image

OM biedt hackers ludieke beloning voor kwetsbaarheden

dinsdag 10 februari 2015, 11:16 door Redactie, 17 reacties

Hackers en onderzoekers die kwetsbaarheden in de website van het Openbaar Ministerie vinden en die op verantwoorde wijze rapporteren zullen niet worden vervolgd en kunnen een ludieke beloning verwachten, zo laat het OM weten. Het OM maakte gisteren bekend dat het zich aan de leidraad "responsible disclosure" houdt die de overheid in 2013 publiceerde.

"Het kan onverhoopt voorkomen dat er een zwakke plek in een van onze systemen zit. Als u een kwetsbaarheid ontdekt, kunt u deze volgens onderstaande afspraken aan ons melden", zo laat het Openbaar Ministerie weten. In dit geval moeten kwetsbaarheden zo snel mogelijk na de ontdekking worden doorgegeven. Ook moet er verantwoordelijk worden omgegaan met de kennis van het beveiligingsprobleem door geen acties te verrichten die verder gaan dan noodzakelijk om de kwetsbaarheid aan te tonen.

Het is in ieder geval niet toegestaan om malware te plaatsen, gegevens of configuraties te kopiëren, wijzigen of te verwijderen, het delen van de systeemtoegang met anderen en het gebruik van social engineering en brute force- of DDoS-aanvallen om toegang te krijgen. In het geval melders zich aan deze regels houden zal het OM geen "juridische consequenties" aan de melding verbinden.

In het geval van een melding zal er binnen twee werkdagen een ontvangstbevestiging worden gestuurd en zal er binnen vijf dagen een beoordeling van de melding volgen. "In onderling overleg kunnen we, als u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid". Daarnaast kunnen hackers en onderzoekers een "ludieke beloning" voor elke melding tegemoet zien.

Beleid

Eind vorig jaar stelde minister Opstelten van Veiligheid en Justitie dat het responsible disclosurebeleid Nederland veiliger heeft gemaakt. De overheid ontving in 2014 bij elkaar 157 meldingen van hackers over beveiligingsproblemen. Geen één van de melders werd wegens het melden vervolgd. Het responsible disclosurebeleid is namelijk een leidraad hoe hackers kwetsbaarheden kunnen melden en hoe hier door organisaties mee kan worden omgegaan. Er is echter geen wettelijke bepaling die voorkomt dat hackers die problemen rapporteren niet worden vervolgd.

Reacties (17)
10-02-2015, 11:44 door Anoniem
Standbeeldje van jezelf met een gekleurd hoedje wellicht?
10-02-2015, 11:52 door john west
Het is in ieder geval niet toegestaan om malware te plaatsen, gegevens of configuraties te kopiëren, wijzigen of te verwijderen.


Wat gebeurt er op spotnet en andere forums,massaal wordt er malware aangeboden,laten ze dat maar eens stoppen.
Vooral made in Germany films.
En klagen bij de usenet providers dan loop je tegen muren van verzet.
10-02-2015, 12:04 door PietdeVries
Door john west: Het is in ieder geval niet toegestaan om malware te plaatsen, gegevens of configuraties te kopiëren, wijzigen of te verwijderen.


Wat gebeurt er op spotnet en andere forums,massaal wordt er malware aangeboden,laten ze dat maar eens stoppen.
Vooral made in Germany films.
En klagen bij de usenet providers dan loop je tegen muren van verzet.

Volgens mij heb je het verhaal niet goed gelezen...

Dit gaat over hoe je als hacker mogelijke zwakheden/kwestbaarheden in overheids websites moet rapporteren: responsible disclosure. Dat je best mag aangeven dat er ergens in de website een lek zit, maar dat je hiervoor niet de hele backend database hoeft te kopieren.

Het gaat in ieder geval niet over jouw specifieke smaak van Duitse films (Tirol?)
10-02-2015, 12:26 door Anoniem
Ongestraft je pentesting skills oefenen op het OM!!

Goede actie! ;)
10-02-2015, 14:23 door Anoniem
Door Anoniem: Ongestraft je pentesting skills oefenen op het OM!!

