OM biedt hackers ludieke beloning voor kwetsbaarheden
Hackers en onderzoekers die kwetsbaarheden in de website van het Openbaar Ministerie vinden en die op verantwoorde wijze rapporteren zullen niet worden vervolgd en kunnen een ludieke beloning verwachten, zo laat het OM weten. Het OM maakte gisteren bekend dat het zich aan de leidraad "responsible disclosure" houdt die de overheid in 2013 publiceerde.
"Het kan onverhoopt voorkomen dat er een zwakke plek in een van onze systemen zit. Als u een kwetsbaarheid ontdekt, kunt u deze volgens onderstaande afspraken aan ons melden", zo laat het Openbaar Ministerie weten. In dit geval moeten kwetsbaarheden zo snel mogelijk na de ontdekking worden doorgegeven. Ook moet er verantwoordelijk worden omgegaan met de kennis van het beveiligingsprobleem door geen acties te verrichten die verder gaan dan noodzakelijk om de kwetsbaarheid aan te tonen.
Het is in ieder geval niet toegestaan om malware te plaatsen, gegevens of configuraties te kopiëren, wijzigen of te verwijderen, het delen van de systeemtoegang met anderen en het gebruik van social engineering en brute force- of DDoS-aanvallen om toegang te krijgen. In het geval melders zich aan deze regels houden zal het OM geen "juridische consequenties" aan de melding verbinden.
In het geval van een melding zal er binnen twee werkdagen een ontvangstbevestiging worden gestuurd en zal er binnen vijf dagen een beoordeling van de melding volgen. "In onderling overleg kunnen we, als u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid". Daarnaast kunnen hackers en onderzoekers een "ludieke beloning" voor elke melding tegemoet zien.
Beleid
Eind vorig jaar stelde minister Opstelten van Veiligheid en Justitie dat het responsible disclosurebeleid Nederland veiliger heeft gemaakt. De overheid ontving in 2014 bij elkaar 157 meldingen van hackers over beveiligingsproblemen. Geen één van de melders werd wegens het melden vervolgd. Het responsible disclosurebeleid is namelijk een leidraad hoe hackers kwetsbaarheden kunnen melden en hoe hier door organisaties mee kan worden omgegaan. Er is echter geen wettelijke bepaling die voorkomt dat hackers die problemen rapporteren niet worden vervolgd.
Wat gebeurt er op spotnet en andere forums,massaal wordt er malware aangeboden,laten ze dat maar eens stoppen.
Vooral made in Germany films.
En klagen bij de usenet providers dan loop je tegen muren van verzet.
Wat gebeurt er op spotnet en andere forums,massaal wordt er malware aangeboden,laten ze dat maar eens stoppen.
Vooral made in Germany films.
En klagen bij de usenet providers dan loop je tegen muren van verzet.
Volgens mij heb je het verhaal niet goed gelezen...
Dit gaat over hoe je als hacker mogelijke zwakheden/kwestbaarheden in overheids websites moet rapporteren: responsible disclosure. Dat je best mag aangeven dat er ergens in de website een lek zit, maar dat je hiervoor niet de hele backend database hoeft te kopieren.
Het gaat in ieder geval niet over jouw specifieke smaak van Duitse films (Tirol?)
Goede actie! ;)
Dat mag op meerdere websites/bedrijven/instanties mits onder termen van hun responsible disclosure beleid.
Kijk eens naar Olivier Beg die heeft al een mooi lijstje qua websites.
Ongestraft kan je ook zien dat jij hun websites test tegen een geringe betaling (waar ze anders 100 euro ex btw kwijt aan zijn aan een ethical hacker inhuren).
en "geen acties te verrichten die verder gaan dan noodzakelijk om de kwetsbaarheid aan te tonen"
Sta altijd erg sceptisch tegen dit soort dingen, ene kant is het goed aan de andere kant kan het ook verkeerd uitpakken door aandacht op je te vestigen.
.
Ik denk dat de overheid wel uit zal kijken om iemand zomaar van z'n bed te lichten als hij 'netjes' de regels heeft gevolgd. Zie Google en ook Microsoft die hackers belonen als ze bugs netjes aanleveren: geld en 'je naam is genoemd'... De overheid (en eigenlijk alle bedrijven) hebben gewoon baat bij responsible disclosure. Iedereen maakt fouten - het is wel fijn als anderen je daarop kunnen en durven wijzen.
Als je even kijkt hoe goed de politie is getraind op de NOS.
HAHA
.
Ik denk dat de overheid wel uit zal kijken om iemand zomaar van z'n bed te lichten als hij 'netjes' de regels heeft gevolgd. Zie Google en ook Microsoft die hackers belonen als ze bugs netjes aanleveren: geld en 'je naam is genoemd'... De overheid (en eigenlijk alle bedrijven) hebben gewoon baat bij responsible disclosure. Iedereen maakt fouten - het is wel fijn als anderen je daarop kunnen en durven wijzen.
Wat gebeurt er op spotnet en andere forums,massaal wordt er malware aangeboden,laten ze dat maar eens stoppen.
Vooral made in Germany films.
En klagen bij de usenet providers dan loop je tegen muren van verzet.
Volgens mij heb je het verhaal niet goed gelezen...
Dit gaat over hoe je als hacker mogelijke zwakheden/kwestbaarheden in overheids websites moet rapporteren: responsible disclosure. Dat je best mag aangeven dat er ergens in de website een lek zit, maar dat je hiervoor niet de hele backend database hoeft te kopieren.
Het gaat in ieder geval niet over jouw specifieke smaak van Duitse films (Tirol?)
volgens mij snap je het niet ,en ik snap ook jouw reactie niet.
malware is malware of dit komt door een malware website of via downloading.
En van Duitse films hou ik helemaal niet,het was alleen als voorbeeld,ze dumpen massaal uit Duitsland ?? dit soort rotzooi.
Waar het ook vandaan komt,het blijft een risico.
Bovendien vind ik het betreurend dat u geen verschil lijkt te erkennen tussen een criminele organisatie en hacker/onderzoeker die vanuit hobby/beroepsomgeving opereert.
Ik zeg het volgens mij wel vaker hier: als u alles in de schaduwen forceert, moet u ook niet opkijken dat alles zich in de schaduwen gaat bewegen, en dat het vinden van lekken niet meer gebeurd door beveiligingsonderzoekers die zelf ongevraagd onderzoeken, maar enkel nog door criminele organisaties die maximale schade toebrengen.
Ben blij dat onze overheid niet zo zwart/wit denkt op dit gebied.
Ten eerste : heel goed dat dit kan en zonder evt merkbare risico's ( hier komt twee )
En ten tweede : je wordt na t melden dus extra goed in de gaten gehouden met evt aftappen ?????
Want ja "once a hacker always a hacker" dus trek uw eigen conclusies er maar uit mensen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
