Hver dag står it-kriminelle og andre ondsindede aktører verden over bag mere eller mindre alvorlige sikkerhedshændelser. Heldigvis arbejder mange gode sikkerhedsfolk på at identificere og udbedre sårbarheder i software – selvom det med stor sandsynlighed ville være en bedre forretning at sælge deres research til højestbydende. Man skal tage sikkerheden alvorligt, også når ingen kigger.
Improsec har flere gange fundet kritiske sårbarheder i software fra kendte virksomheder, senest hos Microsoft (Windows 10) og IBM (Tivoli Storage Manager). Hver gang er der foretaget en Responsible Disclosure til den pågældende producent, da det er det etisk og moralsk rigtige at gøre.
Responsible Disclosure
Ved en Responsible Disclosure deles alle informationer om sårbarheden med producenten af softwaren. Ingen andre underrettes - ikke engang om det faktum, at en sårbarhed er identificeret i pågældende software.
Grunden til at absolut ingen informationer deles med andre end producenten er, at risikoen for at bringe sikkerheden for de kunder, der måtte benytte samme software, i fare er stor i den fase, hvor en kritisk sårbarhed endnu ikke kan patches. Helt bevidst tilbageholdes alle informationer altså indtil den pågældende sårbarhed er udbedret og frigivet til producentens kunder.
Men hvordan håndteres processen ideelt set, når der spottes en kritisk sårbarhed?
Et dugfrisk eksempel er tilbage i august, hvor der blev identificeret en kritisk sårbarhed i et stykke software (Public360) fra Tieto, en stor finsk leverandør af IT-services. Produktet bruges dagligt af mere end 250.000 mennesker i hele Norden. Sårbarheden blev spottet i forbindelse med en web-applikationstest, gennemført hos en stor dansk energivirksomhed.
”Når en så kritisk sårbarhed identificeres skal kunden informeres prompte, så de har mulighed for at agere hurtigt og foretage passende forholdsregler. Det vigtigste for os er altid sikkerheden hos vores kunder, derfor orienteres de først. Dernæst tager vi fat i producenten, så vi kan sikre os, at deres andre kunder hurtigt kan blive orienteret.” udtaler Jakob H. Heidelberg, CEO og Security Advisor i Improsec.
Derefter blev der taget kontakt til producenten af softwaren og udvekslet nødvendige tekniske detaljer om den identificerede sårbarhed. Tieto fortjener i den forbindelse ros, for allerede dagen efter havde de en patch klar. Da patchen var frigivet til alle deres kunder, blev det verificeret, at sårbarheden rent faktisk var udbedret.
”Improsec har håndteret sagen professionelt. Vi blev orienteret straks, så fejlrettelsen kunne påbegyndes, ligesom information om sårbarheden blev holdt hemmelig, indtil systemerne kunne blive patchet” udtaler Erik Lange, Head of Software Innovation Denmark hos Tieto.
Denne type hacking, hvor det etiske og moralske kompas er indstillet på ”god” kaldes populært for White Hat hacking, hvor virksomheder eller enkeltpersoner har specialiseret sig i at udføre sikkerhedstests med henblik på generelt at højne sikkerheden i hardware og software for alle.
Når etikken bliver sat på prøve
Før sommerferien blev Improsec kontaktet af en mellemøstlig efterretningstjeneste, der ønskede at købe eksklusiv adgang til vores nyeste research af sårbarheder i Microsofts populære Windows 10 styresystem, som bruges af mange virksomheder og private. Det, den pågældende efterretningstjeneste ønskede, var formentlig at kunne bruge disse kritiske (og ikke patchede) sårbarheder til at skaffe sig uautoriseret adgang til Windows 10 systemer hos nogle af deres modstandere.
Det ville have været nemme penge for os at sige ja tak til tilbuddet og sælge vores research, men det ville være i direkte modstrid med vores kerneværdier om at medvirke til at forbedre sikkerheden hos vores kunder, og egentlig også resten af verden. Havde vi sagt ja, havde vi også overgivet kontrollen over et hidtil ukendt våben til en efterretningstjeneste, og givet dem mulighed for at bruge dette våben mod deres modstandere uden deres vidende.
Vi valgte i stedet at publicere vores research på de verdenskendte hacker-konferencer Black Hat og DEF CON i Las Vegas i juli, så alle kunne få glæde af den viden.
Det betaler sig at gøre det rigtige, også selvom ingen kigger eller nogensinde finder ud af det.