Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Responsible Disclosure

Pagina: 1
Acties:

donderdag 5 september 2013 11:07

Acties:
  • w4rguy
  • Registratie: November 2009
  • Laatst online: 20-05 12:23

w4rguy

Team Manager NAB Racing

Topicstarter
Responsible Disclosure
Een term die je niet iedere dag hoort maar wat in de beveiligingswereld alsmaar belangrijker wordt. Responsible disclosure is het verantwoordelijk melden van beveiligingslekken en kwetsbaarheden. Het houdt eigenlijk in: stel je vindt een lek of een kwetsbaarheid op een systeem, netwerk of applicatie van persoon/bedrijf Y, dan kun je en meld je dat op een nette manier. Sommige bedrijven hebben hier beleid en/of procedures omheen geschreven. Voorbeelden hiervan zijn Facebook en Marktplaats die geldbedragen uitloven voor een ieder die een lek meldt. Hierbij dienen de melder en melding wel aan bepaalde eisen te voldoen.

Ethische Overwegingen
Responsible disclosure heeft veel met ethiek te maken. Stel je hebt de kennis van een lek of kwetsbaarheid, ga je het melden, of probeer je er iets aan te verdienen? Soms kun je het lek verkopen of zelf misbruiken voor eigen gewin. Stel je voor dat je prijzen aan kunt passen in een webshop. Hoe aantrekkelijk is het dan wel niet om met één druk op de knop een videokaart voor 20 euro te bestellen, in plaats van er 200 euro voor te betalen?

De risico's
In Nederland loop je een behoorlijk risico om vervolgd te worden als je een lek hebt ontdekt. De Nederlandse wetgeving markeert je als een pleger van computervredebreuk als je een beveiliging omzeilt of doorbreekt. De specifieke voorwaarden waaraan moeten worden voldaan zijn niet vastgelegd, de wet kent alleen voorbeelden maar is daar niet tot beperkt. Daarnaast heb je met drie partijen te maken:
  • Het Openbaar Ministerie
  • De eigenaar van het systeem of programma
  • Eventuele betrokkenen die schade kunnen ondervinden van een lek
Het Openbaar Ministerie
Het OM is belast met het vervolgen van verdachten in Nederland. Doorgaans doet zij dit alleen na een aangifte. Echter bij zaken met een maatschappelijk belang kan het OM zelf een onderzoek starten en zelf tot vervolging overgaan! Minister Ivo Opstelten heeft een richtlijn uitgedragen wat als advies geldt voor het OM om in bepaalde situaties niet te vervolgen. Het OM heeft echter aangegeven dat, omdat het om een richtlijn gaat, deze niet op de regel gevolgd wordt.

Eigenaar van het systeem of programma
De eigenaar van het systeem is normaal gesproken de locatie waar je melding binnen komt. Deze persoon of bedrijf is belanghebbende van het systeem en het is zijn taak om te monitoren en te beveiligen of de informatie niet uitlekt. Vanwege de belangen is deze partij in staat om aangifte te doen.

Eventuele betrokkenen die schade kunnen ondervinden van een lek
Stel ik heb bij een webshop iets gekocht en jij hackt de website en hebt inzicht op mijn persoonsgegevens. Door dit te doen is mijn privacy geschonden door jouw handelen. Als ik hier achter kom ben ik in de positie om aangifte te doen van mijn immateriële schade en kan het OM tot vervolging over gaan.

Conclusie
Responsible disclosure is in Nederland dus een gevoelig punt. Maar waar ligt dan de nuance? Wat denken jullie? Moet je als een 'vigilante' websites kunnen hacken en er zo je hobby van maken of er zelfs geld mee verdienen? Moet dit worden tegen gehouden? Wanneer zou je zelf een lek melden en neem je daarbij de risico's in overweging om vervolgd te kunnen worden? Wat zou een melder moeten ontvangen van de organisatie of persoon waar het lek is gemeld? Een bloemetje of eerder een financiële compensatie? Ik ben benieuwd wat de mening van de tweakers is over dit onderwerp. Daarnaast denk ik dat het interessante materie is voor het beveiligingsforum waar iedereen wel iets van kan vinden.

All-Round nerd | iRacing Profiel

donderdag 5 september 2013 20:58

Acties:
  • photofreak
  • Registratie: Augustus 2009
  • Laatst online: 23-11 08:31

photofreak

Helaas blijkt het maar al te vaak dat bedrijven die met privacy gevoelige gegevens omgaan toch nog weleens wat steekjes laten vallen als het gaat om het achter slot en grendel houden van deze data.
Dit vind ik echter nog geen rede om actief te gaan testen op kwetsbaarheden in andermans systemen.

Heeft een organisatie zelf de beveiliging niet op orde en komt er een scriptkiddie langs die achter 7 proxy's zit en vervolgens de database met logingegevens op pastebin zet, dan is het naar mijn zeggen de verantwoordelijkheid van de organisatie. Want zei zijn de data verloren en niet andersom.

