image

"Melden van security lekken is onverstandig"

dinsdag 23 mei 2006, 15:01 door Redactie, 19 reacties

Security onderzoekers doen er verstandig aan als ze een lek of probleem vinden gewoon hun mond te houden, zo laat Pascal Meunier weten. Onlangs werd er nog een IT'er aangeklaagd omdat hij een lek had gevonden en gemeld.

De eerste reden is dat als je iets "onnodigs" doet, zoals het melden van een lek, de politie zich afvraagt waarom en hoe je het gevonden hebt. Verder vraagt men zich dan af als je een lek vindt, of je er misschien meerdere gevonden hebt en die achterhoudt. Hierdoor wordt het een stuk vervelender voor een onderzoeker om melding te maken van een kwetsbaarheid.

Een ander probleem is dat systeembeheerders of ontwikkelaars vaak ontkennen dat er een security lek aanwezig of misbruikbaar is. Ze willen dan vaak bewijs zien, wat tevens het bewijs is dat je de wet hebt overtreden. In het verleden zijn meerdere onderzoekers op deze manier vervolgd.

Meunier raadt onderzoekers en studenten daarom aan al het bewijs van een gevonden lek te vernietigen, het tegen niemand te vertellen en het lekke systeem zo min mogelijk te gebruiken.

Reacties (19)
23-05-2006, 15:09 door Anoniem
Vreemd dat wanneer iemand op straat aangevallen wordt, dat je verplicht
bent dat te melden aan justitie, maar wanneer iemand op internet
aangevallen wordt je zowiezo je bek moet dichthouden.. Niet echt
consequent.
AS
23-05-2006, 15:15 door Martijn Stolk
Belachelijk... tijd voor een http://www.meldlekkenanoniem.nl ofzo,
initiatiefnemer gezocht!
23-05-2006, 15:38 door Caveman
Door Anoniem
Vreemd dat wanneer iemand op straat aangevallen wordt, dat
je verplicht
bent dat te melden aan justitie, maar wanneer iemand op
internet
aangevallen wordt je zowiezo je bek moet dichthouden.. Niet
echt
consequent.
AS
Hmmm volgens mij lees je het niet helemaal juist.
Er staat dat je niet moet melden als je een lek vindt.
Diegene die het lek vindt is in dit geval de aanvaller.
23-05-2006, 15:45 door Anoniem
De eerste reden is dat als je iets "onnodigs" doet,
zoals het melden van een lek, de politie zich afvraagt
waarom en hoe je het gevonden hebt. Verder vraagt men zich
dan af als je een lek vindt, of je er misschien meerdere
gevonden hebt en die achterhoudt. Hierdoor wordt het een
stuk vervelender voor een onderzoeker om melding te maken
van een kwetsbaarheid.

Wat triest zeg! Bepaalde instanties zijn niet capabel genoeg
of de wil ontbreekt om hun systemen te wapenen danwel te
inventariseren op mogelijke zwakheden. Dan komt er een soort
van klokkenluider en die wordt direct verdacht en/of zelfs
ingesloten. Als iemand publiekelijk exploits bekend maakt
zonder de direct betrokkenen te waarschuwen, is het verhaal
uiteraard anders en is de beschuldiging te rechtvaardigen.

Echter wanneer iemand vanuit goede wil meldingen doet aan
een instantie dan moet dat met respect behandeld worden.
Immers diegene probeert zijn kennis te delen zodoende de
veiligheid te kunnen aanscherpen. In de doofpot stoppen
("gevonden lek vernietigen"), zal het lek niet oplossen.
Vroeger of later komt er een kwaadwillende gebruiker die
zijn exploit openbaar maakt of uitvoert op het kwetsbare
systeem. Dan zijn de rapen pas echt gaar.

Een ander probleem is dat systeembeheerders of
ontwikkelaars vaak ontkennen dat er een security lek
aanwezig of misbruikbaar is. Ze willen dan vaak bewijs zien,
wat tevens het bewijs is dat je de wet hebt overtreden. In
het verleden zijn meerdere onderzoekers op deze manier vervolgd.

