Afgangsprøver og vulnerability pimps

Note: Jeg ingen personlig interesse i den aktuelle sag, men håndtering og rapportering af nye sårbarheder er et vigtigt område, der har en meget direkte indflydelse på it-sikkerheden.

Baggrund
Den "anerkendte" rapporteringsmetode når man finder nye sårbarheder er, at informere leverandøren om sårbarheden, så den kan rettes. Efter leverandøren har rettet sårbarheden og udsender en sikkerhedsopdatering kan opdageren evt. offentliggøre information om problemet, typisk koordineret med udsendelsen af opdateringen.

Offentliggørelsen har to formål, det gør folk opmærksom på, at der er en alvorlig sårbarhed, der skal patches og det er samtidig finderens "betaling". Typisk oplyser de erfarne firmaer hvem der fandt og indrapporterede sårbarhederne ("Tak til xzy for at have oplyst om problemet").

Ansvarlig rapportering
Man har i mange år diskuteret hvordan man bedst laver "disclosure", dvs rapporterer og informerer om de nye sårbarheder.

Hovedskolerne er
"Anti-disclosure", hvor man holder informationen hemmelig, mere om det i et senere indlæg.
Partial Disclosure, hvor man fortæller nok til brugerne ved der er et sikkerhedsproblem og
Full Disclosure, hvor man offentliggør detaljeret information om sårbarheden, så både brugere og hackere derefter kan teste/udnytte sårbarheden. I nogle tilfælde udsendes "proof-of-concept" programmer i forbindelse med Full Disclosure.

Fra delvis offentliggørelse til full disclosure:
a) Vi har identificeret en sårbarhed i X-applikationen, du bør opdatere
b) Der er et sikkerhedsproblem i ABC-feltet i X-applikationen
c) Ved at indsætte for meget data i ABC-feltet crasher X-applikationen
d) Ved at indsætte 256 tegn i ABC-feltet cracher X-applikationen, leverandøren har bekræftet at sårbarheden er en stack overflow
e) Download dette program for selv at teste om du er sårbar

Full Disclosure er også ansvarlig rapportering
Disclosure har direkte indflydelse på it-sikkerheden. Offentliggørelse af nye sårbarheder påvirker bl.a. hvor let adgang en angriber har til nye sårbarheder. Meget korte frister inden offentliggørelse kan også betyde at leverandører eller brugere kan være nødt til at haste ændringer eller sikkerhedsopdateringer igennem. Dette kan påvirke kvaliteten alvorligt.

Så længe leverandøren er blevet advaret, og har haft "tilstrækkelig tid" til at rette sårbarheden er alle metoder, inklusive full disclosure, egentlig ansvarlig rapportering. Full disclosure gør det bare lettere for alle, sikkerhedsfolk og hackere, at udnytte/bevise sårbarhederne og det er typisk et samvittighedsspørgsmål/overbevisning hvor meget information man gør tilgængelig.

Det sker meget sjældent, at nogen frigiver information uden at have informeret leverandøren først. Det sker dog typisk hvis angriberen er sur på virksomheden eller hvis man er interesseret i at skabe maksimal opmærksomhed.

Håndtering af den aktuelle sårbarhed i afgangseksamen
Den danske gruppe valgte at
1) Udsende en pressemeddelselse (!)
2) Undlade at informere leverandøren om sårbarheden inden offentliggørelse (!)
3) Inkludere fuld information om hvordan sårbarheden kan udnyttes
4) Offentliggøre dagen inden systemet skulle tages i brug (!)

Kombinationen er enten ondsindet eller viser manglende sikkerhedsforståelse. Jeg kan ikke forestille mig et sikkerhedsfirma eller en erfaren bug finder ville gøre noget lignende.

Hacklab.dk's pressemeddelse forklarer deres fremgangsmåde:

"Om pressemeddelelsen
Vi har valgt at offentliggøre denne sårbarhed ved hjælp af Full Disclosure. Full Disclosure er en anerkendt måde at publicere softwarefejl på, der tvinger udviklere af software til at reagere prompte - ved "ansvarlig" indrapporting af sårbarheder går der ofte flere måneder inden en sårbarhed lukkes."


Full disclosure og ansvarlig indrapportering udelukker som sagt ikke hinanden.

Hvis man ikke har talt med leverandøren ved man jo ikke hvor længe det tager af rette.
Man er derudover nødt til at skelne. Skyldes ventetiden f.eks. skyldes at det er et svært problem der skal rettes eller lukes sårbarheden ikke fordi leverandøren vælger ikke at afsætte ressourcer nok eller tager de ikke rapporteringen alvorligt.
Det giver ikke mening at sige "der går nok lang tid hvis vi informerer på forhånd, derfor informerer vi ikke".


"Ydermere er traditionel "ansvarlig" indrapportering en skidt ting idét den giver softwareudviklere gratis arbejdskraft uden nogen tab, hvilket effektivt underminerer den etablerede it-branche uden at bidrage den indrapporterende andet end glæden over at have forhindret et angreb / en udnyttelse. "

Det koster ofte *mange* udvikler ressourcer at lukke sikkerhedshuller, så hvis indrapportering på nogen måde underminerer noget er det vel den lille del af sikkerhedsindustrien der lever af sikkerhedsteste software.

Betyder det også, at man ikke skal udvkikle open source applikationer fordi det underminerer den etablerede it-branche, uden at bidrage andet end glæden ved at hjælpe andre?


"En kritik af "ansvarlig" indrapportering er for nylig formuleret af Charlie Miller, Dino Dai Zovi og Alex Sotirov og kan findes under navnet "No More Free Bugs". Wikipedias artikel om Full Disclosure (http://en.wikipedia.org/ (...)) uddyber Full Disclosure-begrebet yderligere."


Alle 3 støtter ansvarlig rapportering.

No More Free Bugs bevægelsen betyder netop, at man ikke bare vælter information om sårbarheder ud til fri afbenyttelse. No More Free Bugs mener bl.a., at der er et marked for sårbarheder. Det tager ofte lang tid at finde sikkerhedsproblemer og No More Free Bugs bevægelsen mener man bør få betaling for sin arbejdsindsats, uanset om en leverandør har bedt om at få testet sin software eller ej. Hvis leverandøren ikke betaler kan det være der er en anden der vil.

En No More Free Bugs supporter kunne f.eks. fortælle på Arto, at højestbydende får information om en sårbarhed der betyder man kan snyde i prøverne. alle, inklusive leverandøren kunne så byde på informationen. Hvad end man mener om moral og strafbarhed, så understøtter No More Free Bugs ikke uansvarlig rapportering som hacklab's pressemeddelelse.


You're either making the problem better, or you're making it worse
Når gruppen vælger at frigive fuld exploit information dagen før 9. klasserne skulle op til eksamen er der kun to grunde:
enten for at skade maksimalt eller for at opnå maksimal medie dækning. Når jeg ser deres hjemmeside tror jeg mest på det sidste.

Sårbarheden er godt fundet, og jeg håber fremtiden viser, at gruppen ikke er vulnerability pimps.

I bedste full disclosure stil har jeg informeret hacklab.dk om dette indlæg via deres Gmail adresse - men selvfølgelig først efter jeg postede det.