Morten Schenk fra IT-sikkerhetsselskapet ImproSec har funnet flere sårbarheter i Windows 10, som han ifølge Version2.dk vil offentliggjøre på den kommende Black Hat-konferansen i USA. Nå har han på grunn av dette blitt kontaktet av en militær organisasjon i et annet land.
Administrerende direktør Jakob Heidelberg i ImproSec ønsker ikke å kommentere saken nærmere, utover at kontakten var fra «en fremmed stats militære organisasjon». Han kan likevel fortelle at det er snakk om et land i Midtøsten.
– Jeg kan ikke si hvem det er eller noe sånt, det vil jeg ikke. De vil jeg ikke ha etter meg, la oss bare si det slik.
Henvendelsen dreide seg om at den ikke-navngitte organisasjonen var interessert i å kjøpe sårbarheter i programvare når ImproSec finner slike.
Version2 har i det siste publisert flere saker om sårbarheter som sikkerhetsfolkene i ImproSec har funnet frem til.
Først var det historien om en sårbarhet i IBMs lagrings-/sikkerhetskopiprogramvare Tivoli, og så var det fortellingen om Morten Schenks oppdagelse av flere teknikker for å omgå innebygde sikkerhetsmekanismer i Windows 10 – som Kernal Adress Space Layout Randomization (KASLR).
Vil offentliggjøre funnene på Black Hat-konferansen
Morten Schenk planlegger å offentliggjøre ytterligere detaljer om dette arbeidet på den kommende Black Hat-konferansen som finner sted i slutten av juli i Las Vegas.
Og det er tilsynelatende Schenks graving rundt i Windows 10-kjernen som har kommet den utenlandske organisasjonen for øre – og deretter har de kontaktet ImproSec.
I utgangspunktet er det da heller ikke så merkelig hvis nettopp fortellingen om den danske virksomhetens oppdagelse av flere ikke-offentliggjorte problemer i et stykke ekstremt utbredt programvare som Windows 10, kan ha interesse for en slik organisasjon.
Som kjent er det ikke uvanlig at diverse statlige organisasjoner interesserer seg for sårbarheter i programvare som kan brukes til å kompromittere systemer i for eksempel etterforsknings- eller spionasje-øyemed.
Tidligere har det for eksempel vært skrevet om hvordan det danske politiet var på kundelisten hos italienske Hacking Team. Disse spesialiserte seg på å selge sårbarheter i forskjellig programvare, og endte selv med å bli rammet av en datalekkasje. I tillegg var det historien om EternalBlue-skadevaren som opprinnelig skulle stamme fra NSA, og som endte med å bli brukt av andre i forbindelse med både WannaCry-angrepet og det senere såkalte NotPetya-angrepet.
Trodde det var en svindler
Tilbake til ImproSec. Da virksomheten ble kontaktet av militærorganisasjonen foregikk det uten kryptering eller forsøk på å kamuflere kontaktens opprinnelse.
– Det var rett ut av boksen, som Jakob Heidelberg formulerer det.
I første omgang trodde han faktisk at det var snakk om en eller annen form for svindel.
– Så undersøkte jeg det nærmere, og det var en konkret person som var ansatt i denne fremmede staten.
Først ble det sendt et par eposter, og senere kom det en telefon fra personen, som altså var interessert i å kjøpe sårbarhetene fra den danske bedriften. En konkret pris ble riktignok aldri diskutert, forteller Jakob Heidelberg.
– Så dypt gikk vi ikke inn. Vi avviste dem i porten.
Når det gjelder prisen, så kunne en stat saktens vise seg å være villig til å betale vesentlig mer for opplysninger om en sårbarhet sammenlignet med hva produsenten av programvaren selv ville betale som et ledd i et «bug bounty»-program. Altså et program hvor sikkerhetsforskere som Jakob Heidelberg og Morten Schenk mottar en kontant belønning for å finne sikkerhetshuller og gjøre produsenten oppmerksom på det.
Prinsipielt avviser Jakob Heidelberg imidlertid at de ville tatt imot et tilbud fra – i dette tilfelle – en fremmed stat om å kjøpe sårbarheter.
– Det vil vi ikke, det strider mot etiske prinsipper. Alle mennesker har jo sannsynligvis en eller annen grense, kan jeg forestille meg, men det er slett ikke noe vi overhodet spekulerer i.
Oppmerksomme på egen sikkerhet
Når eksempelvis fremmede stater er ute etter den slags sårbarheter som sikkerhetsforskerne hos ImproSec kan grave frem, så stiller det selvsagt også høye krav til virksomhetens eget sikkerhetsnivå. Det er jo ikke sikkert at interesserte aktører spør om lov, før de forsøker å ta sårbarhetene.
– Vi er ekstremt oppmerksomme på at en kompromittering av et sikkerhetsfirma ville være på nivå med kompromittering av et hosting-firma, sier Jakob Heidelberg.
Han ønsker ikke å gå for langt ned i detaljene om hvilke tiltak ImproSec tar for å sikre seg, men han kan avsløre at det involverer en viss grad av kryptert kommunikasjon, offline dataoppbevaring, sikker oppbevaring av nøkler – og generell oppmerksomhet blant sikkerhetsfolkene.