Dat zijn in mijn ogen geen systeembeheerders/ontwikkelaars,
maar kwakzalvers. Een 'echte' systeembeheerder/ontwikkelaar
staat altijd open voor suggesties zeker als het om de
veiligheid van zijn systemen/applicaties gaat. Een
'flapdrol' systeembeheerder/ontwikkelaar voelt zichzelf God
en denkt dat hij/zij onkwetsbaar is, totdat het tegendeel
bewezen is. Echter is het kwaad dan al geschied. Je hebt het
bewijs, maar wat heb je er achteraf nou eigenlijk aan?

De mentaliteit moet op dit gebied dus radicaal anders.
Beloon security onderzoekers en studenten ipv hen te
beschuldigen. 'Flapdrol' systeembeheerders/ontwikkelaars
moeten hun ego aanpassen en zich flink laten bijscholen.
Bestraf degenen, die met de exploits daadwerkelijk schade
aanrichten.

We willen uiteindelijk allemaal veilige systemen en applicaties!
23-05-2006, 16:27 door Anoniem
Er is een verschil tussen een lek melden als bug en een case openen bij
een leverancier en een melden door het op Internet te zetten.
23-05-2006, 16:33 door SirDice
Ja, laten we vooral onze mond houden zodat alleen de
blackhats er vanaf weten.. Dom dom dom dom dom...
23-05-2006, 16:57 door Anoniem
quote:
----------------------------------------------------------------------------------------------
Als bewijs kopieerde hij van zeven studenten de gegevens en
stuurde die anoniem naar een journalist
---------------------------------------------------------------------------------------------

En dat had hij nou net NIET moetten doen.

Gewoon melden bij de juiste personen en er is niets aan de
hand lijkt mij.
23-05-2006, 17:58 door Anoniem
Of inderdaad anoniem de boel publiceren. Weet je zeker dat
ze haast maken met een patch.
23-05-2006, 21:10 door Anoniem
tja... een kennis van presenteerde vol trots de nieuwe
website van zijn bedrijf.

heb er even naar gekeken en zag er inderdaad leuk en
professioneel uit.

had wel binnen 10 minuten met wat sql injection een user aan
zijn database toegevoegd en het wachtwoord voor de
backoffice bleek eigenlijk zo simpel dat ik het daarom
'bijna' niet kon raden..

heb hem natuurlijk meteen een mailtje gestuurd dat het een
mooie site was maar er nog een en ander aan schorten qua
security.

nooit meer antwoord gehad.

had ik nu maar gewoon mijn mond gehouden en gewoon gezegd:
"hee kerel, inderdaad een hele mooie site. tot spreeks he!"

[sarcastisch]
iemand nog wat login gegevens kopen?
[/sarcastisch]
23-05-2006, 22:00 door Anoniem
Gelukkig zijn er ook nog software makers die je smeken om
fouten (te zoeken en) door te geven. Heb je allemaal
software voor als Bugzilla.

Helaas zijn er ook nog bedrijven die denken software te
kunnen maken maar daarbij niet op hun fouten gewezen worden.
Als er niet gereageerd wordt als je een fout op de goede
manier meld gaan sommigen het nu eenmaal op andere manieren
proberen het onder de aandacht te brengen. Wie geef je de
schuld. Als gebruiker wil je toch weten hoe veilig de
software is?
23-05-2006, 23:59 door Anoniem
Wat weet <Pascal Meunier> wat zijn werk- en/of opdrachtgever NIET weet?

Volgens mij is hij een BLACKHAT.

Reporting Vulnerabilities is for the Brave

Dus zo 'braaf of held' als het bericht doet vermoeden, is deze 'man' dus NIET!
24-05-2006, 00:13 door Anoniem
Ik hoop dat ze zijn spaarrekening een keer plunderen via een exploit waar hij weet van
had en deze niet heeft gemeld aan betrokken partijen..........
24-05-2006, 00:24 door Anoniem
De complete stelling in het ORIGINELE verhaal klopt voor geen meter!

