Juridische vraag: is testtool voor Heartbleed-bug illegaal?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.
Vraag: Graag zou ik een tool willen ontwikkelen waarmee mensen kunnen testen of hun website kwetsbaar is voor de bekende Heartbleed-bug die vorige week werd geopenbaard. Mag dat zomaar of is dit strafbaar?
Antwoord: Een tool waarmee te testen is op een kwetsbaarheid, is op zichzelf legaal. Een tool is pas strafbaar wanneer deze specifiek ontworpen of "hoofdzakelijk geschikt" is om mee in te breken, om computervredebreuk mee te plegen.
De grens tussen testen en inbreken kan grijs zijn. Zeker bij Heartbleed, een bug die er nu juist om draait dat je data krijgt waar je geen toegang toe zou moeten hebben. In theorie moet je dan kijken naar de motieven van de gebruiker. Wilde hij zeker weten dat zijn banksite veilig was, of wilde hij inbreken op diezelfde banksite? Alleen, hoe kom je daar ooit achter.
Wil je het als ontwikkelaar op safe spelen, dan bouw je de tool het liefst zo conservatief mogelijk. Zo hoef je geen kilobytes aan gelekte (bloedende?) data te laten zien, je kunt gewoon testen of er één byte meer op te vragen is dan je stuurde en in dat geval "ja!" zeggen tegen de gebruiker.
Ook kun je dingen doen als een vertraging inbouwen. Dan kunnen mensen prima één site testen (en dat zal hun eigen site vaak zijn), twee of drie nou vooruit, maar wie twintig sites achter elkaar gaat testen is een beetje raar.
Helemaal netjes zou zijn dat je zegt, installeer eerst een bepaald bestandje op je website met een unieke naam, en dan controleert of dat bestandje bestaat op die website voordat je de test uitvoert. Dan weet je zeker dat de gebruiker aan de website gelieerd is. Maar dat voelt wat zwaar voor één korte test.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
https://www.ssllabs.com/ssltest/index.html
We weten allemaal dat er steeds weer nieuwe methodieken worden "uitgevonden" om kwetsbaarheden in webapplicaties te misbruiken. Wij verlenen een service op dit gebied en ontvangen van de fabrikant van de tool die we voor onze scans gebruiken (IBM Security AppScan) updates om ervoor te zorgen dat we testen op de laatst bekende methodieken. We vinden bij elke scan die we uitvoeren tientallen tot honderdtallen kwetsbaarheden in webapplicaties en het repareren van deze "gaten" is vaak relatief eenvoudig. Het toepassen van "secure coding" technieken wordt nog veel te weinig toegepast door de bouwers van webapplicaties. Daarom dienen applicaties regelmatig getest te worden op security. Helaas zien we ook zeer regelmatig dat er na het in gebruik nemen van verschillende technische oplossingen (firewall, IPS, IDS, Access Management systemen, etc) gedacht wordt dat de security dan goed is geregeld. Ook met 85 firewalls blijf je kwetsbaar voor cybercrime als de medewerkers op fishing mails blijven klikken, onveilige passwords gebruiken en/of vertrouwelijke klanteninformatie openlijk in de trein bespreken. Het gedrag van de mens is een belangrijk aspect bij het verlagen van risico's. Medewerkers zijn vaak "onbewust onveilig". Goede security awareness training verandert hun gedrag. Met vriendelijke groet, Rob Koch, Sebyde BV
Al pak je een bijl en trem je de heleboel in elkaar.
Als het maar je eigen boel is en je het niet in het openbaar doet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
