Security Professionals - ipfw add deny all from eindgebruikers to any

Organisatie dicht aangetoonde kwetsbaarheden niet en houden zich niet aan responsible disclosure beleid

25-08-2015, 20:31 door Statera, 13 reacties
Enkele situaties waar ik de afgelopen tijd mee te maken heb gehad:

Een paar maanden geleden heb ik een simpele maar serieuze kwetsbaarheid gevonden in een webapplicatie van een grote Nederlandse organisatie. Ik heb meteen open kaart gespeeld en de organisatie op de hoogte gesteld van de kwetsbaarheid. Deze reageerde redelijk snel en liet weten dat het inderdaad een kwetsbaarheid was en dat deze een "potentieel gevaar vormt" en daarom snel actie zullen gaan ondernemen. Het is nu echter een paar maanden later en de kwetsbaarheid is nog steeds aanwezig in de webapplicatie. Er is dus niets aan gedaan.

In een andere situatie heb ik een bedrijf via een responsible disclosure beleid op de hoogte gesteld van een kwetsbaarheid in hun webapplicatie/configuratie. Het desbetreffende bedrijf reageerde redelijk snel op de melding en de kwetsbaarheid was binnen enkele dagen gedicht. Echter stond in het responsible disclosure beleid dat het bedrijf mij op de hoogte zou stellen van de voortgang van het dichten van het lek, wat niet werd gedaan. Ik moest er namelijk zelf enkele dagen later achter komen! Toen ik hierop een mail stuurde naar het bedrijf liet een medewerker weten dat ze het 'vergeten' waren om mij op de hoogte te stellen. Ook stond in het responsible disclosure beleid ook dat ik een (kleine) beloning zou ontvangen, hoewel dat niet de reden is waarom ik dit soort kwetsbaarheden meld, is een beloning waar je recht op hebt natuurlijk nooit verkeerd :). Toen ik vroeg naar de beloning kreeg ik een kort mailtje waarin naar mijn adres gevraagd werd, na dit terug gestuurd te hebben verwachtte ik een beloning. Deze is echter nooit verschenen, en ook na een email te hebben gestuurd hierover ontving ik geen email meer terug.

Zo zijn er nog enkele situaties waar of zeer traag gereageerd werd op de meldingen of waarin het bedrijf/organisatie niet de voorwaarden uit hun eigen responsible disclosure beleid naleeft.

Wat is in deze situatie de beste manier om hiermee om te gaan? Enkele collega's van mij lieten weten dat ik naar de pers moest gaan of iets dergelijks, echter heb ik hier mij twijfels bij.

Heeft iemand hier suggesties over hoe met dit soort situaties om te gaan? Alvast bedankt!
Reacties (13)
25-08-2015, 22:46 door Anoniem
ja of je doet gewoon niks. Als de organisatie geen zin heeft in security, dan verdienen ze het om door een ander gehacked te worden. Wel een kans dat ze je dena bellen of jij het wellicht was, dus zorg voor een goede voordeurstukgebeukt-verzekering.

die beloofde vergoeding? mail ze dat je de vergoeding graag krijgt, en er anders vanafziet, en naar de pers meld dat ze onzorgvuldig zijn of zo. maar doe niet iets dat op afpersing lijkt. ;-)
26-08-2015, 00:48 door CrioWria
Wil je tegenwoordig iets vlot gedaan krijgen bij 'n bedrijf (lees; normale service ontvangen) rest vaak enkel sociale media nog als oplossing. Dan kan vaak opeens wel heel snel gehandeld worden.

Al is een beetje verstandig mens, dat wel iets te verbergen heeft, niet actief op sociale media.
26-08-2015, 09:59 door 0101
Dag Statera,

Dat het oplossen van een probleem soms lang duurt herken ik. Ik heb een aantal jaar geleden ook een melding gedaan bij een organisatie met een responsible disclosure-beleid, namelijk van een XSS-lek dat werd veroorzaakt door een onderdeel van een derde partij. Hoewel er zelfs al een of meerdere mensen het probleem vóór mij gemeld hadden (waardoor ik ook niet in aanmerking kwam voor een beloning) heeft het ze uiteindelijk nog ongeveer een half jaar gekost om het probleem te verhelpen. (Aangezien ik ook niet de eerste melder was werd ik hier ook niet op de hoogte van gesteld; ik heb dit zelf moeten ontdekken.)