Daarin word gesteld dat indien je (bij toeval en door nieuwschierigheid) een e.o.a. 'lek'
ontdekt en deze meld aan betrokkene, je automatisch verdachte bent in het
achterhouden van informatie. Dit terwijl de ontdekker VOLLEDIGE OPENHEID van zaken
en identiteit heeft gegeven aan betrokken partijen..............

FUD
24-05-2006, 01:00 door Anoniem
Een ander probleem is dat systeembeheerders of ontwikkelaars vaak ontkennen
dat er een security lek aanwezig of misbruikbaar is. Ze willen dan vaak bewijs zien, wat
tevens het bewijs is dat je de wet hebt overtreden.

In dit soort 'gevallen' is er de mogelijkheid om via een advocaat of vertrouwenspersoon
de betrokkennen op 'hoog niveau' te informeren over het probleem. De kosten van
juridische bijstand is gratis (betaald door belanghebbende) indien het 'lek' NIMMER is
MISBRUIKT en de ontdekker een NON DISCLOSURE garantie wil/kan ondertekenen.
Hiervoor moet de ontdekker van een 'lek' minimaal een bedrag ontvangen dat gelijk is
aan de kosten van juridische bijstand voor beide partijen in zijn totaal.

Zie ook:
http://www.postbank.nl/ing/pp/page/article/detail/0,2842,1859_103828_341824,00.html?linktype=int

Hackerstesten
Postbank laat de systemen regelmatig testen door onafhankelijke, professionele
hackers. Eventuele veiligheidslekken worden onmiddellijk gedicht.

http://www.google.nl/search?q=INTEGER+SYSTEEMBEHEER&ie=UTF-8&oe=UTF-8
24-05-2006, 09:00 door carolined
Ik vind het wel goed hoor van die Pascal Meunier (Who the F... is PM?).
Hij zet met deze opmerkingen lekker de zaak op scherp. Betrokkenen (lees
ontwikkelaars en bedrijven) en overheid (justitie) zijn nu gedwongen een
goed standpunt in te gaan nemen. Om er nu eindelijk eens over na te gaan
denken wat de gevolgen zijn van hun acties om de klokkeluiders op te
pakken.
Nee, niets melden lijkt me geweldig. Binnen een half jaar doen er dan
zoveel exploits en lekken de ronde dat er echt grote overlast gaat ontstaan.
Dan kan de overheid de wonden likken en komen er goed onderbouwde
regels en ben je weer "veilig" als klokkeluider. Lijkt me goeie zaak.
24-05-2006, 09:30 door Anoniem
Laatst ook een lek ontdekt op een niet te noemen site van een grote
vluchthaven met actuele vlieginformatie. Melding gemeld, maar nooit iets
van gehoord en het lek is nog steeds aanwezig.

Blijkbaar kan ik nu wachten dat interpol een keer op de stoep staat, lekker
verhaal
24-05-2006, 09:31 door [Account Verwijderd]
[Verwijderd]
25-05-2006, 01:57 door Anoniem
Door rookie
Ik zeg altijd maar zo een beter milieu begint bij jezelf.
Het slaat natuurlijk nergens op als die onderzoekers
(computercriminelen) een computerlek aan de grote klok gaan
hangen.
Netzoals mensen die geheime gegevens van de overheid vinden
en daar mee gaan pimpen, dat vind ik landverraad, hou het is
discreet.

Helaas heeft de historie keer op keer op keer op keer op
keer maar weer aangetoond dat de makers van software waar
lekken in gevonden worden hier niets mee doen als het
discreet aan hen gemeld wordt. Pas als het aan de grote klok
gehangen wordt wordt er actie ondernomen. Daarbij moet je
vooral onthouden dat als een drukke onderzoeker of een
gewoon nieuwsgierig persoon al achter een fout kan komen,
dat de echte kwaadwillenden (die het dus zeker niet melden
maar er misbruik van maken) er zeker al vanaf zullen weten.
26-05-2006, 09:28 door Anoniem
Vergeet niet dat geld bij security altijd een rol speelt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.