Management

Juridische zaken

ConflICT: Ethische hackers?

30 oktober 2014

Omdat sommige fouten grote impact kunnen hebben en niet alles meteen te repareren is, kan full disclosure leiden tot grote schade. Zo is het concept van responsible disclosure ontstaan. De ontdekker meldt het bedrijf waar de fout zit en geeft het een redelijke termijn om deze te herstellen. Pas na die termijn publiceert de ontdekker zijn bevindingen, maar dat doet hij óók als het bedrijf niet heeft gereageerd of niet met een oplossing voor de fout kan of wil komen.

De grote vraag bij responsible disclosure is natuurlijk hoe lang je moet wachten. Dit zal sterk afhangen van de aard van de fout en de tijd die nodig is voor herstel. Securityonderzoeker Dan Kaminsky ontdekte in februari 2008 een grote fout in het Domain Naming System (DNS) die iedereen in staat zou stellen internetverkeer om te leiden naar malafide sites. Hij stelde eerst in het geheim enkele betrokken partijen op de hoogte, zodat deze hun software konden aanpassen. Pas na enkele maanden publiceerde hij op de Black Hat-conferentie zijn bevindingen. Nijmeegse onderzoekers wachtten zes maanden met publiceren van de door hen gevonden zwakheden in de Mifare classic chip op de OV-chipkaart. Maar er zijn ook onderzoekers die al na enkele weken hun bevindingen publiceren.

Responsible disclosure-beleid

De wet schrijft geen procedure voor. Het is niet verplicht een fabrikant of ontwikkelaar te informeren over een fout, en ook niet om te wachten tot deze meldt een oplossing voor de fout te hebben. Mocht een zaak toch voor de rechter komen, dan zal de rechter alleen de zorgvuldigheid van de gevolgde procedure onderzoeken: hoeveel moeite was het om de fabrikant te contacteren, was daar een snelle reactie van te verwachten en hoe belangrijk was het om het publiek te informeren voordat de fout was hersteld? Ook zal de mate van gepubliceerd detail meewegen. Publicatie van een theoretische analyse zonder concrete exploit is minder snel een probleem dan publicatie van alleen een stuk software dat de fout misbruikt.

Een praktische vuistregel is dat een publicatie van een exploit enkele irrelevante technische details moet weglaten of veranderen, zodat deze niet direct bruikbaar is. Ook zou een publicatie alleen op relatief onschuldige wijze mogen laten zien dat het lek bestaat. Een exploit waarmee willekeurige commando’s onder Windows kunnen worden uitgevoerd, kan prima worden gedemonstreerd door het Kladblok te starten in plaats van de System32-directory te wissen. Deze vuistregel werkt niet altijd, en slimme hackers kunnen de exploit ombouwen tot iets schadelijkers, maar zo heb je in ieder geval gedaan wat je kon om de schade te beperken.

Goed omgaan met hackers die volgens de principes van responsible disclosure werken, is een verstandig idee. Het Nationaal Cyber Security Centrum, onderdeel van het Ministerie van Veiligheid en Justitie, heeft in januari 2013 een Leidraad gepubliceerd over hoe om te gaan met meldingen van ethische hackers. De gedachte is dat het nuttig is als slimme, ethische hackers aan de bel trekken bij bedrijven die kwetsbare websites of internetdiensten hebben. Zie het als een digitale vorm van zaakwaarneming. Het NCSC beveelt aan dat ieder bedrijf voor zichzelf bepaalt welke vormen van ethisch hacken voor hen toegestaan en behulpzaam zijn. Vervolgens moet daar een gepubliceerd beleid en een afhandelproces voor worden ontwikkeld.

Crimineel of behulpzaam

De discussie of ethische hackers behulpzaam zijn of juist gewoon criminelen, zal nog lang blijven woeden. Het doet immers gek aan; iemand die uw bedrijfsauto’s gaat openbreken om aan te tonen dat de sloten slecht zijn, gaan we ook geen beloning geven. Hoewel? Als u de kluis open ziet staan bij een klant, zal deze vast blij zijn als u hem erop wijst. Waar dan de grens te trekken?

Feit is echter dat ethische hackers bestaan, en zich ook bij uw bedrijf kunnen melden. Zolang software nog zeer frequent ernstige fouten bevat die tot grote maatschappelijke schade of onrust kunnen leiden (zoals bij datalekken van persoonsgegevens), is het zaak meldingen serieus te nemen. Spelregels daarbij helpen u dit in goede banen te leiden en onnodig snelle publicaties te vermijden totdat problemen zijn opgelost. Met een goed responsible disclosure-beleid heeft u dus veel te winnen.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!