Dat het bij een bedrijf zónder responsible disclosure-beleid lang duurt is dus niet heel verbazingwekkend. Maar je kunt ze natuurlijk altijd even naar de voortgang vragen ("al een idee wanneer jullie de gemelde kwetsbaarheid gaan oplossen") in een mailtje of tweet.
26-08-2015, 10:24 door Mysterio
Ik zou niet uitgaan van kwade wil of onwil, dat proef ik ook niet uit jouw verhaal. Het is natuurlijk wel sneu als er een beloning wordt belooft en je vervolgens nooit meer wat hoort. Een extra rede om dat bedrijf nog eens goed onder de loep te nemen en dan via Twitter of Facebook te vertellen dat er nog een kwetsbaarheid is. ;) Het enige waar veel bedrijven/instanties gevoelig voor zijn is reputatie.

Verder zijn veel organisaties niet bezig met beveiliging van hun gegevens of besteden dat uit waardoor ze zelf ook minder grip hebben op het verloop van zo'n melding en hoe snel dat wordt opgepakt. Zolang er ook nauwelijks sancties op staan zal het ook weinig prioriteit krijgen.
26-08-2015, 11:08 door Anoniem
Heeft het bedrijf de opdracht gegeven om een test te doen? Nee, waarom denk je dat je überhaupt ergens recht op hebt? Een kwetsbaarheid 'loop' je niet zomaar tegenaan maar daar moet je een actie voor ondernemen. Je hebt het bedrijf er netjes op gewezen en is het verder aan hun, als EIGENAAR, om daar wel of niets mee te doen. Ik wijs mensen op straat ook vaak op het feit dat ze heel makkelijk te beroven zijn omdat hun tas, met daarin hun portomonnai, wijd openstaat. De meesten doen er iets mee maar er zijn van die mensen die halen hun schouders op en laten het voor wat het is. Dan is het eigen schuld dikke bult als ze dan toch beroofd worden. Daar ga ik verder geen werk van maken want is niet aan mij om me daar verder mee te bemoeien omdat ik er geen belang bij heb. Het is tenslotte niet mijn portomonnai.
26-08-2015, 13:57 door User2048
Door Anoniem: Heeft het bedrijf de opdracht gegeven om een test te doen? Nee, waarom denk je dat je überhaupt ergens recht op hebt?
Uit de tekst blijkt dat het bedrijf een responsible disclosure beleid heeft, waarin wordt beloofd dat meldingen worden beloond. En wat je belooft moet je doen!
26-08-2015, 16:16 door Ron625
Je kunt ook enige dwang toepassen.
Je ontdekt een veiligheids lek en meldt dit braaf aan de beheerder.
Hierbij dan ook vermelden, dat je binnen 4 weken wil weten of (en hoe?) het opgelost is, of gaat worden en dat je anders de publiciteit zoekt.
Ook kan je ze vertellen, dat je er van uit gaat, dat de instantie dezelfde termijnen hanteert als overheden met een WOB verzoek.
Volgens mij staan ze dan redelijk met hun rug tegen de muur, maar als ze echt niet willen, dan heb je gewoon niets ......
26-08-2015, 20:53 door Anoniem
Door Anoniem: Een kwetsbaarheid 'loop' je niet zomaar tegenaan maar daar moet je een actie voor ondernemen.

Soms (eigenlijk vaak genoeg) loop je er gewoon tegenaan hoor. Als je woont/werkt/reist naar " 's-Heer Abtskerke " bijvoorbeeld... bam, SQL error.

Traagheid merk ik daarbij ook vaker op als ik iets meldt. Ik mail ze gewoon na verloop van tijd nog wel eens als ik er echt last van heb (functioneel iets kapot daardoor). Verder is het aan hen, ik heb er geen gewin bij.
27-08-2015, 08:23 door Anoniem
Ik wetk voor een organisatie met een responsible disclosure beleid. Ik heb dat zelf opgesteld en ontvang ook de meldingen. Vooral het probleem met externe leveranciers herken ik. Het kost ontzettend veel tijd om bij die organisaties de fouten gemeld te krijgen. Als dat al lukt, zie ze vaak de ernst er niet van in of, zoals bijvoorbeeld bij Xerox, sturen ze een offerte om de "maatwerk aanpassing" door te voeren. Van anderen, zoals Oracle, hoor je nooit wat. Daar moet je het uit de summiere en onjuiste patch beschrijving halen.

Maarja, Oracle heeft dan ook geen responsible disclosure beleid omdat hun eigen mensen "veel beter" zijn. Maar als je een willekeurige gebruiker de mogelijkheid biedt om het versleutelde admin password op te vragen, dan ben je niet goed bezig. Als die gebruiker vervolgens aan het systeem kan vragen om dat wachtwoord onversleuteld te verstrekken en de gebruiker krijgt dat dan ook nog te zien, is er echt iets mis bij Oracle.

