkerhedshullerne åbne i alt for lang tid.

Nothing to see here

Det gav os også et dilemma, da vi for nylig blev kontaktet af en kunde, der havde fundet, hvad han mente kunne være et alvorligt sikkerhedshul i mere end 100.000 wifi-routere hos et større dansk teleselskab.

Sikkerhedshullet ville angiveligt kunne give hackere root-adgang til kundernes wifi-routere, og måske endda også derigennem adgang til teleselskabets lukkede management-netværk.

Et sådant scenarie ville være en katastrofe i disse WannaCry-tider, både for kunderne og for teleselskabet.

Vores kunde ville gerne gøre teleselskabet opmærksom på problemet - men hvis han skulle demonstrere problemet, ville han i praksis overtræde straffeloven.

Det kunne afstedkomme en masse ubehageligheder - besøg af politiet, ransagning og beslaglæggelse af udstyr og deraf følgende lukning af hans konsulentvirksomhed.

Alt sammen fordi han ønskede at gøre en positiv forskel.

Hvis han ikke demonstrerede problemet, ville teleselskabet med al sandsynlighed feje ham af med et standardsvar og i øvrigt ikke gøre mere ved sagen.

Vi hjalp ham derfor med at kontakte teleselskabet og Center for Cybersikkerhed hos FE, der jf. lovgivningen skal kontaktes ved brud på sikkerheden, og gav dem en beskrivelse af den sårbarhed, vores kunde havde fundet.

Allerførst var der ingen respons - men 5 dage senere kom svaret fra teleselskabet: Bare rolig, vi har styr på sikkerheden.

Et sådant svar kan dække over to holdninger:

Vi ved, den er helt gal, men vi har ikke lyst til at fortælle dig noget om det

eller:

Vi har helt styr på det her, nothing to see here folks

Havde vores kunde haft mulighed for at demonstrere problemet uden at risikere repressalier fra teleselskabet og myndighederne, kunne vi med sikkerhed have afgjort, om der var et problem.

Vi har gjort, hvad vi kunne inden for lovgivningens rammer, men det er ikke tilfredsstillende at være usikker på, om ens opråb bliver hørt.

Tid til ændring af straffeloven?

Det er åbenlyst en fordel for civilsamfundet, hvis sikkerhedsproblemer i IT-systemer og netværk bliver fundet og løst.

Selv om vores efterretningstjeneste kan bruge ikke-offentliggjorte sikkerhedshuller til at spionere på vores fjender, må vi nok erkende, at det samme kan alle andre - og der findes mange dygtige kriminelle derude.

Vi foreslår derfor følgende paragraf tilføjet til straffeloven:

§ 1337. Det er straffrit at afprøve sikkerhedssystemer, der beskytter ens egne personlige data, så længe man ikke mod bedre vidende forstyrrer de pågældende systemers drift. Efterfølgende offentliggørelse af fundne sikkerhedshuller straffes ikke, så længe man forinden giver den systemansvarlige 30 kalenderdage til at løse problemet.

Mens vi venter på politikerne, har vi besluttet at feje for egen dør.

Vi har derfor i dag offentliggjort vores politik vedrørende responsible disclosure af fundne sikkerhedshuller.

Her gør vi opmærksom på, at vi garanterer, at ansvarlige voksne mennesker ikke vil blive politianmeldt, hvis de henvender sig og fortæller om et sikkerhedshul, de har fundet i vores systemer.

Det er selvfølgelig ikke en åben invitation til script kiddies, og vi har stadig en række forpligtelser til at meddele myndighederne, hvis sikkerheden i vores systemer bliver kompromitteret.

Men forhåbentlig kan det sikre, at vi får besked med det samme, hvis nogen en dag finder et sikkerhedshul hos os.

Relateret indhold

Kommentarer (23)
Yoel Caspersen Blogger

Man skal vel starte der for at få det til at ske

Det er egentlig et godt spørgsmål. Hvor starter ny lovgivning? Er det hos embedsværket, er det hos lobbyisterne eller er det hos politikerne selv?

