image

NCSC geeft voorbeelden van responsible disclosure

woensdag 30 januari 2013, 10:06 door Redactie, 15 reacties

Het Nationaal Cyber Security Centrum (NCSC) heeft een dossier online gezet met voorbeelden van een responsible disclosure beleid dat bedrijven kunnen toepassen. Onlangs kondigde de overheid richtlijnen voor het op verantwoorde wijze melden van beveiligingslekken aan, het zogeheten responsible disclosure. Hackers zouden hierdoor in theorie niet vervolgd moeten worden.

Er is echter geen garantie, aangezien het vooral een afspraak tussen de ontdekker van het lek en het getroffen bedrijf in kwestie is. In het nu gepubliceerde dossier geeft het NCSC voorbeelden van meldingen in het kader van Responsible disclosure en voorbeelden Responsible disclosure beleid.

Beleid
Zo wordt er gewezen naar het beleid van Marktplaats.nl en de website responsibledisclosure.nl. Marktplaats beloont hackers voor bepaalde zwakke plekken in de beveiliging. Om in aanmerking voor een PayPal bon ter waarde van 350 euro te komen, moeten wel de regels voor responsible disclosure worden gevolgd.

"Als u ons een redelijke termijn geeft om te reageren op uw melding alvorens informatie bekend te maken en als u de nodige inspanningen verricht om schendingen van privacy, vernietiging van data en onderbreking of verslechtering van onze dienst tijdens uw onderzoek te voorkomen, zullen wij geen rechtszaak tegen u beginnen of justitie verzoeken onderzoek naar u te doen, tenzij wij gronden hebben om te geloven dat uw handelen niet te goeder trouw is", aldus het beleid van Marktplaats.

Reacties (15)
30-01-2013, 10:06 door RickDeckardt
[admin] Thanks, fixed [/admin]
30-01-2013, 10:15 door Anoniem
350 euro...en dan ook nog eens een Paypal-bon die gelijk weet wat je NAW gegevens zijn. Fantastisch idee van de heren in Den Haag!
30-01-2013, 10:37 door [Account Verwijderd]
[Verwijderd]
30-01-2013, 10:52 door Anoniem
Het is verstandiger geen pentests waartoe je geen opdracht hebt gekregen, te doen. Als je in het normale gebruik een kwetsbaarheid opmerkt, dan kun je die zonder vrees melden; computervredebreuk is dan niet van toepassing.
30-01-2013, 10:58 door Anoniem
Door Anoniem: 350 euro...en dan ook nog eens een Paypal-bon die gelijk weet wat je NAW gegevens zijn. Fantastisch idee van de heren in Den Haag!
Voor Marktplaats is het niet zo'n gek idee. Immers, Marktplaats is van eBay, en PayPal is ook van eBay...
30-01-2013, 11:04 door Anoniem
Ergens wel tekenend als we advies verwachten van een overheid op een gebied waar die overheid al jaar en dag uitgelachen wordt wegens onkundigheid. Dat ze dan nog de moeite nemen om wat rond te kijken en wat voorbeeldjes uit zoekmachines te plukken... ach ik weet het niet. Iets met te weinig en veel te laat schiet me te binnen.

Veel meer stoort het me dat er zo slecht gereageerd is door wat rotte appelbedrijven dat er een terugslag ontstaan is van simpelweg in de openbaarheid smijten zonder enige waarschuwing--en dat dan bij iedereen, inclusief bij gaten gevonden in, bijvoorbeeld, open source van projecten waar ze wel goed hun best doen om zo snel mogelijk een remedie uit te brengen. Dat is twee keer niet goed.

Wat ik zou doen? Een mailtje met uitleg aan security@, abuse@, of eventueel info@, met een termijn van zeg drie maanden om er wat aan te doen; zes als ze het vriendelijk vragen. Daarna onherroepelijk gepubliceerd. Zijn ze niet te contacteren (geef ze een week), dan gelijk publiek met een notitie dat ze niet te contacteren waren.

Dat mailtje komt vanaf een pseudoniemadres, natuurlijk! Ik hoef er geen geld voor (kan het ook gelijk aan vupen verkopen) maar ik wil ook niet dat ik door ze te vertellen dat er gaten in hun software zitten (die een kwaadwillende dus ook kan vinden, en dan hoor je heel andere dingen dan "daar zit een gat, zo kom je erbij, ga er eens wat aan doen") een doelwit voor hun juridische afdeling wordt.
30-01-2013, 11:35 door Security Scene Team
+ 1 hugo, na het lezen van dit artikel ben ik het zeker met je eens. gewoon voorje houden dat lek, niet misbruiken niet melden gewoon zwijgen. ben het ook eens met Anoniem 10:15 's reactie. alle gegevens worden als nog bekend, wie weet wat ze dan gaan uitspoken. je monitoren, je online activiteiten opvragen via de opslagplicht.. etc.

zolang ze geen veilige aftocht bieden, vind ik dat hackers als nog responsible moeten zijn door het niet te melden, het voorzich te houden en niet te misbruiken.
30-01-2013, 12:29 door Anoniem
Ik hoop dat meer bedrijven zullen besluiten een responsible disclosure beleid te publiceren op hun website.
Helaas komt het nog te vaak voor dat een responsible disclosure wordt opgevolgd met een dreigmail van de juridische afdeling. Zoals bijvoorbeeld deze: http://pastebin.com/vSdWN6Fe
30-01-2013, 12:54 door Anoniem
Het NCSC geeft hiermee een compleet verkeerd signaal af, door te suggereren dat hackers die ''op een verantwoorde wijze'' bedrijven zonder toestemming aanvallen, om hun conclusies te delen niet vervolgd zullen worden. Die beslissing is enkel aan de aangevallen partij en aan justitie. Het NCSC heeft daar verder niets over te vertellen.

