image

Politie: we staan aan de kant van ethische hackers

woensdag 15 april 2015, 16:06 door Redactie, 7 reacties

Als het gaat om responsible disclosure en ethische hackers blijkt dat eigenlijk alle betrokken partijen, van politie en bedrijven tot de hackers zelf en media die kwetsbaarheden melden, dit een goed idee vinden. Dat werd duidelijk tijdens een paneldiscussie die op de ONE Conferentie van het Nationaal Cyber Security Center plaatsvond. "We staan vooral aan de kant van de ethische hackers. Zij zorgen ervoor dat we minder werk krijgen en de wereld veiliger wordt. Ik zie ethische hackers dan ook niet aan de andere kant staan", aldus Peter Zinn, strategisch adviseur van het Team High Tech Crime (THTC) van de politie.

Toch zijn niet alle bedrijven even blij als ze door een hacker worden benaderd dat er bijvoorbeeld een kwetsbaarheid in hun website aanwezig is. Zo kunnen hackers boze reacties tegemoet zien of wordt er met juridische stappen gedreigd. Volgens Katie Moussouris, Chief Policy Officer bij HackerOne, ondergaan veel van dit soort bedrijven de vijf fases van "vulnerability response grief". In de eerste fase wordt er nog ontkend dat er een probleem is. Later wordt er geprobeerd om tijd te winnen en de laatste fase is de acceptatiefase. "Daar wordt je energie het beste gebruikt voor de omgang met kwetsbaarheden en de hackergemeenschap."

Er zijn verschillende platformen waar hackers en onderzoekers geld krijgen voor het melden van kwetsbaarheden. Moussouris, die via HackerOne zelf zo'n platform aanbiedt, merkt op dat er niet altijd geld bij betrokken moet zijn, maar dat het wel als aanmoediging kan werken. Het is in ieder geval belangrijk dat er een responsible disclosurebeleid wordt gehanteerd waarin staat hoe kwetsbaarheden kunnen worden gemeld en hoe hier mee wordt omgegaan, vertelde ze.

Tijdens de paneldiscussie liet een medewerker van een bedrijf weten dat de communicatieafdeling het niet zag zitten om een artikel over hackers en beveiligingslekken te plaatsen, omdat ze alleen positief nieuws willen. Hans de Vries, hoofd van het NCSC, reageerde daarop door te stellen dat responsible disclosure een win-win-situatie is. "Het is goed nieuws dat iemand zo betrokken is om jouw systemen veiliger te maken. Het is belangrijk dat deze mensen hun tijd op een goede in plaats van een negatieve manier gebruiken. Ik zou ze dan ook eerder inhuren dan het OM op ze afsturen." Ook het NCSC krijgt meldingen van kwetsbaarheden, iets waar De Vries blij mee is. "En dat zouden alle partijen moeten zijn die zo'n melding ontvangen."

Uitnodiging

Een andere reden die bedrijven soms geven om geen responsible disclosurebeleid te plaatsen is omdat ze dit als een uitnodiging voor hackers zien om hun systemen te hacken, stelde Moussouris. Als reactie op dit soort bedrijven gebruikte ze een quote van een vriend. "Als je op internet zit dan wordt er gekeken of er kwetsbaarheden in je systemen zitten. Het kan alleen zijn dat je de melding niet ontvangt." Door een disclosurebeleid te plaatsen kunnen bedrijven aangeven wat wel en niet is toegestaan en is het aan de hackers om die regels te volgen, wat uiteindelijk het leven voor de bedrijven makkelijker maakt. "Het plaatsen van een responsible disclosurebeleid is geen uitnodiging om je te hacken, maar een uitnodiging om kwetsbaarheden in je website te melden", besloot Moussouris de discussie.

Reacties (7)
15-04-2015, 16:35 door Anoniem
Zal wel, giet het dan maar netjes in een wettelijk kader, een hacker of whistleblower is immers vaak vogelvij door willekeur.
15-04-2015, 17:50 door superglitched
Door Anoniem: Zal wel, giet het dan maar netjes in een wettelijk kader, een hacker of whistleblower is immers vaak vogelvij door willekeur.
De politie heeft een uitvoerende en controlerende functie, volgens mij heeft het weinig zin om de politie aan te spreken op het maken van nieuwe wetten. Het is handiger om de politiek hierop te wijzen.
15-04-2015, 21:13 door Anoniem
Er zijn zelfs verschillende TV programma's als Kassa, Radar e.d. waar je de stommiteiten van een bedrijf kan bespreken. Wanneer het gaat om echte elementaire zaken als Persoonsgegevens, dan moet het middels 'responsible disclosure' aangekaard worden, om er vooral voor te zorgen dat het falende bedrijf gespaard blijft, en mogelijk wordt de 'dader' vervolgd.

IN WAT VOOR EEN LAND LEVEN WE ?
15-04-2015, 22:16 door ben987
dilemma, wanneer is iets ethisch ? daar verschillen de meningen nogal over..
16-04-2015, 08:49 door Anoniem
Door Anoniem: Er zijn zelfs verschillende TV programma's als Kassa, Radar e.d. waar je de stommiteiten van een bedrijf kan bespreken. Wanneer het gaat om echte elementaire zaken als Persoonsgegevens, dan moet het middels 'responsible disclosure' aangekaard worden, om er vooral voor te zorgen dat het falende bedrijf gespaard blijft, en mogelijk wordt de 'dader' vervolgd.

IN WAT VOOR EEN LAND LEVEN WE ?

Voor je gaat schreeuwen is het misschien verstandig om je even te verdiepen in wat er op de bijeenkomst precies is gezegd. Het CBP heeft daar ook aangegeven dat als een bedrijf de beveiliging van persoonsgegevens niet in orde heeft, men graag heeft dat zij dat ook horen.

En de 'dader' wordt juist niet aangeklaagd als er sprake is van responsible disclosure. Het OM is ontzettend blij dat ze niet, zoals in zo veel andere landen, verplicht is altijd een zaak aan te spannen. Daarom werkt responsible disclocure zo goed in Nederland. In Duitsland kun je als bedrijf en hacker nog zo veel afspreken als je wilt, als er een disclosure komt, staat de politie alsnog op de stoep. Ook zonder aangifte.

Peter
16-04-2015, 16:55 door Anoniem
@08:49 door Anoniem - Peter

Het falende bedrijf wordt de hand boven het hoofd gehouden. Het gaat hier niet om een responsible disclosure, het zou om een responsible security beleid moeten gaan.

Zaken worden omgedraaid.
18-04-2015, 12:13 door Anoniem
De politie staat aan de kant van de boemannen, als ze maar "ethisch" zijn. En daar weet de politie natuurlijk alles van af, gezien wat ze al dan niet presteert.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.