[admin] Thanks, fixed [/admin]

350 euro...en dan ook nog eens een Paypal-bon die gelijk weet wat je NAW gegevens zijn. Fantastisch idee van de heren in Den Haag!

Het is verstandiger geen pentests waartoe je geen opdracht hebt gekregen, te doen. Als je in het normale gebruik een kwetsbaarheid opmerkt, dan kun je die zonder vrees melden; computervredebreuk is dan niet van toepassing.

Voor Marktplaats is het niet zo'n gek idee. Immers, Marktplaats is van eBay, en PayPal is ook van eBay...

Ergens wel tekenend als we advies verwachten van een overheid op een gebied waar die overheid al jaar en dag uitgelachen wordt wegens onkundigheid. Dat ze dan nog de moeite nemen om wat rond te kijken en wat voorbeeldjes uit zoekmachines te plukken... ach ik weet het niet. Iets met te weinig en veel te laat schiet me te binnen.

Veel meer stoort het me dat er zo slecht gereageerd is door wat rotte appelbedrijven dat er een terugslag ontstaan is van simpelweg in de openbaarheid smijten zonder enige waarschuwing--en dat dan bij iedereen, inclusief bij gaten gevonden in, bijvoorbeeld, open source van projecten waar ze wel goed hun best doen om zo snel mogelijk een remedie uit te brengen. Dat is twee keer niet goed.

Wat ik zou doen? Een mailtje met uitleg aan security@, abuse@, of eventueel info@, met een termijn van zeg drie maanden om er wat aan te doen; zes als ze het vriendelijk vragen. Daarna onherroepelijk gepubliceerd. Zijn ze niet te contacteren (geef ze een week), dan gelijk publiek met een notitie dat ze niet te contacteren waren.

Dat mailtje komt vanaf een pseudoniemadres, natuurlijk! Ik hoef er geen geld voor (kan het ook gelijk aan vupen verkopen) maar ik wil ook niet dat ik door ze te vertellen dat er gaten in hun software zitten (die een kwaadwillende dus ook kan vinden, en dan hoor je heel andere dingen dan "daar zit een gat, zo kom je erbij, ga er eens wat aan doen") een doelwit voor hun juridische afdeling wordt.

+ 1 hugo, na het lezen van dit artikel ben ik het zeker met je eens. gewoon voorje houden dat lek, niet misbruiken niet melden gewoon zwijgen. ben het ook eens met Anoniem 10:15 's reactie. alle gegevens worden als nog bekend, wie weet wat ze dan gaan uitspoken. je monitoren, je online activiteiten opvragen via de opslagplicht.. etc.

zolang ze geen veilige aftocht bieden, vind ik dat hackers als nog responsible moeten zijn door het niet te melden, het voorzich te houden en niet te misbruiken.

Ik hoop dat meer bedrijven zullen besluiten een responsible disclosure beleid te publiceren op hun website.
Helaas komt het nog te vaak voor dat een responsible disclosure wordt opgevolgd met een dreigmail van de juridische afdeling. Zoals bijvoorbeeld deze: http://pastebin.com/vSdWN6Fe

Het NCSC geeft hiermee een compleet verkeerd signaal af, door te suggereren dat hackers die ''op een verantwoorde wijze'' bedrijven zonder toestemming aanvallen, om hun conclusies te delen niet vervolgd zullen worden. Die beslissing is enkel aan de aangevallen partij en aan justitie. Het NCSC heeft daar verder niets over te vertellen.

Laat bedrijven en instanties zelf die afweging maken, voor veel vooral jongere hackers kan nu de indruk gewekt worden dat ze een vrijbrief krijgen voor activiteiten die hun wel degelijk in de problemen kan brengen. Wat nu indien jongeren, wellicht met goede bedoelingen, schade veroorzaken doordat ze -zonder voldoende kennis van zaken- gaan proberen een bedrijf te hacken ?

Het lijkt mij beter om ethical hacking en penetration testing over te laten aan professionals die dit met toestemming doen, en om enige uitspraak over hoe men omgaat met anderen die ongevraagd beveiliging willen testen toch vooral aan bedrijven en organisaties over te laten.

Die natuurlijk best individueel kunnen aangeven dat ze al dan niet een ''responsible disclosure'' beleid hebben.

lol, nou een beter voorbeeld kan je niet geven. Schaamteloos gewoon die sinterklaas.

NCSC is onbetrouwbaar, ook haar voorbeeld mbt responsible disclosure. Ze is onbetrouwbaar omdat ze de basis waarom computers onveilig zijn niet onderkent en dus ook niet behulpzaam is bij het oplossen van problemen daaruit afkomstig.

Daarnaast zijn dit geen regels maar richtlijnen, dus niet wettelijk gewaarborgd en nog minder betrouwbaar.

etc.

NCSC zou er beter aan doen eerst en vooralsnog haar expertise op gebied van computer security aan te tonen alvorens op basis van gepretendeerde expertise ons te nopen tot verder achter steeds ernstiger wordende feiten van een winnende criminaliteit aan te hobbelen.

Je had liever dat ze hun volgens jouw onbetrouwbare richtlijnen maar verplicht stelden?

Lijkt me dat je dit gezien de rest van je kritiek niet verstandig is om te willen.

Ik snap je commentaar niet. Ze hebben in 2012 meer dan 300 adviezen geschreven over kwetsbaarheden in computers, lijkt me nou niet bepaald een onderkenning van een probleem toch?

Volgens mij ben jij een stuk onbetrouwbaarder met je vage commentaar.

dreigmail?
volgens mij handelen ze heel netjes, als je het gewoon netjes meldt, en je ziet hoe ze er mee omgaan en dankbaar ze zijn, maar je post het lekker openbaar zonder ze eerst te informeren dan kan je zoiets verwachten ja...

Maar dat is toch precies wat Henk Krol ook gedaan heeft? En zie waar hij nu staat.