Søg

Dusører sætter skub i sikkerhedsforskerne - men hvor er de danske dusører?

Når softwarehuse udlover dusører for sikkerhedshuller, får sikkerhedsforskere bedre arbejdsbetingelser, mens vi alle får bedre sikkerhed. Men det kræver klare aftaler.

30. september 2016 kl. 13.20
Artikel top billede
Henrik Larsen Henrik Larsen Chef for DKCERT

For nylig lukkede Facebook et sikkerhedshul, der lod angribere overtage enhver Facebook-side. Fejlen lå i værktøjet Business Manager.

Sandsynligvis har ingen angribere udnyttet sårbarheden.

Sikkerhedsforsker Arun Sureshkumar opdagede den og informerede Facebook om problemet den 29. august. Dagen efter svarede Facebook, at firmaet havde lukket hullet.

Nogle dage senere skrev Facebook til Arun Sureshkumar, at han fik 16.000 dollars i belønning for at have fundet sårbarheden.

Historien er et godt eksempel på den værdi, dusører for sårbarheder medfører: Sikkerhedsforskere som Arun Sureshkumar får betaling for deres arbejde. Facebook undgår sikkerhedsproblemer. Og brugerne af Facebook slipper for at få deres sider eller brugerkonti overtaget.

Mindsker kriminel udnyttelse

En vigtig fordel ved dusørprogrammerne er, at de gør det mindre tillokkende at misbruge sikkerhedshuller.

Hvis Facebook ikke betalte dusør, kunne sikkerhedsforskere overveje at bruge nyopdagede sikkerhedshuller til angreb. Eller de kunne sælge dem til kriminelle bander.

Den slags foregår stadig. Har man opdaget en tilstrækkelig alvorlig sårbarhed, er der firmaer, efterretningstjenester og kriminelle, som vil betale gode penge for den.

Men hvis man kan slippe for at hjælpe kriminelle og samtidig få en reel dusør, er det et godt incitament til at gå direkte til producenten.

Ideen om dusører for sårbarheder er ikke ny. Et af de første programmer, der satte dusørerne i system, var Netscape Bugs Bounty fra midten af 1990'erne.

De senere år har der været stor vækst i antallet af programmer - og i de beløb, der udbetales.

I 2005 opstod Zero Day Initiative (ZDI), der koordinerer kontakten mellem sikkerhedsforskere og softwareudviklere.

I 2012 fulgte HackerOne, som året efter fik opgaven med at koordinere Internet Bug Bounty. Dette program giver dusør for sårbarheder i en række udbredte open source-projekter, som ikke selv har midler til at finansiere dusører.

Styr på offentliggørelsen

Hvorfor ser vi en stigning i dusørprogrammerne? Årsagen er efter min mening, at dusørerne er med til at løse et gammelkendt problem inden for sårbarheder: Spørgsmålet om offentliggørelse.

Nogle sikkerhedsfolk går ind for fuld åbenhed. Så snart en sikkerhedsforsker opdager en sårbarhed, skal den offentliggøres.

På den måde bliver brugerne hurtigst muligt advaret om, at der er en sårbarhed i det system, de bruger.

Ulempen ved den tilgang er imidlertid, at sårbarheden offentliggøres, før producenten får mulighed for at udvikle en rettelse, der lukker hullet.

Derfor får hackere frit spil til at udnytte sårbarheden, indtil en rettelse er klar.

Som modspil har it-branchen foreslået en ansvarlig offentliggørelsespolitik. Det går ud på, at sikkerhedsforskeren først informerer producenten. Når producenten har udviklet en rettelse, bliver den udsendt - og først da bliver offentligheden informeret om sårbarheden.

Den model medfører bedre sikkerhed. Dog beskytter den ikke mod, at kriminelle selv kan opdage sårbarheden og udnytte den i det skjulte.

Da ingen kender til sårbarheden, har brugerne ingen mulighed for at beskytte sig mod angreb.

Et andet problem er, at nogle softwarehuse er meget længe om at udvikle en rettelse. På den måde kan et hul stå åbent i månedsvis, mens udviklerne arbejder.

Derfor er der også en række dusørprogrammer, der har indbyggede tidsfrister: Producenten får en vis frist til at udvikle en rettelse, hvorefter information om sårbarheden offentliggøres.

En fordel ved et formaliseret program er, at det tager hånd om de problemer, der kan opstå. For eksempel skal der være klare regler, der forhindrer, at ønsket om en dusør udarter til decideret afpresning.

Samtidig skal regler beskytte sikkerhedsforskeren, så han eller hun ikke risikerer at blive sagsøgt for hacking, når vedkommende har undersøgt en tjeneste for sikkerhedshuller.
Interessekonflikten mellem producenter og sikkerhedsforskere vil fortsat eksistere.

Men dusørprogrammerne er med til at fjerne nogle af spændingerne: Sikkerhedsforskerne får belønning for deres arbejde, og producenterne får kontrol over, hvornår information om sårbarhederne bliver offentliggjort.

Hvor er danskerne?

Hvordan ser det ud i Danmark?

