Overheid wil dat hackers lekken verantwoord melden
Hackers die beveiligingslekken in applicaties of websites willen melden moeten dat op verantwoorde wijze doen, aldus het Nationaal Cyber Security Center (NCSC). Deze week werd een 26-jarige man gearresteerd op verdenking van het inbreken in een server van het Groene Hart Ziekenhuis in Gouda, waarbij ook bestanden werden gestolen. Het lek in de ICT-infrastructuur van het ziekenhuis werd uiteindelijk via de media bekendgemaakt.
"In de afgelopen weken is er sprake geweest van een aantal incidenten waarbij ICT-kwetsbaarheden en de wijze waarop deze bekend worden gemaakt een grote rol spelen. Hierbij signaleert het Nationaal Cyber Security Centrum (NCSC) dat er in de ICT-community sprake is van onrust over het melden van kwetsbaarheden", aldus het NCSC.
Spelregels
Het NCSC stelt dat de samenwerking met de ICT-community van het grootste belang is, maar dat 'Responsible Disclosure' daarbij het uitgangspunt is. Bij responsible disclosure staat voorop dat partijen een afspraak maken over het melden van de kwetsbaarheid en hoe hier vervolgens mee om wordt gegaan.
Een partij die een responsible disclosure policy uitdraagt kan bijvoorbeeld aangeven in principe geen aangifte te doen als aan een aantal met elkaar afgesproken spelregels wordt voldaan, aldus het NCSC.
"Een voorbeeld van een spelregel is het afspreken van een redelijke termijn om de kwetsbaarheid op te lossen. Op deze wijze wordt op constructieve wijze bijgedragen aan het verhogen van de veiligheid. Hierbij kan ook worden afgesproken op welke wijze de kwetsbaarheid vervolgens in de openbaarheid, de disclosure, wordt gebracht."
Schade
Een ander punt wat centraal staat bij responsible disclosure is het niet onnodig aanrichten van schade of verder gaan dan het aantonen van de kwetsbaarheid. "In een dergelijk geval is het niet gepast om onnodig grote databestanden te ontvreemden als al is aangetoond dat het databestand benaderbaar is."
Verder wijst het NCSC ook naar de proportionaliteit van de ingezette middelen. "Denk hierbij bijvoorbeeld aan het plaatsen van een eigen backdoor in een informatiesysteem om vervolgens daarmee de kwetsbaarheid aan te tonen."
Full-disclosure
Veel hackers houden zich volgens de overheidsinstantie niet aan het verantwoord melden van lekken, maar gaan meteen over tot full disclosure. "Hierbij maakt iemand die kennis heeft van een kwetsbaarheid, deze publiek om op deze wijze de partij die het betreft te dwingen om deze kwetsbaarheid te verhelpen."
Aangezien het lek in dit geval nog in de systemen aanwezig is, zorgt de openbaarmaking voor een mogelijk veiligheidsrisico. "Voor het NCSC staat het samenwerken aan de veiligheid van informatiesystemen voorop. Het samenwerken binnen gemaakte afspraken van responsible disclosure geniet daarbij de voorkeur."
Waarom zou je nog moeite doen? Het grootste voordeel dat je kunt halen (als je geluk hebt) is dat je niet vervolgd wordt. En gezien de wederwaardigheden van de 26-jarige hacker kun je justitie daarin niet eens vertrouwen. Waarom zegt men niet 'Dank u wel meneer de Hacker, voor uw eerlijkheid' + een flinke zak geld voor de moeite en het besparen van een groot schandaal.
Er zijn vast hoger biedende partijen waar je geen of weinig gezanik van krijgt. Misschien kun je dan beter zulke dossiers (anoniem) aan een verzekeringsmaatschappij verkopen of aan de maffia ofzo...
Gek he? als de overheid niet verantwoord met de mensen die het melden omgaat?
Even dacht ik dat het NCSC om een grote cyber-security oefening hoorde roepen vandaag.
Stelletje nalatige nietsnutten!!! de bezem er door ! bezuinigen op dat groepje beroepsvergaderaars!!
Niet lullen maar poetsen !~@#$%^&*
Ik heb zelf vaak in vergellijkbare positie gezeten.
En de inhoud niet downloaden is zware onzin; dan zullen ze het altijd downplayen en zeggen dat het niets was wat je gevonden hebt. Je moet gewoon wat achter de hand hebben anders komen die nalatige honden niet met de waarheid en maken ze de klokkenluider uit voor leugenaar.
F#cK yeah!
Bring it 0N!
Al ze nou eens net als Google er een bedrag aan hangen misschien dat het beter zal werken...
In dit artikel worden best een aantal aardige voorbeelden gegeven, maar het is natuurlijk onzin om te verwachten dat er op een redelijke termijn een samenhangende set van richtlijnen wordt overeengekomen door alle partijen die hierin betrokken zijn. Iedere partij heeft z'n eigen invalshoek op deze regels om hun eigen belangen te beschermen. het creëren van goede richtlijnen kan zo jaren duren, terwijl het goed zou zijn om daar duidelijkheid over te krijgen.
Even een voorbeeld van wat ik mee gemaakt heb. Ik vond een groot lek in een heel groot internationaal bedrijf, ik kon 2 dingen doen.. het netjes melden en een hele grote kans hebben dat ik een rechtszaak krijg. Of het niet melden en het erbij laten.
Ik zit met deze vraag nu al een paar maanden, maar zodra ik het meld heb ik een kans om opgepakt te worden. Vandaar dat ik het er tijdelijk bij laat liggen.
