Centrale instantie om lekken te (laten) dichten

Ik was van 't weekend serieus aan het nadenken over het volgende.

Er zou een instantie moeten zijn die personen uitnodigd om - tegen betaling - lekken in websites of diensten op te sporen.

Opdrachtgever
De websites die gecheckt dienen te worden moeten door de eigenaars ervan (bedrijven) zijn opgegeven.
Deze betalen de centrale instantie indien ze een geconstateerd lek met oplossing doorkrijgen.
De opdrachtgevers zijn verplicht om deze vergoedingen te betalen, bijvoorbeeld middels een voorschot aan de centrale instantie.

Tipgevers
Degenen die lekken opsporen zijn b.v. hackers ('white hats') die daar zin in hebben, maar in bredere zin iedereen die verstand heeft van beveiliging en lekken.
Dat kunnen professionals zijn, maar ook 'hobbyisten'.

Wanneer ze een lek gevonden hebben, kunnen ze dat opgeven (de naw-gegevens dienen uiteraard vertrouwelijk te worden behandeld) mèt de oplossing om het lek te dichten.

Wanneer ze de eerste zijn die een bepaald lek gevonden hebben, en het is geverifieerd (dat moet een specialist zijn binnen de centrale instantie die nauw overlegt met de opdrachtgever), kunnen ze direct een vergoeding tegemoet zien.

De centrale instantie publiceert het lek nadat het is gedicht: iemand anders hoeft hetzelfde lek dus niet nogmaals op te geven.

Uiteraard moet dit allemaal snel achter elkaar plaatsvinden; een opdrachtgever dient de geboden oplossing snel in te zetten, anders zou het proces niet goed werken.
Dit is een verplichting waar de opdrachtgever mee akkoord moet gaan.

Vergoeding
Er zou een redelijk (flink) bedrag tegenover moeten staan.
Bijvoorbeeld 500 euro per tip (of is dat te weinig?).

Een slim persoon zal tips dus zoveel mogelijk splitsen (dat mag), om zo meerdere tips in te kunnen schieten.


Triple win
Ik denk dat dit een win-win-win situatie moet kunnen zijn:
1. De tipgever verdient er flink mee
2. De opdrachtgever dicht lekken tegen minimale kosten (of het moeten er heel veel zijn)
3. De centrale instantie heeft een broodwinning

Naar mijn mening is iets in deze trant noodzakelijk in deze tijd, gezien de grote hoeveelheid lekken die gevonden worden.
Bedrijven hebben de grootste moeite om hun systemen door experts te laten doorlichten - elke expert heeft z'n beperkingen - en perfect beveiligen is gewoon te duur.

Deze methode zal helpen op een gereguleerde manier de beveiliging van bedrijven die er aan mee willen doen, op peil te brengen.

Ik begrijp dat er beperkingen zijn in deze handelwijze: een potentiële tipgever - een specialist - zal misschien meer inzicht in de infrastructuur van het bedrijf willen hebben om een goede oplossing te bieden, maar dat is onmogelijk; dat kan alleen als die persoon rechtstreeks door het bedrijf gehuurd wordt.

Ook begrijp ik de angst dat het zou kunnen lijken dat bedrijven 'hackers uitnodigen' om kwetsbaarheden bloot te leggen.
Maar ik denk dan ook meteen dat er veel personen met verstand van zaken zijn die er gewoonweg wel geld mee zouden willen verdienen.

Heeft een idee als dit bestaansrecht of niet?

leuk_he schreef op maandag 10 oktober 2011 @ 10:54:
3 opmerkingen.

1. http://www.govcert.nl/ : nu eigenlijk alleen adviseren.

Adviseren is slechts een kleine stap in het voorkomen en oplossen van lekken, en gezien de ervaringen van de afgelopen maanden biedt dat veel te weinig.
Het wordt eens tijd dat de lekken echt concreet en snel aangepakt worden, en misschien dat mijn idee daar een goede oplossing voor is.

2. Jouw systeem betaald de hackers. En niet alleen de white hats. Wat als er (via social engineering) een site gehackt wordt zodat hij gaat lekken?

Ik begrijp je niet helemaal.
Bedoel je dat er personen kunnen zijn die juist lekken creëren om er daarna middels mijn idee, geld aan te gaan verdienen?
Misschien is daar een oplossing voor te vinden (ik bedoel: onder het motto 'denken in oplossingen, niet in problemen').

3. Lekken is nu niet illegaal, het levert enkel reputatie schade op. 99% van alle lekken worden onder de mat geveegd en opgelost zonder enige vorm van consequentie voor de degene die lekt. Kijk zelf maar naar de reacties op webwereld op de lekkende gemeentes. Groot aantal ontkent en snapt het niet eens.

En toch kan ik me niet anders dan voorstellen dat bedrijven er juist behoorlijk in geïnteresseerd zijn om op een 'veilige' en gereguleerde manier na te gaan of hun site en diensten veilig zijn.
Ik denk dat mijn idee er bij helpt om dat tegen minimale kosten te doen - als er geen lekken zijn (of gevonden worden), betalen ze niets (behalve het voorschot).

leuk_he schreef op woensdag 12 oktober 2011 @ 09:23:
[...]

Het feit dat er geen lek aan te tonen is wil niet zeggen dat het er niet is. Zolang het over beperkte bedragen gaat (semi-geautomatiseerd testen), doet niemand moeilijk over de bedragen. Maar een paar dagen een expert-consultant inhuren gaat over aanzienlijke bedragen, waarbij wellicht lekken gevonden worden die door de organisatie als niet erg worden beschouwd

Voorbeeld, wat als de geseede hash van 1% van de wachtwoorden van deze site zou lekken. Is dat een lek? of is dat informatie waar toch nog niemand iets mee kan?

