Skal man offentliggøre et sikkerhedshul?
I går fortalte Jakob Heidelberg om, hvor svært det var at råbe IBM op, da han og Flemming Riis fandt et alvorligt sikkerhedshul i deres backup-produkt Tivoli Storage Manager.
IBM endte med at få løst problemet efter 3 måneders tovtrækkeri, og IBM's kunder bør sende en stille tak til Jakob Heidelberg og Flemming Riis for deres anstrengelser - og hurtigst muligt udskifte deres backupsystem med et fra en leverandør, der tager sikkerheden seriøst.
Hvordan behandler man budbringeren?
Der er stor forskel på, hvordan virksomheder håndterer henvendelser om sikkerhedshuller. Innovative virksomheder som Google og Facebook har Bug Bounty-programmer, hvor udviklere ligefrem bliver opmuntret til at finde fejl og rapportere dem, mens andre virksomheder direkte er fjendtlige over for dem, der vover at påpege, at kejseren ikke har noget tøj på.
Det gælder i nyere tid fx Infoba, der lod sig provokere af Henrik Høyers demonstration af et cross-site scripting-hul i deres børnehavesystem og politianmeldte ham. Men vi har også set lignende eksempler tidligere, ikke mindst i Valus-sagen fra 2002, hvor en udvikler blev tiltalt og forsøgt dømt for at have offentliggjort et sikkerhedshul i betalingssystemet Valus.
Han blev senere frikendt, mens andre blev dømt i sagen, fordi de havde trykket på nogle links i et forum.
Den aggressive fremfærd fra virksomhederne og myndighederne har desværre gjort, at mange IT-kyndige tænker sig om to gange, når de finder et sikkerhedshul, når til den erkendelse, at det ikke er besværet værd at stille sig i skudlinien og opgiver at gøre noget ved det.
Derved forbliver sikkerhedshullerne åbne i alt for lang tid.
Nothing to see here
Det gav os også et dilemma, da vi for nylig blev kontaktet af en kunde, der havde fundet, hvad han mente kunne være et alvorligt sikkerhedshul i mere end 100.000 wifi-routere hos et større dansk teleselskab.
Sikkerhedshullet ville angiveligt kunne give hackere root-adgang til kundernes wifi-routere, og måske endda også derigennem adgang til teleselskabets lukkede management-netværk.
Et sådant scenarie ville være en katastrofe i disse WannaCry-tider, både for kunderne og for teleselskabet.
Vores kunde ville gerne gøre teleselskabet opmærksom på problemet - men hvis han skulle demonstrere problemet, ville han i praksis overtræde straffeloven.
Det kunne afstedkomme en masse ubehageligheder - besøg af politiet, ransagning og beslaglæggelse af udstyr og deraf følgende lukning af hans konsulentvirksomhed.
Alt sammen fordi han ønskede at gøre en positiv forskel.
Hvis han ikke demonstrerede problemet, ville teleselskabet med al sandsynlighed feje ham af med et standardsvar og i øvrigt ikke gøre mere ved sagen.
Vi hjalp ham derfor med at kontakte teleselskabet og Center for Cybersikkerhed hos FE, der jf. lovgivningen skal kontaktes ved brud på sikkerheden, og gav dem en beskrivelse af den sårbarhed, vores kunde havde fundet.
Allerførst var der ingen respons - men 5 dage senere kom svaret fra teleselskabet: Bare rolig, vi har styr på sikkerheden.
Et sådant svar kan dække over to holdninger:
> Vi ved, den er helt gal, men vi har ikke lyst til at fortælle dig noget om det
eller:
> Vi har helt styr på det her, nothing to see here folks
Havde vores kunde haft mulighed for at demonstrere problemet uden at risikere repressalier fra teleselskabet og myndighederne, kunne vi med sikkerhed have afgjort, om der var et problem.
Vi har gjort, hvad vi kunne inden for lovgivningens rammer, men det er ikke tilfredsstillende at være usikker på, om ens opråb bliver hørt.
Tid til ændring af straffeloven?
Det er åbenlyst en fordel for civilsamfundet, hvis sikkerhedsproblemer i IT-systemer og netværk bliver fundet og løst.
Selv om vores efterretningstjeneste kan bruge ikke-offentliggjorte sikkerhedshuller til at spionere på vores fjender, må vi nok erkende, at det samme kan alle andre - og der findes mange dygtige kriminelle derude.
Vi foreslår derfor følgende paragraf tilføjet til straffeloven:
> § 1337. Det er straffrit at afprøve sikkerhedssystemer, der beskytter ens egne personlige data, så længe man ikke mod bedre vidende forstyrrer de pågældende systemers drift. Efterfølgende offentliggørelse af fundne sikkerhedshuller straffes ikke, så længe man forinden giver den systemansvarlige 30 kalenderdage til at løse problemet.
Mens vi venter på politikerne, har vi besluttet at feje for egen dør.
Vi har derfor i dag offentliggjort vores politik vedrørende responsible disclosure af fundne sikkerhedshuller.
Her gør vi opmærksom på, at vi garanterer, at ansvarlige voksne mennesker ikke vil blive politianmeldt, hvis de henvender sig og fortæller om et sikkerhedshul, de har fundet i vores systemer.
Det er selvfølgelig ikke en åben invitation til script kiddies, og vi har stadig en række forpligtelser til at meddele myndighederne, hvis sikkerheden i vores systemer bliver kompromitteret.
Men forhåbentlig kan det sikre, at vi får besked med det samme, hvis nogen en dag finder et sikkerhedshul hos os.
