image

'Richtlijn voor ethische hackers geen vrijbrief'

donderdag 3 januari 2013, 15:49 door Redactie, 12 reacties

De nieuwe overheidsrichtlijnen voor ethische hackers moeten de veiligheid van Nederland vergroten, maar zijn geen vrijbrief voor hackers om maar te doen wat ze willen. Dat liet Wil van Gemert tijdens een presentatie van de 'leidraad voor verantwoorde openbaarmaking van ICT-kwetsbaarheden' weten. Van Gemert is Directeur Cyber Security bij de NCTV.

Vorig jaar april kwam er uit de Kamer een verzoek voor een kader voor het verantwoord melden van beveiligingslekken door ethische hackers. Dat kader is nu opgesteld, maar volgens Van Gemert is de ICT-veiligheid nog steeds de verantwoordelijkheid van de betreffende organisaties en bedrijven. De leidraad is dan ook vooral bedoeld om partijen met elkaar in verband te brengen.

"De leidraad bestaat uit bouwstenen die je als organisatie zou moeten gebruiken om duidelijk te maken hoe je in toekomst zou willen omgaan als er in je bedrijf sprake van een kwetsbaarheid is."

"Het is aan het bedrijf, organisatie of overheid zelf om aan de hand van deze bouwstenen het kader te vormen voor beleid en het beleid publiekelijk en transparant uit te dragen." Organisaties kunnen op hun website melden dat ze het verantwoord melden van lekken ondersteunen. Zo weten hackers dat er op hun meldingen goed wordt gereageerd, laat Van Gemert weten.

Afspraken
"Er staat ook in de richtlijn dat als je je aan de afspraken houdt, het bedrijf in principe geen aangifte zou moeten doen. Dat is natuurlijk wel iets, een minister van Justitie die een leidraad uitgeeft waarin staat 'dit is tussen twee partijen, dit is wat mij betreft richting de politiek toe hoe je dit zou moeten doen. En als je je dan houdt aan die voorwaarden, begrijpen wij dat je geen aangifte doet'."

Van Gemert benadrukt dat dit niet de verantwoordelijkheid van het Openbaar Ministerie wegneemt om alsnog zelf een onderzoek in te stellen als daar reden toe is. In het geval van gevonden lekken bij bedrijven speelt het Nationaal Cyber Security Center een faciliterende rol. "Het is de bedoeling dat de twee partijen er zelf uitkomen", aldus Van Gemert.

Het gaat dan onder andere om de hoeveelheid tijd die de ontdekker van een lek de kwetsbare organisatie gunt. De leidraad gaat uit van 60 dagen voor een softwarelek, terwijl een hardwarematig beveiligingsprobleem binnen zes maanden moet zijn kunnen opgelost. "Dat zijn acceptabele termijnen, maar dat is afhankelijk van de aard van het probleem."

Vrijbrief
Hackers zouden nu overal kunnen inbreken om vervolgens bedrijven te vragen het op verantwoorde wijze af te handelen. Volgens Van Gemert is het echter geen vrijbrief voor hackers om maar te doen wat ze willen. "In de omschrijving van wat de melder moet doen, hebben we een lijst opgenomen van wat een evenredige wijze van handelen is." Zo mogen geen backdoors, brute-force aanvallen of social engineering worden toegepast.

"Als je als hacker hier wel gebruik van maakt, dan hou je je niet aan de voorwaarden, en dan is er het risico van het plegen van een strafbaar feit. Het gaat erom dat je met elkaar afspreekt hoe je het doet." Van Gemert ziet de acties van ethische hackers die vaak zonder het van tevoren melden systemen testen, niet als het actief binnendringen van systemen.

"Tegelijkertijd zie je dat bedrijven zich niet bewust zijn van kwetsbaarheden die wel worden aangetoond. Er is een vraag, ook vanuit de Kamer, hoe je hier goed mee omgaat. Hoe maak je een onderscheid tussen de goedwillende en kwaadwillende hackers."

"Dit is geen vrijbrief om maar te doen wat je wilt, het is een kader waarmee je als bedrijf, als je het van tevoren kenbaar maakt, duidelijk maakt dat je geinteresseerd bent om te weten wat voor kwetsbaarheden je hebt en dat je die op verantwoorde wijze gemeld wilt zien en daar op een normale manier mee omgaat."