Goede actie! ;)

Dat mag op meerdere websites/bedrijven/instanties mits onder termen van hun responsible disclosure beleid.
Kijk eens naar Olivier Beg die heeft al een mooi lijstje qua websites.
Ongestraft kan je ook zien dat jij hun websites test tegen een geringe betaling (waar ze anders 100 euro ex btw kwijt aan zijn aan een ethical hacker inhuren).
10-02-2015, 15:14 door Anoniem
Volgens mij is er een mismatch tussen de zin hierboven in de reacties : "pentesting skills oefenen op het OM"
en "geen acties te verrichten die verder gaan dan noodzakelijk om de kwetsbaarheid aan te tonen"
10-02-2015, 15:42 door Anoniem
Ludieke beloning zal wel zijn dat je de rest van je leven onder toezicht komt te staan, want je kan wel eens radicaliseren als cyber crimineel. Of een AT komt midden in de nacht je voordeur in schoppen.

Sta altijd erg sceptisch tegen dit soort dingen, ene kant is het goed aan de andere kant kan het ook verkeerd uitpakken door aandacht op je te vestigen.
10-02-2015, 15:42 door Anoniem
Ludieke beloning: SWAT-team om 5:00 uur 's ochtends in je slaapkamer :+
10-02-2015, 16:26 door PietdeVries
Door Anoniem: Ludieke beloning zal wel zijn dat je de rest van je leven onder toezicht komt te staan, want je kan wel eens radicaliseren als cyber crimineel. Of een AT komt midden in de nacht je voordeur in schoppen.
.

Ik denk dat de overheid wel uit zal kijken om iemand zomaar van z'n bed te lichten als hij 'netjes' de regels heeft gevolgd. Zie Google en ook Microsoft die hackers belonen als ze bugs netjes aanleveren: geld en 'je naam is genoemd'... De overheid (en eigenlijk alle bedrijven) hebben gewoon baat bij responsible disclosure. Iedereen maakt fouten - het is wel fijn als anderen je daarop kunnen en durven wijzen.
10-02-2015, 16:26 door Anoniem
SWAT team is niet nodig.
Als je even kijkt hoe goed de politie is getraind op de NOS.

HAHA
10-02-2015, 16:34 door john west
Door PietdeVries:
Door Anoniem: Ludieke beloning zal wel zijn dat je de rest van je leven onder toezicht komt te staan, want je kan wel eens radicaliseren als cyber crimineel. Of een AT komt midden in de nacht je voordeur in schoppen.
.

Ik denk dat de overheid wel uit zal kijken om iemand zomaar van z'n bed te lichten als hij 'netjes' de regels heeft gevolgd. Zie Google en ook Microsoft die hackers belonen als ze bugs netjes aanleveren: geld en 'je naam is genoemd'... De overheid (en eigenlijk alle bedrijven) hebben gewoon baat bij responsible disclosure. Iedereen maakt fouten - het is wel fijn als anderen je daarop kunnen en durven wijzen.
Door PietdeVries:
Door john west: Het is in ieder geval niet toegestaan om malware te plaatsen, gegevens of configuraties te kopiëren, wijzigen of te verwijderen.


Wat gebeurt er op spotnet en andere forums,massaal wordt er malware aangeboden,laten ze dat maar eens stoppen.
Vooral made in Germany films.
En klagen bij de usenet providers dan loop je tegen muren van verzet.

Volgens mij heb je het verhaal niet goed gelezen...

Dit gaat over hoe je als hacker mogelijke zwakheden/kwestbaarheden in overheids websites moet rapporteren: responsible disclosure. Dat je best mag aangeven dat er ergens in de website een lek zit, maar dat je hiervoor niet de hele backend database hoeft te kopieren.