Ik praat het binnendringen op andersmans systemen niet goed, in tegendeel, maar naar mijn zeggen mogen er wel wat zwaardere sancties komen voor bedrijven die gevoelige data verliezen. Ook al ligt de schuld nu vooral bij de hacker (zowel kwaadwillend als goedwillend).

Zelf waag ik me niet aan het testen van de systemen van derde partijen zonder voorafgaande schriftelijke toestemming van alle betrokken partijen zoals eigenaar, (systeem)beheerder en desnoods ook de ISP en/of reseller.

Bovendien vind ik het een druppel op de gloeiende plaat, zolang je maar lang genoeg kijkt naar een website (met back-end code) krijg je vanzelf wel iets naar boven. En dit geldt net zo goed voor bedrijven als Google en Facebook die tonnen/miljoenen aan ontwikkeling en audits besteden.

Conclusie
Ik vind het het risico niet waard voor wat het oplevert en als bedrijven het waarderen dan wordt er soms als nog niks aan gedaan omdat het toch nog weleens gaat om legacy systemen die worden/werden beheerd door een externe partij en/of omdat er simpelweg de kennis niet voor in huis is. En anders wordt gewoon error reporting uitgezet ...

zaterdag 14 september 2013 00:01

Acties:
  • kodak
  • Registratie: Augustus 2001
  • Laatst online: 28-11 17:16

kodak

FP ProMod
Hoeveel organisaties hebben we in Nederland? Een paar miljoen? Stel de bedrijven maken publiek duidelijk dat ze achter responsible disclosure staan. Bedrijven die dat nu niet doen. Zo'n bedrijf geeft dan een heel duidelijk signaal: voorheen wist je niet waar je aan toe was, nu wel. Zelfs binnen het bedrijf wist men voorheen waarschijnlijk niet eens waar men als jurist, eigenaar, beheerder aan toe was als er een melding binnen kwam. Met het hanteren van die responsible disclosure is duidelijk waar de bedrijven achter staat. Dat lijkt mij al een behoorlijke stap vooruit. Bedrijven die bewust bezig zijn met het veilig houden van hun systemen en dat transparanter uitdragen.

Lieten hackers/onderzoekers zich voorheen tegenhouden om naar lekken te zoeken of ze te melden? Ja en nee. Het is dus niet alleen afhankelijk van hoe een organisatie zich vooraf laat zien met regeltjes of voorwaarden, maar ook hoeveel vetrouwen je zelf als hacker/onderzoeker hebt om ongevraagd naar een lek te speuren en deze al dan niet te melden.

Een interessant punt wat vaak buiten de discussie valt is het belang van derden bij een lek. Met recht staat het hierboven beschreven: niet alleen de hacker/onderzoeker en de organisatie hebben een belang. Ze kunnen wel mooi responsible disclosure regels hanteren, maar wat heb je daar als klant mee te maken als een onafhankelijke organisatie niet nagaat of de hacker/onderzoeker en de organisatie zich daar wel aan gehouden hebben. En dat is dus het punt waar de politie om de hoek komt kijken. Ongeacht die richtlijnen heb je altijd het risico verdachte te worden van een onderzoek. ongevraagd een computersysteem betreden of gebruiken is namelijk al een tijd verboden - dat is mede om de andere belanghebbenden (bijv klanten hun persoonsgegevens) te beschermen. Overigens kan je altijd onderdeel worden van een onderzoek - zelfs als je er niets mee te maken hebt en niet eens weet waar het over gaat. Zo zit nu eenmaal ons rechtssysteem in elkaar - anders gaat het vinden van verdachten en daders een heel stuk moeilijker.

Er schijnt enige onduidelijkheid te bestaan over het hanteren van die responsible disclosure regels. Sommige onderzoekers/hackers vinden dat ze hun eigen regels mogen bepalen als ze ongevraagd een systeem van iemand anders zogenaamd verantwoord aanvallen. Nu kun je je eigen bezigheden als verantwoord beschouwen, maar uiteindelijk sta je als onderzoeker/hacker altijd behoorlijk zwak als je ongevraagd een systeem gaat onderzoeken. Weet je bijvoorbeeld exact wat je hebt veroorzaakt toen je op ontdekkingstocht was met je blind sql injection of dat ene tooltje dat je zo handig vond? Meestal heeft een onderzoeker/hacker een ijdele hoop of heilige overtuiging zonder de werkelijkheid volledig te kunnen overzien. Vervolgens nog eens eenzijdig gaan eisen welke regels gelden, ook al zijn dat responsible disclosure regels, is verre van handig voor je eigen positie. Zie je nergens dat een bedrijf die responsible disclosure regels hanteerd, ga er dan ook niet vanuit dat ze ze accepteren.

Overigens: leg bij een rechter eens uit wat voor aantoonbare schade je als klant precies hebt opgelopen toen je gegevens in handen van de onderzoeker/hacker kwamen. Ik acht de kans klein op een veroordeling.
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq