image

Nieuw meldpunt voor hackers geopend

zondag 19 februari 2012, 11:39 door Redactie, 17 reacties

Een groep Nederlanders heeft een website gelanceerd waar hackers op anonieme wijze beveiligingslekken in websites en webapplicaties kunnen melden. De website responsible-disclosure.com heeft een internationaal karakter, maar richt zich initieel op Nederland. "De bedoeling van de website is dat mensen die datalekken hebben gevonden die bij ons aanmelden", zegt woordvoerder Pieter Hordijk tegenover Securty.nl.

De website neemt dan contact op met de eigenaar of ontwikkelaar van de site, en zal die de tijd geven om het probleem op te lossen. "Nadat het is opgelost, of wanneer de eigenaar niet binnen een reële tijd wil meewerken, zullen we de datalekken publiceren", aldus Hordijk. Op dit moment zijn er nog geen zaken gepubliceerd, hoewel de leden van de site al verschillende "grote zaken" hebben aangemeld, merkt Hordijk op. Na de lancering, die deze week zou moeten plaatsvinden, wordt met het openbaren van zaken begonnen.

Stok
"In principe zullen we alles proberen om te zorgen dat het zo snel mogelijk opgelost zal worden." Volgens Hordijk zal voor veel websites en bedrijven de dreiging van publicatie een flinke stok achter de deur zijn. "Als het echt niet anders kan (last resort) zullen we het betreffende bedrijf dwingen door de zaak te publiceren. Hiervoor zullen we meerdere malen getracht hebben het probleem op te laten lossen." Hierbij speelt wel de ernst van de kwetsbaarheid een rol.

Het snel oplossen van kwetsbaarheden zoals cross-site scripting en SQL-injection is een belangrijke maatregel om datalekken te voorkomen. "Aals het lek bij ons bekend is, is de kans zeer aanwezig dat het ook bij mensen met minder goede bedoelingen bekend is", gaat Hordijk verder. Het blijkt natuurlijk de vraag hoe de website met gerapporteerde kwetsbaarheden omgaat en die bijvoorbeeld niet zal misbruiken of doorverkopen.

Reputatie
Nergens staat een naam, telefoonnummer of andere informatie op de website vermeld, hoewel Hordijk bewust wilde worden genoemd om het transparante karakter van de site te benadrukken. "Het is de bedoeling om een goede reputatie op te bouwen. Mensen kunnen altijd contact met ons opnemen middels ons contactformulier. We hopen dat, nadat we een aantal cases hebben gepubliceerd, we genoeg vertrouwen hebben opgebouwd. Wij willen er in ieder geval alles aan doen om te zorgen dat onze bronnen, indien gewenst, anoniem blijven."

Aansprakelijk
De website loopt mogelijk risico dat als het gerapporteerde lekken gaat publiceren die niet tijdig zijn opgelost, het door het bedrijf in kwestie aansprakelijk wordt gesteld. "Het is niet zo dat we er bang voor zijn, maar we houden er wel rekening mee dat het ooit zou kunnen gebeuren.
Wij proberen zo transparant en correct als mogelijk de zaken af te handelen om dit te voorkomen.

Helaas zien wij wel in dat we het misschien nooit helemaal zouden kunnen voorkomen. Het feit dat de informatie van personen (onvrijwillig) vrij beschikbaar is vinden wij echter van een groter belang", laat Hordijk weten.

Overheid
Onlangs werd het Nationaal Cyber Security Center (NCSC) gelanceerd, dat ook een coördinerende rol wil gaan spelen in het doorgeven van beveiligingslekken. Het NCSC zal echter opgeloste kwetsbaarheden niet publiceren. "Het NCSC is een overheidsorganisatie. Onze ervaring is dat het NCSC niet altijd even snel is en soms zelfs pas actie onderneemt als het al te laat is", stelt Hordijk. Hij wijst naar de publicatie van een factsheet over SCADA-lekken op de dag dat EenVandaag aantoonde dat Nederlandse sluizen en bruggen slecht beveiligd tegen hackers zijn.

"Daar komt bij dat het NCSC zich voornamelijk richt op de rijksoverheid en zogenaamd 'vitale' sectoren." Toch staat Hordijk open voor samenwerking. "Indien het NCSC of een andere beveiligingsorganisatie interesse heeft zijn wij altijd bereid om mee te werken en onze informatie, exclusief onze bronnen, te delen."

Veiligheid
Een website die meldingen over lekken in websites gaat coördineren moet vanzelfsprekend ook goed beveiligd zijn. "We hebben verschillende zaken geïmplementeerd om misbruik te voorkomen", zegt Hordijk. Hij vertrouwt erop dat leden ook problemen op de website zullen proberen te vinden. "We zitten er ook aan te denken om een 'beloningssysteem' te implementeren, maar hierover zijn we nog in overleg."

Reacties (17)
19-02-2012, 12:03 door [Account Verwijderd]
[Verwijderd]
19-02-2012, 12:28 door Anoniem
Door Hugo: Ga naar de website, druk op de REGISTER knop en voer de volgende tekst in bij Invitation:
"><script type="text/javascript">alert('hello world');</script><x "
Druk op de Register knop onderaan en whalla! Niet echt misbruikbaar, maar als je een website opzet voor datalekken, zorg dan in ieder geval dat je het zelf 100% goed doet. :)

Ik heb ze al een bericht gestuurd.


Update: werkt het bij jou niet, dan gebruik je waarschijnlijk Firefox. Probeer het dan eens in IE of Opera.

Wat doe je dan precies, want bij mij gebeurt er niets???
19-02-2012, 12:56 door Anoniem
Laat me raden 30% van de lekken wordt aan de eigenaar gerapporteerd en 70% wordt misbruikt en aangezien de eigenaar van de website niet weet dat het lek bij responsible-disclosure.com is gemeld heeft een kwaadwillend iemand vrij spel. Behoorlijk wat webmasters (niet allemaal) weten geen hol van beveiliging af en zetten gewoon de PHP/SQL waarschuwingen uit wanneer er een SQL lek wordt gemeld. Iedere website is verantwoordelijk voor zijn eigen beveiliging en mochten er gevallen zijn als baby-dump.nl dan moeten er gewoon flinke boetes gegeven worden. Als consument heb je vertrouwen in websites dat ze goed met je gegevens omgaan en dat gebeurt vaak gewoon niet.
19-02-2012, 13:10 door Xnoniem
[Verwijderd]
19-02-2012, 13:39 door phordijk
Door Anoniem: Laat me raden 30% van de lekken wordt aan de eigenaar gerapporteerd en 70% wordt misbruikt en aangezien de eigenaar van de website niet weet dat het lek bij responsible-disclosure.com is gemeld heeft een kwaadwillend iemand vrij spel

Het punt is dat als wij van een lek af weten is de kans groot dat andere mensen dat ook weten. Wij begrijpen dat niet iedereen ons zomaar vertrouwd (en dat is goed trouwens).

Ik begrijp ook je skepsis. Er zullen veel negatieve reacties op onze website komen. Dat nemen we dan maar voor lief. Waar het ons om gaat is dat websites / webservices veiliger worden.

Wij gaan in ieder geval ons best doen om een vetrouwde reputatie op te bouwen.

Aangaande de rest van je post: dat is exact de reden dat we de website hebben gemaakt. Wij zijn het er ook 100% mee eens
dat er betere regelgeving hiervoor moet komen.

Wij proberen alles zo transparant mogelijk te doen en hopen hiermee dat we de skipsis na verloop van tijd kunnen wegnemen.
19-02-2012, 13:52 door phordijk
Door Hugo: Ga naar de website, druk op de REGISTER knop en voer de volgende tekst in bij Invitation:
"><script type="text/javascript">alert('hello world');</script><x "
....

In het kader van transparantie zal ik ook even op deze reageren. Er zat inderdaad een bugje in dat formulier. Echter is dat op geen enkele wijze gevaarlijk geweest. Het enige wat er kon gebeuren was dat een gebruiker lokaal iets kon toevoegen.

Momenteel is de site nog beta om dit soort dingetjes eruit te halen, echter dat neemt niet weg dat het niet netjes was. We hebben uiteraard de submitter (Hugo) op de hoogte gesteld van de oplossing.
19-02-2012, 17:15 door [Account Verwijderd]
[Verwijderd]
19-02-2012, 18:46 door Anoniem
Door phordijk:
Door Hugo: Ga naar de website, druk op de REGISTER knop en voer de volgende tekst in bij Invitation:
"><script type="text/javascript">alert('hello world');</script><x "
....

In het kader van transparantie zal ik ook even op deze reageren. Er zat inderdaad een bugje in dat formulier. Echter is dat op geen enkele wijze gevaarlijk geweest. Het enige wat er kon gebeuren was dat een gebruiker lokaal iets kon toevoegen.

Momenteel is de site nog beta om dit soort dingetjes eruit te halen, echter dat neemt niet weg dat het niet netjes was. We hebben uiteraard de submitter (Hugo) op de hoogte gesteld van de oplossing.
Dat geeft aan dat jij niets van security weet :) want via die XSS kan je meerdere dingen misbruiken, ook al staan de cookies HTTP only en staat de cookie op SSL only :)
19-02-2012, 18:50 door Bitwiper
Door rookie: Bedrijven vinden het namelijk niet leuk om aan de schandpaal genageld te worden en als jij als hacker-zijnde daar discreet mee omgaat, zal het bedrijf jou daar goed voor belonen.
Van welke planeet kom jij?

Op enkele uitzonderingen (Google, Mozilla, Microsoft) na sturen ze je dreigbrieven en/of een advocaat op je dak en fixen niks (of wachten daar extreem lang mee). En als er al sprake is van een beloning is dat, ook met een klein aantal uitzonderingen, een naamsvermelding.

Veel hackers zijn begonnen op de manier die jij voorstelt, maar hebben dusdanig hun kop gestoten dat ze dit nooit meer doen.

Overigens zou ik nooit iets op die site van -kennelijk- meneer Hordijk posten (wie dat ook mag zijn), wie zegt mij dat de Russische Maffia hier niet achter zit?
20-02-2012, 07:33 door Anoniem
+1 voor Bitwiper, zijn rebuttal van rookie is helaas waarheidsgetrouw.
20-02-2012, 09:25 door Anoniem
En er is ook een omgekeerde wereld scenario: een kwaadwillende hacker vind een lek, gebruikt het voor verkeerde doelen, maar meldt het ook hier om later zich bij de goeden te kunnen scharen, voor zover er sprake van is een vorm van alibi te creeeren.
20-02-2012, 13:21 door [Account Verwijderd]
[Verwijderd]
20-02-2012, 13:44 door Anoniem
Ik dacht dat de AIVD toch minder opvallend te werk ging...
20-02-2012, 17:29 door Bitwiper
Door rookie: stel nou dat er morgen een onbekende hoestende man in een regenjas voor jouw deur staat en die zegt jou dat hij een trucje heeft waarmee hij heel makkelijk en geluidloos jouw huis in kan komen, hoe reageer jij dan als bewonerzijnde van dat huis?
Die vergelijking gaat niet op.

Ik ken geen verantwoordelijke hackers die door straten rijden en bij Henk en Ingrid aanbellen om ze erop te wijzen dat ze geen wachtwoord op hun WiFi router hebben gezet (ik heb trouwens nog nooit een wildvreemde aan de deur gehad die kwam melden dat de fysieke beveiliging van mijn huis niet op orde was).

Wel ken ik het type whitehats dat organisaties op lekken wijst. Daarmee bedoel ik bijvoorbeeld organisaties die jouw en mijn gegevens in onvoldoende beveiligde databases stoppen en/of SCADA systemen (energiecentrales, sluizen etc) met een stom wachtwoord direct aan internet hangen en/of brakke software publiceren. Dit zijn niet zomaar lekken, maar lekken met risico's voor derden.

Huiseigenaars hebben nauwelijks een maatschappelijke verantwoordelijkheid (tenzij ze onderdak bieden aan terroristen of grote hoeveelheden vuurwerk opslaan etc). De organisaties waar het hier om gaat hebben dat wel, maar nemen die vaak niet. Met als gevolg dat mannen met witte hoeden zich melden. En hoe grimmiger ze die bejegenen, hoe donkerder die hoeden worden. Tot niemand zich meer meldt. Probleem opgelost! (tot de gegevens op dropbox of op webwereld verschijnen, dan is de wereld te klein en moeten de hackers en Brenno's worden vervolgd, want het is hun schuld).

In een goed IRP (Incident Response Plan) hoort ook te zijn opgenomen hoe je omgaat met meldingen van security issues. Elk weldenkend mens die hier vooraf over heeft nagedacht zal tot de conclusie komen dat je kunt profiteren van de aangeboden informatie en de knuppel in het hoenderhok gooit door meteen te gaan dreigen. Helaas hebben slechts weinig organisaties dit soort plannen, en als ze die al hebben, kennen de mensen in de front office ze vaak niet.
20-02-2012, 17:30 door Anoniem
X-Content-Security-Policy:
default-src https://www.responsible-disclosure.com https://responsible-disclosure.com;
script-src https://ajax.googleapis.com https://www.responsible-disclosure.com https://responsible-disclosure.com

Gooooooo is watching yoooooooou ;-)
20-02-2012, 20:18 door [Account Verwijderd]
[Verwijderd]
21-02-2012, 11:46 door Anoniem
Als ik last heb van hackende polen waar moet ik die dan melden?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.