Punt is dat je van een bedrijf dat een project voor je uitvoert - waarbij in het FO staat dat er 'ook aan beveiliging gedacht moet worden' - er blijkbaar (is de overduidelijke ervaring) niet vanuit moet gaan dat er een (zo goed als) waterdicht produkt wordt geleverd.

Je kunt best een ander bedrijf in huren om dit nog eens door te lichten, maar ik denk dat het gebruik van de 'experts thuis' (white hat hackers en hobbyisten) meer lekken - en oplossingen - aan het licht zullen brengen, en waarschijnlijk tegen lagere kosten.

Ik denk zelfs dat je dan wel in veel gevallen een waterdicht systeem kunt creëren.
Waarom? Omdat er na het oplossen van een aantal lekken nog steeds white hats zullen zijn die een poging zullen wagen.


Overigens dacht ik ook even aan het volgende:
De centrale instantie zou alle gevonden lekken en geboden oplossingen als publieke dienst in een openbare database moeten plaatsen.
Wellicht bestaat zo'n site al - 'waarom heb ik er dan nog nooit over gelezen?' vraag ik me af.

Zo'n database kan een gemeengoed worden dat bij elk IT-project waarbij componenten beveiligd moeten worden, geraadpleegd wordt.
Volgens mij gebeurt dat nu nog nauwelijks (leert de ervaring).


'Aannames'
Je hoort ze zoveel... B.v.: 'Een grote IT-leverancier zal toch wel goede kijk op beveiliging hebben??'.

Een voorbeeld: onze Jira (wie kent het niet) site was tot vorige week uitsluitend via http bereikbaar, terwijl er mogelijk gevoelige informatie en wachtwoorden overgestuurd worden!
Toen ik dit aankaartte was de reactie: 'dat zal toch wel geregeld zijn??'. Niet dus.
Nadat de beheer-afdeling met OnJira contact opgenomen had hebben ze het https-verkeer ingeregeld.
Blijkbaar kon dat bedrijf wel prima in een week tijd certificaten aanschaffen en inzetten, maar hadden ze daar simpelweg niet aan gedacht..
Eigenlijk bizar dat een eindgebruiker ze (de beheer afdeling en het bedrijf dat het produkt levert) daar attent op moet maken.

Verwijderd schreef op woensdag 12 oktober 2011 @ 05:50:
Ik heb hier eerder zelf ook heel veel over na zitten denken.

[...]
Er zouden in mijn ogen gewoon '(Meer) bedrijven' die op verzoek tegen betaling services kunnen stress-testen.

-Ritchie

Dat zet me nog verder aan het denken:
Wanneer een bedrijf zou verzoeken om hun site / dienst te laten doorlichten, weten ze dat er vreemden aan gaan lopen 'sleutelen'.
Ze zouden het doorlichten dus beter in een testfase van een project kunnen laten doen, of ze zouden standby moeten zijn om de stekker uit een dienst te trekken op het moment dat ze misbruik detecteren.

Hoe dan ook is het dan interessanter dan de huidige werkwijzes, als er uberhaupt aan gedacht wordt, want het bedrijf is een korte tijd specifiek met de beveiliging bezig.

Een bedrijf zou dat van tijd tot tijd kunnen herhalen.
Waarschijnlijk zijn de kosten daarvan laag.

Dit geeft me steeds meer gevoel voor bestaansrecht van zo'n centrale instantie.
Het zou een ideaal orgaan zijn dat zeker weten reclame mag (en moet) maken.
Één flink bericht van het bestaan ervan zal, net als de tientallen grote lek-gevallen, mensen attent maken op dit hulpmiddel.

Het valt of staat wel met de out-of-de-box mentaliteit van de medewerkers.
Er zijn zowel risico-issues als mogelijk juridische issues die onderzocht moeten worden, maar ook hier geldt een aanname: 'de bestaande IT-beveiligings bedrijven zullen toch wel afdoende zijn?'.

[ Voor 23% gewijzigd door ByteDelight op 13-10-2011 13:37 ]

leuk_he schreef op donderdag 13 oktober 2011 @ 13:42:
[...]


omdate (Nogmaals...) Bedrijven zitten er absoluut niet op te wachten de vuile was op straat tentoon te stellen. 99% van de lekken wordt onzichtbaar opgelost, liefst zonder publiciteit. Er is geen (nauwelijks) wettelijke verplichting mogelijke slachtoffers in te lichten.

Maar er zijn er ongetwijfeld wel veel die op zoek zijn naar een goede methode van het traceren van lekken zodat die opgelost kunnen worden.

De kunst is inderdaad juist om te zorgen dat niet de indruk wordt gewekt dat een site/service van een bedrijf niet in orde is - als je al weet dat je vuile was hebt, weet je ook hoe je die moet 'wassen' - maar alleen om na te gaan of er nog niet-geconstateerde lekken zijn.

Jouw http/https verhaal, denk je echt dat er iemand vind dat die bevinding in een centrale database moet worden vastgelegd?

Nee, maar ik noemde dat voorbeeld om aan te tonen dat velen bewust of onbewust kwetsbaarheden negeren / niet doorhebben.
Stap één van een portal met vertrouwelijke informatie is het inrichten van een secure verbinding.
'Daar denkt toch elke IT-er aan?' zou je denken? Het blijkt dus duidelijk van niet.
Dus van mij mag zo'n facet bovenaan een openbare checklist...