Vi skrev tidigare om att Adobe försökt mörklägga hundratals säkerhetshål i Flash. Detta är bara en i raden av händelser kring så kallad responsible disclosure (ansvarsfullt avslöjande). Hur ska produktleverantörer som Adobe, Microsoft och Google hantera inrapporterade säkerhethål? Frågan är högaktuell.

90-talet gav oss full disclosure (öppet avslöjande) – ett svar på att mjukvaruföretag ofta ignorerade påtalade brister i deras produkter. Genom att öppet publicera säkerhetshål och hur de kunde utnyttjas sattes det press på företagen att en säkerhetsuppdatering skulle komma ut.

På senare år har stora delar av branschen kommit överens om att leverantörer bör få rimlig tid på sig att ta fram en uppdatering innan alla detaljer offentliggörs på mejlinglistor och bloggar, så kallad responsible disclosure (ansvarsfullt avslöjande)

Hur ersätter man en hacker?
Det svåra är ersättningsfrågan. För snart två och ett halvt år sedan gick tre kända hackers ut med initiativet No More Free Bugs. När riktigt vassa hackers har tillbringat veckor eller månader åt att mejsla ut ett sätt att utnyttja ett tidigare okänt säkerhetshål förväntar de sig ersättning, antingen i kändisskap eller i reda pengar. Organiserad brottslighet är tyvärr mer än villig att betala om inte leverantörerna är det.

Ett antal företag har därför infört offentliga listor över de personer som hjälpt till att hitta säkerhetsluckor. Så kallade Hall of Fame. Några exempel är:

Att vara med på någon av dessa listor är antagligen ett bra argument när man söker jobb inom säkerhet.

Tjäna upp till 1,3 miljoner
En annan trend är prisjägarprogram, bounty programs, där inrapporterade säkerhetsbuggar belönas med stigande belopp beroende på hur allvarliga de är. Både Mozilla och Google betalar mellan 3000 och 20.000 kr per bugg. Facebook erbjuder 3000 kr och uppåt.

För ett par veckor sedan kom Microsoft med ett helt nytt grepp – The Microsoft BlueHat Prize. De erbjuder 1,3 miljoner kr till den eller dem som presenterar den mest innovativa lösningen på minnesskydd i operativsystem. Här handlar det inte om att betala för inrapporterade buggar utan om ersättning för proaktivt forskningsarbete. Annars har Microsoft hårdnackat vägrat betala per rapporterad bugg.

Lönsammare än traditionell granskning
Produkt- och tjänsteleverantörer har över tid haft olika strategier för att bemöta inrapporterade säkerhetsbuggar. Vårens kavalkad av intrång hos Sony med dotterbolag var i mångt och mycket resultatet av att man försökt stämma den hacker som läckt signeringsnyckeln för Playstation 3.

Adobes val att mörklägga Googles omfattande säkerhetsrapport kan mycket väl ha varit resultatet av en strid mellan marknads- och säkerhetsansvariga. ”Vi kan inte skriva att vi har lagat över hundra säkerhetshål.” ”Jo, vi måste ge credit till dem som hjälper oss, annars kommer vi på sikt inte få några säkerhetsrapporter alls.”

I våras presenterade Google sina erfarenheter av att betala för säkerhetsbuggar. ”Mer prisvärt än granskning gjord av konsulter” var deras slutsats. Plus att de får en strid ström av bra rekryteringstips. Google anser sig alltså själva tjäna på responsible disclosure.

Tiden har kommit då offentliga tack för inrapporterade säkerhetsbuggar anses vara självklart och betalning för arbetet blir allt vanligare. Sitter man just nu och överväger mörkläggning eller stämning av någon som rapporterat en säkerhetsbrist så tar man en stor risk. Hackers har vant sig vid uppskattning och pengar.

John Wilander, säkerhetsskribent och ledare inom svenska OWASP.

Fotnot: Prisjägarprogram är inget nytt inom datavetenskapen. Donald Knuth har erbjudit pengar för rapporter om fel i hans böcker och program sedan tidigt 70-tal. Läs mer på wikipedia.