Aangifte
Het is aan bedrijven zelf of ze de richtlijnen willen volgen, maar volgens Van Gemert is dat in hun eigen belang. Met het creëren van de richtlijnen kunnen bedrijven op hun eigen website aangeven dat ze zich hier aan willen houden. Bedrijven die zich niet aan de richtlijnen houden zouden hierdoor lastiger met beveiligingsproblemen kunnen omgaan.

In het geval een hacker inbreekt bij een organisatie die niet heeft aangegeven de 'responsible disclosure-regels' te volgen, is het verstandig om alsnog te kijken of er via de beleidsregels is gewerkt, gaat Van Gemert verder. "En dat je reageert op de meldingen die je hebt gekregen."

Als een bedrijf toch aangifte doet, ook al heeft de hacker zich aan de nu gepresenteerde richtlijn gehouden, "dan zal moeten blijken of dat wel of niet het geval is", gaat Van Gemert verder.

"De waarde van de richtlijn is dat je tussen twee instanties, een melder een organisatie, tot overeenstemming komt hoe je met een gemelde kwetsbaarheid omgaat. Op een manier dat je daar als bedrijf beter van wordt en op een manier dat de security toeneemt. Dat willen we hiermee neerzetten."

Samenleving
Toch kan het Openbaar Ministerie ambtshalve alsnog een onderzoek of vervolging instellen. "Ik denk dat het voor de rechter wel uitmaakt, als de zaak voor de rechter komt, dat als je je hebt gehouden aan wat responsible disclosure is, de mate waarin uiteindelijk dat leidt tot daadwerkelijke strafoplegging en in welke vorm dat plaatsvindt. Ik denk wel dat dan van invloed is, maar het is aan de rechter om dat te beoordelen."

"Waar het om gaat is dat je helderheid probeert te geven, die gevraagd wordt, juist in deze samenleving, omdat we zo kwetsbaar zijn, tussen partijen die daar allerlei rollen in vervullen."

Van Gemert verwacht dat de richtlijn er aan zal bijdragen dat er eerder bereidheid zal zijn bij bedrijven hoe ze hier op een goede manier mee omgaan. "En daar zit altijd een grijs veld waar de goede manier eindigt en de slechte manier begint. Dit maakt de manier voor een heel stuk helderder."

Reacties (12)
03-01-2013, 16:28 door Anoniem
Jammer dat ik vanuit den haag nooit eens iets hoor over het aanpakken van de verantwoordelijke:
de nalatige ontwikkelaars en de verantwoordelijke organisatie.

Ik denk dat bij aanwezigheid van bepaalde lekken, bijvoorbeeld eenvoudige sql injectie en lekken waar voor de software leverancier al jaren geleden een patch heeft gemaakt maar die is niet uitgerold, je die mensen gewoon moet gaan vervolgen.

Moet je dan eens kijken hoe veilig het Nederlandse gedeelte van het internet binnen een aantal maanden zal zijn :)

stelletje nalatige @#$%^&*() ! Durf eens de kant van de goedwillende hackers te kiezen!
Nalatige beheerders en ontwikkelaars moeten gewoon oprotten, de miljoenen die ze verdient hebben aan hun prutswerk terug geven en strafrechtelijk vervolgen .
03-01-2013, 17:05 door Anoniem
Nalatige ontwikkelaars?
Ik denk dat je behoorlijk onervaren bent als je de schuld daar wil leggen.

Mijn ervaringen als dev:
Het moet altijd te snel af, liefst gisteren, niks ontwerp, niks security, geld is wat telt en voor jou 10 anderen.
Uiteindelijk is het gewoon de baas zelf die besluit het risico maar te nemen. En als zijn database gegijzeld/vernietigd wordt dan janken bij de politie, terwijl hij zelf schuldig is.
Je gaat toch ook niet naar de politie als je fiets is gestolen terwijl hij niet op slot stond omdat je geld voor een slot wilde besparen?