Har du foreslået det til nogle af de politiske partier?

Har vi et godt bud på et politisk parti eller en politiker med IT-indsigt, der tør foreslå en sådan ændring?

De vil lægge sig ud med store dinosaur-virksomheder, der ikke bryder sig om at få udstillet deres fejl, men omvendt viser de seneste IT-relaterede angreb på samfundet, at der er behov for en anden tilgang til IT-sikkerhed, end vi er vant til.

Michael Rasmussen

Har vi et godt bud på et politisk parti eller en politiker med IT-indsigt, der tør foreslå en sådan ændring?

Det kan du godt glemme. I vore dage interessere politikere sig ikke for politik, visioner og holdninger, men udelukkende i kortsigtede udsagn der genererer stemmer. Da der ikke er stemmer i IT udsagn, er der ingen politikere, der vil arbejde med IT i Folketinget!

Rasmus nix

Et kig på en hjemmesides IT-sikkerhed vil af politikere, medier o.l. blive kaldt for "hacking". Et ord gennemsnitsdanskeren forbinder med en svedig mand i hættetrøje, der stjæler ens nemID og hacker ens webcam. Så jeg tror, at det bliver vanskeligt at få politisk opbakning ift. til at tillade "hacking". For det er den retorik, der vil blive brugt.

@Yoel, uden at have kigget nærmere:
Man kan finde nogle lidt spøjse ting på din webserver.

User-agent: *
Allow: /blah
Disallow: /

Jesper Kastrup

Jeg synes formålet er nobelt, og jeg synes det er ærgerligt at virksomhederne ikke er positivt stemte.

Når det så er sagt, er det umådeligt svært at lovgive på den måde der foreslås.
Hvordan trækker man grænsen imellem "afprøve" sikkerhedssystemer, eller at forsøge at "hacke" dem (herved mener jeg med onde intentioner).

Det er svært at bevise intentioner, og loven må derfor nødvendigvis som hovedregel gøre det ulovligt at bryde ind i sikkerhedssystemer som jeg ser det.

Den bedste løsning i min verden er helt klart det Yoel har gjort. Offentlige politikker omkring hvordan virksomheden agerer gør det gennemskueligt for 'afprøveren' om det vil blive værdsat. Alternativet er at melde sikkerhedshullerne til myndighederne. Så handler det om at aktivere den politiske forbruger og få dem ind i folden på sikkerhed i stedet for fx hastighed.

Det kommer muligvis helt automatisk til næste år. Jeg har hørt rygter om, at persondataforordningen fra EU vil medføre nogle exorbitante bøder til virksomheder, der ikke retter ind.

Bødestørrelsen kan mig bekendt gå op til 4% af virksomhedens globale omsætning (brutto) op til 20m EUR. Det er et godt incitament til at tage forordningen alvorlig.

Ole Tange Blogger

§ 1337. Det er straffrit at afprøve sikkerhedssystemer, der beskytter ens egne personlige data, så længe man ikke mod bedre vidende forstyrrer de pågældende systemers drift. Efterfølgende offentliggørelse af fundne sikkerhedshuller straffes ikke, så længe man forinden giver den systemansvarlige 30 kalenderdage til at løse problemet.

For at undgå "jamen jeg var da bare igang med at teste sikkerheden"-forsvaret fra script-kiddies vil jeg foreslå, at man før man går i gang skal kunne dokumentere, at man har informeret den systemansvarlige.

Flemming Jacobsen

Jeg fandt denne i min RSS reader:
"Blog: KMD og den omvendte bug bounty
Version2 - Nyheder by Yoel Caspersen
Jeg har brugt de sidste par dage på at tænke over en passende respons på KMD's skandaløse behandling af en person, der tillod sig at gøre opmærksom på, at kejseren ikke havde tøj på. Der er selvfølgelig tale om Esben Warming Pedersen, der blev politianmeldt efter at have demonstreret et gammelt ..."