Het gaat in ieder geval niet over jouw specifieke smaak van Duitse films (Tirol?)

volgens mij snap je het niet ,en ik snap ook jouw reactie niet.
malware is malware of dit komt door een malware website of via downloading.
En van Duitse films hou ik helemaal niet,het was alleen als voorbeeld,ze dumpen massaal uit Duitsland ?? dit soort rotzooi.
Waar het ook vandaan komt,het blijft een risico.
10-02-2015, 18:24 door Anoniem
Een hacker die een kwetsbaarheid (zwakke plek") ontdekt kan dus in de systemen van het OM rondneuzen zolang hij/zij zich maar aan de regeltjes houdt. Een hacker kan dus niet op heterdaad betrapt worden, want hij is nu ineens een "beveiligingsonderzoeker". Tot er iets wordt verminkt, beschadigd, gestolen of verwijderd, dan is de "beveiligingsonderzoeker" ineens verdwenen. Als er niets interessants te vinden is meldt de hacker zich volgens de "Reponsible Disclosure" procedure bij het OM en gaat de rode loper uit en wordt er een ludieke beloning beschikbaar gesteld. In mijn optiek is het onaangekondigd inbreken in systemen illegaal en zou strafbaar moeten zijn. Beveiligingsonderzoekers mogen alles onderzoeken, maar wél in opdracht én met medeweten van het bedrijf.
10-02-2015, 20:28 door Anoniem
Is het cadeau soms "gratis en voor niets nog beter in de gaten worden gehouden, omdat u een gevaar vormt voor de samenleving".
10-02-2015, 20:40 door superglitched - Bijgewerkt: 10-02-2015, 20:44
Door Anoniem: Een hacker die een kwetsbaarheid (zwakke plek") ontdekt kan dus in de systemen van het OM rondneuzen zolang hij/zij zich maar aan de regeltjes houdt. Een hacker kan dus niet op heterdaad betrapt worden, want hij is nu ineens een "beveiligingsonderzoeker". Tot er iets wordt verminkt, beschadigd, gestolen of verwijderd, dan is de "beveiligingsonderzoeker" ineens verdwenen. Als er niets interessants te vinden is meldt de hacker zich volgens de "Reponsible Disclosure" procedure bij het OM en gaat de rode loper uit en wordt er een ludieke beloning beschikbaar gesteld. In mijn optiek is het onaangekondigd inbreken in systemen illegaal en zou strafbaar moeten zijn. Beveiligingsonderzoekers mogen alles onderzoeken, maar wél in opdracht én met medeweten van het bedrijf.
Dat is een zeer ouderwets gedachtegoed. Het stimuleert zowel de bedrijven als de beveiligingsonderzoekers niet om lekken te zoeken of überhaupt nog ooit te melden. Hoe iemand denkt dat we er beter van worden om iedereen op te pakken die zich ergens ongevraagd naar binnen werkt ontgaat mij. Deze zouden allemaal dezelfde intentie hebben: de grote boze wereld.

Bovendien vind ik het betreurend dat u geen verschil lijkt te erkennen tussen een criminele organisatie en hacker/onderzoeker die vanuit hobby/beroepsomgeving opereert.

Ik zeg het volgens mij wel vaker hier: als u alles in de schaduwen forceert, moet u ook niet opkijken dat alles zich in de schaduwen gaat bewegen, en dat het vinden van lekken niet meer gebeurd door beveiligingsonderzoekers die zelf ongevraagd onderzoeken, maar enkel nog door criminele organisaties die maximale schade toebrengen.

Ben blij dat onze overheid niet zo zwart/wit denkt op dit gebied.
11-02-2015, 00:10 door Anoniem
Nahja, dit soort dingen zijn altijd tweezijdig.
Ten eerste : heel goed dat dit kan en zonder evt merkbare risico's ( hier komt twee )
En ten tweede : je wordt na t melden dus extra goed in de gaten gehouden met evt aftappen ?????
Want ja "once a hacker always a hacker" dus trek uw eigen conclusies er maar uit mensen.
11-02-2015, 08:31 door Anoniem
Door Anoniem: Een hacker die een kwetsbaarheid (zwakke plek") ontdekt kan dus in de systemen van het OM rondneuzen zolang hij/zij zich maar aan de regeltjes houdt. Een hacker kan dus niet op heterdaad betrapt worden, want hij is nu ineens een "beveiligingsonderzoeker".
Iemand heeft de leidraad duidelijk niet gelezen. Het is verre van een vrijbrief.
11-02-2015, 10:07 door Anoniem
Door Anoniem: Ludieke beloning: SWAT-team om 5:00 uur 's ochtends in je slaapkamer :+

Dat zou wel heel erg stom om gaan met onze belastingcenten...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.