Jeg kan ikke umiddelbart komme i tanker om virksomheder eller organisationer, der tilbyder dusører til dem, der finder sårbarheder i deres produkter. Hvis du kender til nogen, må du gerne oplyse mig om dem.

Jeg synes, danske udbydere af it-løsninger bør overveje dusørordninger som et led i deres sikkerhedsarbejde.

Det kan medføre, at flere sikkerhedshuller bliver opdaget og lukket, før de it-kriminelle begynder at udnytte dem.

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet. I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeIC (Danish e-Infrastructure Cooperation).

Henrik Larsen, der er chef for DKCERT og bestyrelsesmedlem i Rådet for Digital Sikkerhed, opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.

Læs også:

Fandt kritiske sårbarheder i Google Chrome: Nu vælter han sig i dusør-penge

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    TV2

    Software Engineer til TV 2s sports-, vejr- og valgdata services

    Fyn

    Statens IT

    Programleder til at styrke driftsstabilitet og informationssikkerhed i staten gennem konsolidering i Statens It

    Københavnsområdet

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Senior IT-Specialist med speciale i sikkerhedsprodukter

    Københavnsområdet

    Region Hovedstaden

    Stærk strategisk leder til Danmarks største sundhedsteknologiske systemlandskab

    Københavnsområdet

    Se flere it-stillinger
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    SAP Excellence Day 2026

    It-løsninger | Nordhavn

    SAP Excellence Day 2026

    Få konkrete erfaringer med S/4HANA, automatisering og AI i praksis. Hør hvordan danske virksomheder realiserer gevinster og etablerer effektive SAP-løsninger. Vælg fysisk deltagelse hos SAP eller deltag digitalt.

    Datacenterstrategi 2026

    Infrastruktur | København

    Datacenterstrategi 2026

    Denne konference bidrager med viden om, hvordan du balancerer cloud, on-premise og hybrid infrastruktur med fokus på kontrol, compliance og forretning.

    Identity Festival 2026 - Aarhus

    Sikkerhed | Aarhus C

    Identity Festival 2026 - Aarhus

    Er du klar til en dag, der udfordrer din forståelse af, hvad Identity & Access Management kan gøre for din organisation? En dag fyldt med indsigt, inspiration og løsninger, der sætter kursen for, hvordan vi arbejder med IAM i de kommende år.

    Se alle vores events inden for it

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Adeno K/S har pr. 2. februar 2026 ansat Casper Barner Kristensen som ServiceNow Expert. Han kommer fra en stilling som Senior Automation Architect. Nyt job

    Casper Barner Kristensen

    Adeno K/S

    Connexa A/S har pr. 1. januar 2026 ansat Ivan Nielsen som IT Konsulent. Han skal især beskæftige sig med IT Infrastruktur og services. Han kommer fra en stilling som IT Konsulent hos IT Forum Gruppen A/S. Han har tidligere beskæftiget sig med IT Infrastruktur og konsulentopgaver. Nyt job

    Ivan Nielsen

    Connexa A/S

    Forte Advice har pr. 19. januar 2026 ansat Karoline Lotz Jonassen som Head of Business Design. Karoline skal især beskæftige sig med business design, og hvordan kunder strategisk innoverer eller arbejder med nye forretningsområder. Karoline kommer fra en stilling som Future Commerce Lead hos IMPACT Commerce. Nyt job

    Karoline Lotz Jonassen

    Forte Advice

    Idura har pr. 15. januar 2026 ansat Mark-Oliver Junge, 26 år, som software engineer. Han skal især beskæftige sig med at udvikle nye extensions, der gør godkendelsesprocesser mere fleksible, samt bygge infrastruktur til caller authentication. Han kommer fra en stilling som fullstack engineer hos Wayfare.ai. Han er uddannet Fachinformatiker für Anwendungsentwicklung, der betyder “ekspert i softwareudvikling”. Han har tidligere beskæftiget sig med udvikling af softwarearkitektur, DevOps og rammeværk til analyse + orkestrering af SQL-datapipelines. Nyt job

    Mark-Oliver Junge

    Idura

    Se mere fra navnenyt

    Mest læste

    1 Dine gamle RAM-klodser er pludseligt guld værd: Priserne når nye ekstreme højder
    2 Det mest omfattende hacker-angreb siden SolarWinds: Kriminel cybergruppe er brudt ind i 37 landes statshemmeligheder
    3 Hundreder af nye millioner skal gøre en forskel: Her er Rigspolitiets opskrift på at skabe en slagkraftig projekt-maskine
    4 Nørgaard: Ansæt nu bare de unge - så kan det ikke gå helt galt
    5 Efter to år med overskud: Nu taber NNIT atter millioner af kroner
    6 Morgen-briefing: Kendt fodboldspiller sætter penge i it-start up / Milestone Systems udnævner ny Chief Technology Officer / Anthropic lover reklamefri AI
    7 Har du en pinlig mail-adresse? Nu giver Google dig mulighed for at ændre den – uden at miste data
    8 Streaming: En stemningsfuld og lækker spionserie placeret i Den Kolde Krigs Moskva

    Se seneste uge