Men linket går til en 404 side.
https://www.version2.dk/blog/kmd-omvendte-bug-bounty-1077747

Prøver KMD at stoppe omtale, eller er det V2 der vil undgå sagsanlæg?

Yoel Caspersen Blogger

Prøver KMD at stoppe omtale, eller er det V2 der vil undgå sagsanlæg?

Der var en henvendelse fra en menig medarbejder hos KMD, der følte, at blogindlægget ramte ham personligt, selv om mit syn på sagen er, at det er KMD's ledelse, der er ansvarlig for deres aggressive fremfærd. Af samme årsag har jeg valgt at tage det offline, mens jeg overvejer, om den rigtige respons er at synke til KMD's eget niveau. Det er ikke de menige medarbejdere hos KMD, der skal stå for skud, selv om de måske burde overveje, om de har lyst til at være en del af en virksomhed, der kaster om sig med politianmeldelser og sagsanlæg.

Version2 er (mig bekendt) stadig et frit medie, og deres dækning af KMD har på det seneste været et udmærket stykke journalistisk arbejde.

Flemming Jacobsen

Hej Yoel

Tak for dit svar. Det glæder mig at fjernelsen er frivillig.

Jeg har læst indlæget via Google cache (Tak til Torben), og jeg forstår umiddelbart ikke hvordan menige KMD-ansatte kan føle sig ramt.
Men du bestemmer naturligvis 100% selv hvad du vil gøre med dine indlæg.

Torben Jensen

Det tegner jo bare til at KMDs ledelses holdning er ved at gennemsyre forretningen.
Det rammer på ingen måde nogen udviklere personligt med mindre han/hun er klar over at det er usikkert software de sidder og laver. Vi laver alle fejl, og det som definerer os som udviklere er hvordan vi håndterer dette. Løs problemet og kom videre, drop det kasten med mudder.

Anne-Marie Krogsbøll

Der var en henvendelse fra en menig medarbejder hos KMD


Også jeg har svært ved - efter at have læst indlægget via linket - at se, at nogen menig medarbejder kunne føle sig stødt - med mindre man regner ledelsen med til menige medarbejdere?

Men kan der til gengæld fra KMD's side sås tvivl om, om det er lovligt at opfordre til at finde sikkerhedshuller i andres virksomheder - selv hvis man udtrykkeligt opfordrer til, at det skal gøres på lovlig måde (Jeg kender ikke svaret)?

Hvis det er der, humlen er, så fremturer KMD åbenbart endnu engang med at forsøge at skræmme i stedet for at samarbejde om at bedre sikkerheden.

Jesper Frimann

Det er ikke de menige medarbejdere hos KMD, der skal stå for skud, selv om de måske burde overveje, om de har lyst til at være en del af en virksomhed, der kaster om sig med politianmeldelser og sagsanlæg.


Undskyld Yoel, men er det netop ikke, det du gør her ?
Jeg synes ikke du er fair.

Der er ekstremt mange dygtige, pligtopfyldende, kompetente og søde mennesker hos KMD. Jeg har selv arbejdet der. Og har mødt rigtig mange fantastiske mennesker, mennesker der måske har arbejdet der i en menneskealder. Mennesker for hvem det at arbejde hos 'Kommunedata', er blevet en del af deres identitet, og som stadig har ild tilbage i sig, på trods af den behandling, som man har fået af topledelsen.

Og det med at 'bare' sige op/eller skifte arbejde, er ikke altid sådan lige. Og det kan være svært, at komme videre med den holdning folk lige nu har til KMD, hvis man har 20 år hos KMD på CV'et.

// Jesper

PS. Ja, jeg sagde selv op hos KMD efter 2 år, fordi jeg ikke kunne få lov til at lave, det arbejde jeg var ansat til.

Yoel Caspersen Blogger

Der er ekstremt mange dygtige, pligtopfyldende, kompetente og søde mennesker hos KMD.