Laat bedrijven en instanties zelf die afweging maken, voor veel vooral jongere hackers kan nu de indruk gewekt worden dat ze een vrijbrief krijgen voor activiteiten die hun wel degelijk in de problemen kan brengen. Wat nu indien jongeren, wellicht met goede bedoelingen, schade veroorzaken doordat ze -zonder voldoende kennis van zaken- gaan proberen een bedrijf te hacken ?

Het lijkt mij beter om ethical hacking en penetration testing over te laten aan professionals die dit met toestemming doen, en om enige uitspraak over hoe men omgaat met anderen die ongevraagd beveiliging willen testen toch vooral aan bedrijven en organisaties over te laten.

Die natuurlijk best individueel kunnen aangeven dat ze al dan niet een ''responsible disclosure'' beleid hebben.
30-01-2013, 14:26 door Security Scene Team
Door Anoniem: Ik hoop dat meer bedrijven zullen besluiten een responsible disclosure beleid te publiceren op hun website.
Helaas komt het nog te vaak voor dat een responsible disclosure wordt opgevolgd met een dreigmail van de juridische afdeling. Zoals bijvoorbeeld deze: http://pastebin.com/vSdWN6Fe


lol, nou een beter voorbeeld kan je niet geven. Schaamteloos gewoon die sinterklaas.
30-01-2013, 16:22 door Anoniem
NCSC is onbetrouwbaar, ook haar voorbeeld mbt responsible disclosure. Ze is onbetrouwbaar omdat ze de basis waarom computers onveilig zijn niet onderkent en dus ook niet behulpzaam is bij het oplossen van problemen daaruit afkomstig.

Daarnaast zijn dit geen regels maar richtlijnen, dus niet wettelijk gewaarborgd en nog minder betrouwbaar.

etc.

NCSC zou er beter aan doen eerst en vooralsnog haar expertise op gebied van computer security aan te tonen alvorens op basis van gepretendeerde expertise ons te nopen tot verder achter steeds ernstiger wordende feiten van een winnende criminaliteit aan te hobbelen.
30-01-2013, 17:52 door Anoniem
Door Anoniem: Daarnaast zijn dit geen regels maar richtlijnen, dus niet wettelijk gewaarborgd en nog minder betrouwbaar.
Je had liever dat ze hun volgens jouw onbetrouwbare richtlijnen maar verplicht stelden?

Lijkt me dat je dit gezien de rest van je kritiek niet verstandig is om te willen.
30-01-2013, 20:06 door Anoniem
Door Anoniem: NCSC is onbetrouwbaar, ook haar voorbeeld mbt responsible disclosure. Ze is onbetrouwbaar omdat ze de basis waarom computers onveilig zijn niet onderkent en dus ook niet behulpzaam is bij het oplossen van problemen daaruit afkomstig.

Ik snap je commentaar niet. Ze hebben in 2012 meer dan 300 adviezen geschreven over kwetsbaarheden in computers, lijkt me nou niet bepaald een onderkenning van een probleem toch?

Volgens mij ben jij een stuk onbetrouwbaarder met je vage commentaar.
01-02-2013, 09:23 door Anoniem
Door Anoniem: Ik hoop dat meer bedrijven zullen besluiten een responsible disclosure beleid te publiceren op hun website.
Helaas komt het nog te vaak voor dat een responsible disclosure wordt opgevolgd met een dreigmail van de juridische afdeling. Zoals bijvoorbeeld deze: http://pastebin.com/vSdWN6Fe

dreigmail?
volgens mij handelen ze heel netjes, als je het gewoon netjes meldt, en je ziet hoe ze er mee omgaan en dankbaar ze zijn, maar je post het lekker openbaar zonder ze eerst te informeren dan kan je zoiets verwachten ja...
01-02-2013, 16:04 door Anoniem
Door Anoniem:
Door Anoniem: Ik hoop dat meer bedrijven zullen besluiten een responsible disclosure beleid te publiceren op hun website.
Helaas komt het nog te vaak voor dat een responsible disclosure wordt opgevolgd met een dreigmail van de juridische afdeling. Zoals bijvoorbeeld deze: http://pastebin.com/vSdWN6Fe

dreigmail?
volgens mij handelen ze heel netjes, als je het gewoon netjes meldt, en je ziet hoe ze er mee omgaan en dankbaar ze zijn, maar je post het lekker openbaar zonder ze eerst te informeren dan kan je zoiets verwachten ja...
Maar dat is toch precies wat Henk Krol ook gedaan heeft? En zie waar hij nu staat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.