Maar dat wisten we al.

Peter
27-08-2015, 10:20 door Erik van Straten
Door Statera: Enkele situaties waar ik de afgelopen tijd mee te maken heb gehad:

Een paar maanden geleden heb ik een simpele maar serieuze kwetsbaarheid gevonden in een webapplicatie van een grote Nederlandse organisatie. Ik heb meteen open kaart gespeeld en de organisatie op de hoogte gesteld van de kwetsbaarheid. Deze reageerde redelijk snel en liet weten dat het inderdaad een kwetsbaarheid was en dat deze een "potentieel gevaar vormt" en daarom snel actie zullen gaan ondernemen. Het is nu echter een paar maanden later en de kwetsbaarheid is nog steeds aanwezig in de webapplicatie. Er is dus niets aan gedaan.

In een andere situatie heb ik een bedrijf via een responsible disclosure beleid op de hoogte gesteld van een kwetsbaarheid in hun webapplicatie/configuratie. Het desbetreffende bedrijf reageerde redelijk snel op de melding en de kwetsbaarheid was binnen enkele dagen gedicht. Echter stond in het responsible disclosure beleid dat het bedrijf mij op de hoogte zou stellen van de voortgang van het dichten van het lek, wat niet werd gedaan. Ik moest er namelijk zelf enkele dagen later achter komen! Toen ik hierop een mail stuurde naar het bedrijf liet een medewerker weten dat ze het 'vergeten' waren om mij op de hoogte te stellen. Ook stond in het responsible disclosure beleid ook dat ik een (kleine) beloning zou ontvangen, hoewel dat niet de reden is waarom ik dit soort kwetsbaarheden meld, is een beloning waar je recht op hebt natuurlijk nooit verkeerd :). Toen ik vroeg naar de beloning kreeg ik een kort mailtje waarin naar mijn adres gevraagd werd, na dit terug gestuurd te hebben verwachtte ik een beloning. Deze is echter nooit verschenen, en ook na een email te hebben gestuurd hierover ontving ik geen email meer terug.

Zo zijn er nog enkele situaties waar of zeer traag gereageerd werd op de meldingen of waarin het bedrijf/organisatie niet de voorwaarden uit hun eigen responsible disclosure beleid naleeft.

Wat is in deze situatie de beste manier om hiermee om te gaan? Enkele collega's van mij lieten weten dat ik naar de pers moest gaan of iets dergelijks, echter heb ik hier mij twijfels bij.

Heeft iemand hier suggesties over hoe met dit soort situaties om te gaan? Alvast bedankt!
Toen ik http://www.theregister.co.uk/2015/08/27/smart_home_insecure/ vanmorgen las was dat "de druppel" om in deze thread te reageren. Organisaties zijn meestal veel complexer (afdelingen en personen met verschillende inzichten, uitbesteedde diensten zoals hosting etc.) en hebben veel meer belangen dan je op het eerste gezicht (als buitenstaander) vermoedt (zie ook de bijdrage van Peter 08:23 hierboven). De klant is nooit de enige koning.

Ik ken zijn 3 redenen om beveiligingsproblemen te melden (combinaties zijn mogelijk):
1) Je hebt er een direct belang bij dat ze worden gefixed, bijv. omdat jouw gegevens onvoldoende worden beschermd
2) Je wilt een bijdrage leveren aan het veiliger maken van internet
3) Je wilt er zelf beter van worden (roem, cadeautjes, geld)

Als er (schijnbaar) niet (voldoende) op jouw melding/klacht gereageerd wordt:
1) Ga zomogelijk weg bij die organisatie. Meld de reden van vertrek aan die organisatie, en als er iets van een brancheorganisatie of (onafhankelijke) klachtencommissie bestaat, ook daar. Als het een echt ernstig lek is (in vergelijking met wat nu in de pers verschijnt) kun je naar de pers stappen als ze niet reageren, maar raadpleeg dan eerst een advocaat. Mochten ze je dan voor de rechter slepen heb je in elk geval een goed argument.