Det har du helt sikkert ret i. Desto større må deres dilemma være, når ledelsen opfører sig som den gør. Derfor er det også vigtigt for mig at pointere, at den enkelte medarbejder må formodes at være uden skyld i den måde, virksomhedens ledelse agerer på.

Mennesker for hvem det at arbejde hos 'Kommunedata', er blevet en del af deres identitet, og som stadig har ild tilbage i sig, på trods af den behandling, som man har fået af topledelsen.

Og sådanne folk findes også hos TDC, Post Danmark og (her gætter jeg!) Nets. Det er trist, at de bliver fanget i krydsilden, når ledelsen dummer sig.

Og det med at 'bare' sige op/eller skifte arbejde, er ikke altid sådan lige.

Igen er vi helt enige. Men det ændrer vel ikke på, at man altid som medarbejder bør overveje, om man kan stå inde for virksomhedens holdninger og værdier? At man så kan have forskellige thresholds for, hvornår "grænsen er nået" og man siger op, er helt fair, men det er vel netop vigtigt, at man tager stilling og ikke bare bevidstløst bakker op om ledelsen, hvis den er på gal kurs?

Jesper Frimann

Igen er vi helt enige. Men det ændrer vel ikke på, at man altid som medarbejder bør overveje, om man kan stå inde for virksomhedens holdninger og værdier?


Jo, det er vi helt enige om. Jeg har personligt gjort det 3 1/2 gang og så et par interne flytninger i en stor virksomhed (og min kone gjorde det for et par måneder siden). Men det kræver, at man har det økonomiske råderum. Det kræver, at man er et sted i livet, hvor dette kan lade sig gøre. Det kræver mere rygrad end folk har sådan generelt. Og det kræver opbakning fra ens partner (hvis man har sådan en).
Da jeg sagde op, var der rigtig mange der synes jeg var komplet skør. At sige et godt betalt job op, når man nærmer sig de 50 og har to unger på 3 og 6.

At man så kan have forskellige thresholds for, hvornår "grænsen er nået" og man siger op, er helt fair, men det er vel netop vigtigt, at man tager stilling og ikke bare bevidstløst bakker op om ledelsen, hvis den er på gal kurs?


Der er en helt del 'boiling frog' involveret i det her. Jeg har selv prøvet det, hvor jeg lod det gå alt alt for langt, heldigvis endte jeg med en fyreseddel, næsten 7 måneders fritstilling og en rigtig god check, efter 17 år. Så valget blev taget for mig.
Problemet er jo, at de folk der typisk 'bakker op om', 'ser visionen', laver 'buyin' enten er unge nye folk, eller folk med samme uddannelse, baggrund m.m. som ledelsen. Eller folk der egentlig hellere ville være managers end IT-folk.
Måske er det også derfor, at hos mange af de store leverandører ser man et influx af unge CBS/DJØF 'typer' i jakkesæt, som så ellers får et kortere uddannelsesforløb som udviklere, projektledere eller endda arkitekter. Man får en virksomhed, hvor medarbejderstaben ligner ledelsen, snakker samme sprog, har samme ambitioner. Men IMHO mangler det IT-faglige niveau og forståelse, der skal til for at get the job done. Nøjagtig som det også er med meget af toppen hos 'mange af de store'.

Og ud ryger så det grå'ere guld i 'jesus sandaler', Starwards T-shirts og murerskjorter. Problemet er bare at den formelle IT-uddannelse, erfaring, faglighed og kritiske sans, som disse folk besidder, har den nye blank polerede medarbejderstab bare ikke.
Og den 'cheapest you could find' offshore underleverandør, som så skal overtage meget af rugbrøds arbejdet.. ja.. de gør hvad der bliver sagt (og det der bliver sagt kommer nu oftere og oftere fra ikke IT-folk).
Og så .. er.. man hvor mange af de 'store' er i dag.

// Jesper

Log ind eller Opret konto for at kommentere