Het probleem zit hem in het feit dat software als vakgebied nog lang niet volwassen is, en de mensen die erover mogen beslissen eigenlijk ook niet.
Echte goede en veilige software is simpelweg nog niet te betalen.
03-01-2013, 19:19 door Anoniem
Een redelijke vergoeding voor geboden diensten door een White-hat hacker vind ik nog ontbreken. Het enige wat het nu kan opleveren is - hopelijk - niet vervolgd worden. Waarom niet gewoon belonen als iemand de moeite neemt zoiets te melden? Want op deze manier is een beveiligingsgat nog altijd meer waard als je het bvb aan de internet maffia verkoopt.
04-01-2013, 00:04 door Anoniem
En wie bepaalt wat of wie een ethische hacker is? Bijv.iemand die een (vermeende) pedo wil hacken om naar zijn zeggen "bewijs te verzamelen tegen de pedo" of die zegt de (vermeende)pedo te willen controleren om zodoende te voorkomen dat de (vermeende)pedo zich (nogmaals) aan kleine kindertjes vergrijpt,is dat te verstaan onder een ethische hacker? Ik vindt dat hackers die zogezegt voor de goede zaak vechten moeten worden geregistreerd bij de politie/autoriteiten en eigenlijk zouden ze dit werk alleen mogen doen als ze in dienst zijn van bijv. de politie,geheime dienst,andere opsporingsdiensten zoals FIOD,Belastingdienst,Sociale Recherche,of in dienst zijn van bedrijven die te maken hebben/krijgen met cyber(on)veiligheid,denk aan bedrijven als Symantec/Norton,Kaspersky Lab,Microsoft en nog een paar anderen,maar altijd onder strikte controle vd wetgever.
04-01-2013, 00:06 door Anoniem
Op zich lijkt dit wel de goede kant op te gaan, aangezien er wat begrip wordt gekweekt voor ethisch versus onethisch hacken, en dat is wel nodig, denk ik.

Wat ik alleen jammer vind, is dat er geen wettelijk kader voor wordt neergezet. Als ethisch hacker kun je nu toch nog voor de rechter worden gedaagd, en die rechter kan die hacker toch nog gewoon veroordelen, ondanks dat die zich aan deze richtlijnen heeft gehouden. De rechter mag dat zelf uitmaken, o.b.v. de huidige wetgeving. Ik heb zelf trouwens geen idee hoe groot de kans erop is dat je toch nog veroordeelt wordt (kan Arnoud Engelfriet daar eens iets over vertellen?).

M.a.w. je loopt als ethisch hacker toch nog risico, en dat zou eigenlijk weg moeten worden genomen.
04-01-2013, 08:33 door dutchfish
Ik weet dat ik alweer een open deur intrap, maar, veilige software krijg je door Open Source.

Iedereen kan meekijken en beoordelen of het kwaliteit of prutswerk was.

Veilige software maak je samen en zelden alleen.

Mijn 2 centen
04-01-2013, 09:34 door Chasalin
@dutchfish wat kort door de bocht, maar helemaal mee eens.

Verder is de richtlijn gebakken lucht. Mijn ervaring is dat als je een lek meldt bij het bedrijf in kwestie, dat het dan vaak doodgezwegen wordt.
Wat mij betreft de volgende uitbereidingen:
1. anoniem melden bij de organisatie moet rechtsgeldig zijn.
2. indien er niets mee gedaan wordt, kan het, al dan niet anoniem, bij een meldpunt (NCSC?) gemeld worden.
3. indien er na reële tijd nog niets gedaan is, publiceert het meldtpunt openbaar dát er een lek is (maar niet wat en hoe)
4. indien er na het dubbele van deze reële tijd en dus na publicatie nóg niets gedaan is, mag het gespecificeerd naar de media, zonder risico op vervolging.
5. de richtlijnen worden leidend: indien een organisatie er van afwijkt, zal hij dat moeten verantwoorden.

Het idee dat social engineering niet mag is vreemd. Dat is vaak de zwakste schakel en daar moet de beveiliging het sterkst zijn. Dat vormt dus een belangrijk onderdeel van security tests.
04-01-2013, 10:07 door yobi
Ik ben ook voor een verplichte melding voor ongeteste webpagina's. Bijvoorbeeld: "Deze webpagina is niet gecontroleerd op fouten. De door u ingevoerde gegevens kunnen in handen van derden vallen".
17-01-2013, 22:58 door Anoniem
Wat is het verschil met andere criminaliteit / overtredingen?