Even een voorbeeld van wat ik mee gemaakt heb. Ik vond een groot lek in een heel groot internationaal bedrijf, ik kon 2 dingen doen.. het netjes melden en een hele grote kans hebben dat ik een rechtszaak krijg. Of het niet melden en het erbij laten.
Ik zit met deze vraag nu al een paar maanden, maar zodra ik het meld heb ik een kans om opgepakt te worden. Vandaar dat ik het er tijdelijk bij laat liggen.
ik herken je verhaal, dit gebeurt veel in nederland. hier roepen ze maar weer eens op om responsible disclosure, maar geven geen richtlijnen waar dit te melden, en wat als een bedrijf weigert dit te doen en je mailtjes terug krijgt van "het klpd is ingelicht, wij gaan over tot actie." nou daar wordje dan toch maar mooi weer beloont voor je responsible disclosure. ze beseffen dat er onrust over is binnen de ict community, en erkennen het. maar weigeren om hulp middelen aan te reiken wat dit vergemakkelijkt en wat je anoniemiteit respecteert.
dus ik vind het eigenlijk ook een beeeeeetje eigenschuld van de overheid en in dit geval het ziekenhuis in gouda.
in een ander bericht over het ziekenhuis, word door gebruikers al aangegeven dat dat lek al tijden bekend is, maar er simpel weg niets mee gedaan werd. erg raar zo ga je niet om met responsible disclosure, dus zo gek vind ik het niet wat deze man geflikt heeft. de overheid en vooral het bedrijfsleven moeten word gestimuleert om niet gelijk met spierballen-taal te komen aanzetten, maar netjes en respectvol om te gaan met het gemelde lek door een hacker.
dus alles toeschuiven op hackers dat zij verantwoording moeten tonen binnen het kader responsible disclosure, is gewoon achterlijk. Hackers weten donders goed wat te doen als het om responsible discosure gaat.
nu is het aan de overheid en bedrijfs leven dit ook te gaan snappen en ernaar te handelen.
Dan meldt je het toch (anoniem) bij het NCSC? Als je het direct bij een bedrijf doet, loop je inderdaad het risico dat ze de politie inschakelen. Maar als je het meldt bij het NCSC en je vervolgens houdt aan de afgesproken regels rondom responsible disclosure zal je niets gebeuren hoor. Het NCSC heeft vast wel contacten met soortgelijke buitenlandse organisaties mocht het een niet-Nederlands bedrijf betreffen.
Alternatief is om het bij een van de vele CERT's aan te melden, die kunnen het ook doorgeven waarbij je zelf buiten schot kunt blijven. Heel veel landen hebben zo een instantie, dus dat is ook nog een mogelijkheid.
Dan meldt je het toch (anoniem) bij het NCSC? Als je het direct bij een bedrijf doet, loop je inderdaad het risico dat ze de politie inschakelen. Maar als je het meldt bij het NCSC en je vervolgens houdt aan de afgesproken regels rondom responsible disclosure zal je niets gebeuren hoor. Het NCSC heeft vast wel contacten met soortgelijke buitenlandse organisaties mocht het een niet-Nederlands bedrijf betreffen.
Alternatief is om het bij een van de vele CERT's aan te melden, die kunnen het ook doorgeven waarbij je zelf buiten schot kunt blijven. Heel veel landen hebben zo een instantie, dus dat is ook nog een mogelijkheid.
dat is het hem nou juist, heel veel landen hebben allang zo'n instantie, en wij sinds niet al te lange tijd ook.
het probleem is dat zij hun draai binnen de ict nog moeten vinden, en niet zo goed weten wat ze ermee aan moeten.
dit kan je niet bij de hackers neer leggen, maar ze zouden eens in eens spiegel moeten kijken en bij zich zelf na gaan waarze nou mee bezig zijn en of dit niet beter kan.
Full Disclosure is een bewezen iets, en voor veel hackers een goed middel. als ze zo door blijven gaan, denk ik dat Full disclosure nog weleens een doorn in het oog kan worden van de overheid. (nederlandse overheid dan he)
Een goed begin begint bij je zelf is mij vroeger al geleert. ik weet niet hoe dat met de politieke elite zit...
Je hebt gelijk. Ik heb het ook bij een journalist gemeld. Helaas kon de journalist ook niks garanderen en blijf ik dus met hetzelfde probleem lopen.
Je ziet iets. Je documenteert dat, drukt het verhaal af op een openbare printer, raapt het met doktershandschoenen, stopt het in een enveloppe, plakt een zelf-klevend postzegel erop, AAN: NCSC, CC: Brenno. Gepost wordt dat in een brievenbus buiten je woonplaats/wijk (niet op een station, want daar zijn camera's).
Welk risico blijft dan nog over als je het op deze manier zou doen?
Het enige wat m.i. tot je IP-adres/woonadres kan leiden, zijn de log's van de router(s) waarin misschien je bezoek met datum/tijd op de server(s) gedocumenteerd is.
Als men de terrorisme-wetten zou willen gebruiken, vragen ze bij security en/of providers om de logs en je account-gegevens. Maar dan zou het iets tegen "de staat / openbare orde en veiligheid" moeten zijn.
evenzo met die mensen die een landelijk epd aan het opzetten zijn ; onverantwoord.
Wat hackers doen is het onverantwoorde gedrag van aanderen aan de kaak stellen.
De hackers heb de onverantwoorde risicos niet genomen..........maar aan de kaak gesteld.
Waneer gaan we de mensen die onverantwoord zijn bezig geweest eens hard aanpakken?
Dat zou ik rechtvaardig vinden.
Misschien zou je het bij het CBP kunnen melden? Als het het onvoldoende beschermen van privégegevens betreft kunnen ze je misschien verder helpen.
chears
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