2) Haal je schouders op; een dikke huid is noodzakelijk. Je draagt wel degelijk bij; het heeft bijv. bij Microsoft ook lang geduurd voordat zij automatische updates ging verspreiden. Wees heel voorzichtig met escaleren naar de pers, want voor je het weet heb je een advocaat op je dak en bovendien kan het je kansen op toekomstige banen verkleinen. De mogelijkheid bestaat nl. dat de directie tactisch met een "responsible disclosure beleid" heeft ingestemd, juist omdat security geen prioriteit heeft en zij blunders uit de pers wil houden. Veel "stille" meldingen zoals van jou in plaats van 1 heel lawaaïge kan in bij zo'n directie tot nieuwe inzichten leiden. Ga in elk geval niet als individu de held uithangen: meld eventueel het lek bij een organisatie als Zero Day Initiative (persoonlijk heb ik dit nog nooit gedaan) of wacht rustig af tot een ander ze aan de schandpaal nagelt c.q. de directie tot andere inzichten komt.

3) Zoek bedrijven uit waarvan bekend is dat ze zich aan hun eigen responsible disclosure beleid houden en vermijd de rest.

Kent iemand toevallig een lijst van organisaties met een responsible disclosure beleid en de mate waaraan ze zich daaraan houden? Als die niet bestaat zou het m.i. goed zijn als die er kwam - niet alleen voor onderzoekers en melders, maar ook voor klanten die dan betere afwegingen kunnen maken (indien er keuzes bestaan).
16-11-2015, 16:39 door Anoniem
Door CrioWria: Wil je tegenwoordig iets vlot gedaan krijgen bij 'n bedrijf (lees; normale service ontvangen) rest vaak enkel sociale media nog als oplossing. Dan kan vaak opeens wel heel snel gehandeld worden.

Al is een beetje verstandig mens, dat wel iets te verbergen heeft, niet actief op sociale media.

Druk uitoefenen via sociale media?

Bij sommigen werkt dat niet, zelfs niet als de pers er eventjes aandacht aan besteedt.

5 jaar geleden : ABN AMRO krijgt rode kaart wegens Omniture spyware
woensdag 24 februari 2010
https://www.security.nl/posting/27748/

Afgelopen maand : ABN Amro: Omniture-tracker nodig voor internetbankieren
woensdag 4 november 2015
https://www.security.nl/posting/449911/ABN+Amro:+Omniture-tracker+nodig+voor+internetbankieren

De tweet van de twitteraar : https://twitter.com/bensmeets/status/661840573058392064

bensmeets ?@bensmeets Nov 3

@ABNAMRO Zou fijn zijn als ik ook gewoon kan internetbankieren (!!) zonder Adobe e.d. erbij....

ABN AMRO ?@ABNAMRO Nov 4

@bensmeets We zijn dit nog even aan het uitzoeken, Ben. Ik kom er zo snel mogelijk op terug. ^Rick

Niets meer van gehoord.
Devies lijkt; doen alsof je er iets mee gaat doen, om vervolgens de storm over te laten waaien en niets meer van je te laten horen.

Deze bank houdt dit al 5 jaar vol.
Negeren als strategie werkt!
17-11-2015, 13:02 door Anoniem
Zo zijn er nog enkele situaties waar of zeer traag gereageerd werd op de meldingen of waarin het bedrijf/organisatie niet de voorwaarden uit hun eigen responsible disclosure beleid naleeft. Wat is in deze situatie de beste manier om hiermee om te gaan? Enkele collega's van mij lieten weten dat ik naar de pers moest gaan of iets dergelijks, echter heb ik hier mij twijfels bij.

Indien je bedrijfsjuristen in je nek wilt, dan zou ik zeker deze weg volgen. Wellicht dat je zou kunnen overwegen contact op te nemen met het NCSC, zodat je het probleem daar aan kunt kaarten. Tenzij je juridisch risico wilt lopen zou ik zeker niet naar de pers gaan.
17-11-2015, 14:29 door Anoniem
Je kunt beter je tijd in bugbounty programma's steken, die hebben zowel een hall of fame als geldelijke beloning. Veel bedrijven hebben geen / weinig ervaring met het behandelen van vulnerabilities in de eigen systemen. Dat je het internet "veilig" wil maken is nobel maar met een beetje pech mag je inderdaad tegen een jurist gaan praten. Een beloning verwachten is zeker naïef, in het ongunstigste geval vat men het op als afpersing. Let dus op je bewoordingen ;-)

Een bounty programma betekend echter ook niet altijd een vlotte reactie. Ik heb +- acht maanden moeten wachten voordat een bekende producent van netwerkproducten een key management error verholp (static private rsa key voor alle modellen).

Wat je kunt doen? Nooit onder je eigen naam en IP-adres werken, dan kun je het altijd nog ergens publiceren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.