Kortweg: weet iemand wanneer minister Opstelten komt met richtlijnen voor "ethisch testen van gladde banden", "ethisch testen van de overvalbestendigheid van supermarkten", "ethisch speculeren met geld van de baas (fin. instellingen)", en "ethisch testen illegaal vuurwerk"?
30-01-2013, 15:41 door Anoniem
Door Anoniem: Wat is het verschil met andere criminaliteit / overtredingen?

Kortweg: weet iemand wanneer minister Opstelten komt met richtlijnen voor "ethisch testen van gladde banden", "ethisch testen van de overvalbestendigheid van supermarkten", "ethisch speculeren met geld van de baas (fin. instellingen)", en "ethisch testen illegaal vuurwerk"?

Precies! Of het ethisch testen van de inbraakveiligheid van huizen.

Het is een eigendom van iemand anders waar wordt ingebroken. Het kan niet zo zijn dat mensen die dat doen vrij gesteld worden van vervolging, want dan heb je een groep inbrekers die kan doen wat ze willen. Ethiek is een relatief begrip. Wat het ene bedrijf onethisch vindt het ander geen probleem. Hoe zou jij het vinden als een inbreker je belt en zegt: hey ik was vannacht in je slaapkamer, maar ik heb verder niks gepakt hoor....
31-01-2013, 14:56 door Chasalin
De situatie is toch een beetje anders en in sommige situaties heel anders.

Laten we een site even vertalen naar een winkel. Stel dat in de winkel een kast staat met klantgegevens of andere eigendommen van klanten.
Als ik zie dat de achterdeur niet op slot zit en dat meldt, dan is er weinig aan de hand, hoewel sommige mensen in de fysieke wereld net zo ondoordacht te wwerk gaan als op internet: "Nee hoor, de deur is op slot."
Is het dan terecht dat je vervolgd wordt wanneer je voor het oog van de manager de deur opentrekt en roept "KIJK, HIJ ZIT NIET OP SLOT", puur en alleen om je eigen eigendommen die daar binnen liggen te beschermen?

In het geval van een achterdeur die niet op slot zit, is de eigenaar van die achterdeur nalatig.
in het geval van een digitale achterdeur zou dat ook moeten zijn en zou degene die de deur opentrekt (bij voorkeur in eerste instantie NIET voor het grote publiek/de media) als klokkenluider behandeld moeten worden.

Ook wanneer je een telefoontje krijgt met "Hey ik was vannacht in je slaapkamer", dan is die inbreker ineens 'slechts' een insluiper als je je deur open had staan. Emotioneel gezien niet anders, maar juridisch gezien maakt het een groot verschil.

Vergelijkingen met andere criminaliteit zoals overvallen, speculatie etc. loopt spaak omdat er geen hoger doel bereikt kan worden door het uit te voeren, behalve eigenbelang. Er zijn genoeg andere manieren om aan te tonen dat toezicht in de financiele sector niet deugt.
01-02-2013, 13:35 door Anoniem
Ik begrijp je standpunt Chasalin. Ik vind het ook fijn als mijn gegevens enzo goed beveiligd zijn maar ik ben het niet eens met je stelling.

Beveiliging is nooit on door dring baar, het is allemaal gebaseerd op technieken en de manieren om in te breken zijn ook technieken. Het is een oneindig gevecht. Het is goed als je mensen wil helpen met hun beveiliging maar dan moeten zij het er wel mee eens zijn. Je voorbeeld met de winkel begrijp ik, alleen heb jij de keuze gemaakt om daar je gegevens te laten. Net zoals we al die lappen teksten accepteren bij verschillende digitale diensten. Als je het er niet mee eens bent kun je altijd ergens anders heen.

Met de inbreker in je slaapkamer kan het altijd nog lijken alsof de deur open is gebleven en er verder geen sporen zijn.

Het hacken kan ook eigen belang zijn, je wil toch dat het veiliger wordt. Ook is er nog het punt dat hackers het doen voor de kick of om wat voor gevoel dan ook. Ik geloof niet dat alle zo genoemde white hats het doen om de wereld te verbeteren.

Als je mensen wil helpen geloof ik best dat je op een anonieme manier het gat kan melden. Mocht er dan niks ondernomen worden kun je het altijd nog aan de media laten weten. Het is dan wel een beetje een dilemma, want je laat mensen met kwade bedoeling ook van het gat weten, maar er komt wel meer druk om het gat te dichten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.