Dusører sætter skub i sikkerhedsforskerne - men hvor er de danske dusører?

Når softwarehuse udlover dusører for sikkerhedshuller, får sikkerhedsforskere bedre arbejdsbetingelser, mens vi alle får bedre sikkerhed. Men det kræver klare aftaler.

For nylig lukkede Facebook et sikkerhedshul, der lod angribere overtage enhver Facebook-side. Fejlen lå i værktøjet Business Manager.

Sandsynligvis har ingen angribere udnyttet sårbarheden.

Sikkerhedsforsker Arun Sureshkumar opdagede den og informerede Facebook om problemet den 29. august. Dagen efter svarede Facebook, at firmaet havde lukket hullet.

Nogle dage senere skrev Facebook til Arun Sureshkumar, at han fik 16.000 dollars i belønning for at have fundet sårbarheden.

Historien er et godt eksempel på den værdi, dusører for sårbarheder medfører: Sikkerhedsforskere som Arun Sureshkumar får betaling for deres arbejde. Facebook undgår sikkerhedsproblemer. Og brugerne af Facebook slipper for at få deres sider eller brugerkonti overtaget.

Mindsker kriminel udnyttelse
En vigtig fordel ved dusørprogrammerne er, at de gør det mindre tillokkende at misbruge sikkerhedshuller.

Hvis Facebook ikke betalte dusør, kunne sikkerhedsforskere overveje at bruge nyopdagede sikkerhedshuller til angreb. Eller de kunne sælge dem til kriminelle bander.

Den slags foregår stadig. Har man opdaget en tilstrækkelig alvorlig sårbarhed, er der firmaer, efterretningstjenester og kriminelle, som vil betale gode penge for den.

Men hvis man kan slippe for at hjælpe kriminelle og samtidig få en reel dusør, er det et godt incitament til at gå direkte til producenten.

Ideen om dusører for sårbarheder er ikke ny. Et af de første programmer, der satte dusørerne i system, var Netscape Bugs Bounty fra midten af 1990'erne.

De senere år har der været stor vækst i antallet af programmer - og i de beløb, der udbetales.

I 2005 opstod Zero Day Initiative (ZDI), der koordinerer kontakten mellem sikkerhedsforskere og softwareudviklere.

I 2012 fulgte HackerOne, som året efter fik opgaven med at koordinere Internet Bug Bounty. Dette program giver dusør for sårbarheder i en række udbredte open source-projekter, som ikke selv har midler til at finansiere dusører.

Styr på offentliggørelsen
Hvorfor ser vi en stigning i dusørprogrammerne? Årsagen er efter min mening, at dusørerne er med til at løse et gammelkendt problem inden for sårbarheder: Spørgsmålet om offentliggørelse.

Nogle sikkerhedsfolk går ind for fuld åbenhed. Så snart en sikkerhedsforsker opdager en sårbarhed, skal den offentliggøres.

På den måde bliver brugerne hurtigst muligt advaret om, at der er en sårbarhed i det system, de bruger.

Ulempen ved den tilgang er imidlertid, at sårbarheden offentliggøres, før producenten får mulighed for at udvikle en rettelse, der lukker hullet.

Derfor får hackere frit spil til at udnytte sårbarheden, indtil en rettelse er klar.

Som modspil har it-branchen foreslået en ansvarlig offentliggørelsespolitik. Det går ud på, at sikkerhedsforskeren først informerer producenten. Når producenten har udviklet en rettelse, bliver den udsendt - og først da bliver offentligheden informeret om sårbarheden.

Den model medfører bedre sikkerhed. Dog beskytter den ikke mod, at kriminelle selv kan opdage sårbarheden og udnytte den i det skjulte.

Da ingen kender til sårbarheden, har brugerne ingen mulighed for at beskytte sig mod angreb.

Et andet problem er, at nogle softwarehuse er meget længe om at udvikle en rettelse. På den måde kan et hul stå åbent i månedsvis, mens udviklerne arbejder.

Derfor er der også en række dusørprogrammer, der har indbyggede tidsfrister: Producenten får en vis frist til at udvikle en rettelse, hvorefter information om sårbarheden offentliggøres.

En fordel ved et formaliseret program er, at det tager hånd om de problemer, der kan opstå. For eksempel skal der være klare regler, der forhindrer, at ønsket om en dusør udarter til decideret afpresning.

