Af Tom Madsen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
I de seneste år har vi set, at de forskellige softwareleverandører er begyndt at tilbyde pengesummer til personer, der finder huller i deres software. I mange år har det ellers været nok, at disse personer fik en tak fra firmaet, og at de blev krediteret på softwareleverandørens hjemmeside. Hvad har ændret sig, siden de er begyndt at tilbyde dusører for de sikkerhedshuller eller også kaldet exploits, som de forskellige sikkerhedsresearchere kommer med?
Grunden er, at softwarefirmaerne er nødt til at tilbyde dusører for huller i deres software, fordi der i de seneste 10 år er vokset en industri op, som handler med disse huller i software. Alt afhængig af typen af hullet, kan et hul i den rigtige software indbringe flere hundredtusinder dollars. Hvis softwarefirmaerne vil have informationer om huller i deres software, så er de nødt til at tilbyde penge for det, for hvis de ikke gør, så er der andre, der gør det. Derfor kigger vi denne gang i sikkerhedszonen på det marked, der er vokset op omkring handel med exploits.
Hemmelig handel med exploits
I sagens natur er de folk, der handler med exploits, uanset om de sælger eller køber, ikke voldsomt interesseret i at fortælle om det. Vi ved, at det foregår, fordi enkelte af de researchere, der arbejder med sikkerhedshuller i software har fortalt om det på f.eks. DEFCON-konferencerne. Vi har fået mere viden om det gennem de undersøgelser, som aviser som New York Times og The Guardian har lavet. Sidst, men ikke mindst, så er der hackere, som har brudt ind i nogle af de firmaer, som handler med exploits. De datadumps, som hackerne har givet os fra disse indbrud, har kastet lys over nogle af de detaljer, som vi ikke tidligere har været klar over.
Det mest kendte indbrud fra det seneste år har nok været det indbrud som Hacking Team i Italien blev udsat for. Derfra har vi 400 GB data, som har givet os et indblik i de kunder, som disse firmaer har, og hvilke exploits de har på lager til at sælge til deres kunder. Hacking Team fik en del negativ presse, fordi de 400 GB data indeholdt oplysninger om, at de havde solgt exploits til regimer rundt omkring i verden, som er kendt for deres noget afslappede forhold til menneskerettighederne.
Det viste sig f.eks., at Hacking Team havde solgt oplysninger til Sudan, Azerbaijan og Bahrain. Alle er gentagne gange blevet kritiseret af internationale menneskerettighedsorganisationer for deres aggressive overvågning af egne borgere. Et af eksemplerne var et salg til Sudan af et exploit til næsten en halv million euro.
Hacking Team har sagt, at de ikke handler med det, de kalder for ’undertrykkende regimer’, det har så vist sig at være en letfældig omgang med sandheden. Officielt handler Hacking Team kun med politi og efterretningstjenester og bl.a. det danske politi har været kunder hos Hacking Team.
Mere hacking af exploits-handel
I 2014 blev et andet firma, der handler med exploits, hacket, og et datadump på 40 GB blev frigivet til internettet. Firmaet hedder Gamma International og er mest kendt for deres FinFisher-produkt. FinFisher er berygtet, fordi det der blevet brugt i Bahrain til at overvåge aktivister og andre, som regimet vil holde øje med. Indtil indbruddet i Gamma International var FinFisher-softwaren kun mistænkt for at eksistere, men sammen med dumpet fra indbruddet lå der kildekode til FinFisher. Den kildekode har gjort det noget nemmere for dem, der kæmper imod den slags software at sikre sig imod at blive inficeret med den.
Også Gamma International sagde, at de ikke solgte deres software til regimer, der undertrykker menneskerettighederne, og igen i dette tilfælde har det vist sig at være løgn.
Nu har vi set to eksempler på firmaer, der handler med exploits, enten for at kunne sælge deres spyware, eller for at videresælge exploits. I begge tilfælde har firmaerne hævdet, at de kun sælger til de ’gode’, og i begge tilfælde har det vist sig at være løgn. Der findes et utal af andre firmaer med en tilsvarende forretningsmodel som de to, der er nævnt her. I Europa er de meste kendte firma Revuln fra Malta og Vupen fra Frankrig, men der findes tilsvarende firmaer overalt i verden. Sælger de også til nogle af de mere repressive regimer? Det ved vi ikke med sikkerhed, men mon ikke vi skal regne med det, baseret på de erfaringer vi har gjort med de firmaer, som har fået deres data dumpet på internet.
Hvor køber firmaer exploits?
Nu har vi kigget lidt på nogle af de firmaer, som køber og videresælger exploits, men hvor køber disse firmaer deres exploits? Hvem er sælgerne?
Nogle af firmaerne har deres egne folk til at sidde og finde sikkerhedshuller i software, men de køber også fra eksterne leverandører. I tilfældet med Hacking Team, har vi navne på nogle af dem.
Efter at Hacking Team selv blev hacket har nogle af disse leverandører fået en masse kritik fra sikkerhedsmiljøet, og en af dem der fik megen kritik, var Adriel Desautels fra firmaet Netragard. Hans forsvar for salget af exploits til Hacking Team var, at han ikke kan gøres ansvarlig for, hvordan et exploit bliver brugt i praksis. Her er altså tale om en situation, hvor en researcher har udviklet et exploit, men vælger ikke at fortælle softwareleverandøren om det. Dernæst vælger researcheren at sælge dette exploit til den højest bydende.
Lad os kigge på denne situation og forestille os, at researcheren har fundet et sikkerhedshul i Internet Explorer. Nu er vi pludselig millioner af brugere, som bruger et stykke software, som vi ikke ved, er sårbart overfor et exploit. Microsoft er heller ikke klar over, at det er sårbart, og denne sårbarhed kan bruges af alt fra politimyndigheder til regimer, der vil undertrykke deres borgere. De valg, som researcheren har foretaget, giver i høj grad et ansvar for den anvendelse, som et exploit finder. Specielt fordi researcheren ikke har fortalt leverandøren af softwaren om hullet, så vi som slutbrugere ikke har nogen som helst anelse om, at vi bruger software, som der findes et aktivt exploit til. Ligeledes har leverandøren heller ikke en chance for at lukke hullet, fordi de ikke kender til det.
Det var så dette lidt længere svar på det spørgsmål, jeg stillede i begyndelsen af denne artikel. Softwareleverandørerne tilbyder dusører, for hvis de ikke gør, vil de forskellige researchere blot sælge deres viden til andre. Vi kan kun håbe, at de fleste researchere af exploits vælger at sælge deres viden om huller til leverandørerne af softwaren, og dermed gør os alle sammen en tjeneste ved at få leverandørerne til at lukke hullerne i deres software.