Samtidig skal regler beskytte sikkerhedsforskeren, så han eller hun ikke risikerer at blive sagsøgt for hacking, når vedkommende har undersøgt en tjeneste for sikkerhedshuller.
Interessekonflikten mellem producenter og sikkerhedsforskere vil fortsat eksistere.

Men dusørprogrammerne er med til at fjerne nogle af spændingerne: Sikkerhedsforskerne får belønning for deres arbejde, og producenterne får kontrol over, hvornår information om sårbarhederne bliver offentliggjort.

Hvor er danskerne?
Hvordan ser det ud i Danmark?

Jeg kan ikke umiddelbart komme i tanker om virksomheder eller organisationer, der tilbyder dusører til dem, der finder sårbarheder i deres produkter. Hvis du kender til nogen, må du gerne oplyse mig om dem.

Jeg synes, danske udbydere af it-løsninger bør overveje dusørordninger som et led i deres sikkerhedsarbejde.

Det kan medføre, at flere sikkerhedshuller bliver opdaget og lukket, før de it-kriminelle begynder at udnytte dem.

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet. I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeIC (Danish e-Infrastructure Cooperation).

Henrik Larsen, der er chef for DKCERT og bestyrelsesmedlem i Rådet for Digital Sikkerhed, opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.


Læs også:

Fandt kritiske sårbarheder i Google Chrome: Nu vælter han sig i dusør-penge





Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Brother Nordic A/S
Import og engroshandel med kontormaskiner.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Træf det rigtige cloud-valg: Hør om mulighederne med hybrid- og multi-cloud

Vi kan ikke komme udenom, at cloud-teknologien bare vokser og vokser. Den giver adgang til store fordele for din virksomhed, men det kræver at virksomheden træffer strategiske, arkitektoniske og teknologiske vælg. Få indblik i, hvordan ud kan få sikkerhed, release cycles og andet til at gå op i en højere enhed.

09. december 2020 | Læs mere


Er du klar til at rekruttere de attraktive it-talenter i 2021?

Hvad betyder aller mest for danske it-kandidater, og har corona været med til at skubbe til it-kandidaternes værdisæt? Det gennemgår vi på denne times webinar, hvor der naturligvis også vil være plads til spørgsmål og mulighed for videre dialog.

10. december 2020 | Læs mere


Datadrevet forretning 2020: Sæt data på den strategiske dagsorden

Forretningspotentialet i data er enormt og vil på mange måder være den udløsende faktor mellem succes og fiasko for mange virksomheder i de kommende år. På denne konference gennemgår vi en række vinder-cases med virksomheder, der i både det små og store har indtænkt data og digitalisering på nye måder i deres dagligdag.

11. december 2020 | Læs mere






Premium
Test: Huaweis Matebook X er særlig laptop med en svaghed, som du skal være opmærksom på
Huawei beviser endnu en gang, at de sagtens kan mingle sig med de bedste pc-producenter. Men alligevel skyder selskabet lidt ved siden af, med sin nyeste maskine.
Computerworld
Bitcoinen nåede lige at kulminere igen – men så kom krakket
Der blev sat en ny rekord for bitcoinens værdi i år – men godt 24 timer efter blev der høvlet næsten 20.000 kroner af den.
CIO
Podcast: Her er seks gode råd om ledelse og digitalisering fra danske top-CIO'er
The Digital Edge: Vi har talt med 17 af Danmarks dygtigste digitale ledere - og samlet deres seks bedste råd om digitalisering og ledelse. Få alle rådene på 26 minutter i denne episode af podcasten The Digital Edge.
Job & Karriere
Se Waoos forklaring: Derfor har selskabet fyret topchef Jørgen Stensgaard med omgående virkning
Waaos bestyrelse opsiger fiberselskabets topchef, Jørgen Stensgaard, der fratræder med omgående virkning. Se hele forklaringen fra Waao her.
White paper
Sådan øger du medarbejdertilfredshed og produktivitet
En af de mest effektive måder at øge medarbejdernes produktivitet og tilfredshed med arbejdspladsen er ved at give frit valg mellem Windows eller Mac, når der skal vælges arbejdscomputer. Samtidig mindskes presset på supporten, mens sikkerhedsniveauet højnes. Med en client-as-a-service aftale kan du lade medarbejderne selv træffe valget, men uden at uden at det behøver at være udfordrende eller ressourcekrævende for virksomheden. Eksempelvis kan du lade partneren håndtere alt fra finansiering, leverance, klargøring og implementering til support og lifecycle-management. Læs mere i denne hvidbog.