image

D66 wil betere bescherming van ethische hackers

vrijdag 22 januari 2016, 14:38 door Redactie, 21 reacties

Als het aan D66-Kamerlid Kees Verhoeven ligt krijgen zogenoemde ethische hackers betere bescherming als ze problemen bij organisaties melden. De overheid heeft een Responsible Disclosure-richtlijn opgesteld voor het rapporteren van kwetsbaarheden bij bedrijven en organisaties.

Het idee achter de richtlijn is dat als de hacker of beveiligingsonderzoeker zich hieraan houdt, de organisatie die de melding ontvangt geen aangifte doet. Garanties zijn er echter niet en volgens D66 biedt de richtlijn van de overheid dan ook niet voldoende bescherming. Daarnaast vallen bepaalde type aanvallen die ethische hackers veel gebruiken niet onder de richtlijn, aldus de politieke partij. Daardoor lopen hackers alsnog het risico op vervolging. D66 wil nu dat hackers niet kunnen worden vervolgd als ze zich aan de regels houden en er nog eens goed naar de richtlijn wordt gekeken, omdat die nu tekort schiet.

"Nog te vaak worden ethische hackers vervolgd, zelfs als ze de door de regering opgestelde richtlijnen hebben gevolgd. Juist deze groep verricht veel goed werk en maakt belangrijke lekken in ICT-Systemen zichtbaar. Daarom wil ik dat minister van der Steur onderzoekt hoe ethische hackers beter beschermd kunnen worden, zodat deze groep niet hoeft te vrezen voor vervolging", zegt Verhoeven. Hij stelt dat veel bedrijven het juist op prijs stellen dat iemand ze wijst op een kwetsbaarheid in hun systeem. "Sommige bedrijven gaan zelfs zo ver dat ze hackers geld geven voor het vinden van lekken. Dat zegt genoeg. Stop met het vervolgen van ethische hackers, geef ze de ruimte om goed werk te doen."

Reacties (21)
22-01-2016, 15:13 door Anoniem
Als het aan D66-Kamerlid Kees Verhoeven ligt krijgen zogenoemde ethische hackers betere bescherming als ze problemen bij organisaties melden.

Ethische hackers zijn hackers die worden ingehuurd door organisaties, om vervolgens *met toestemming* een penetration test uit te voeren.

D66 wil betere bescherming van ethische hackers

Wat mij betreft besmeurt de politiek de term ''ethical hacking'' door te pretenderen dat dit ook maar iets van doen heeft met ongevraagd en zonder toestemming hacken, om de bevindingen vervolgens aan het ''slachtoffer'' te melden (responsible disclosure).

Leg vandaag de dag maar eens uit als ''ethical hacker'' wat je beroep precies is. De meeste mensen zullen denken dat je een halve crimineel bent, i.p.v. een pentester.
22-01-2016, 15:33 door dutchfish
Helemaal mee eens.

Of in inmiddels bijna vergeten termen 'zoals een goed huisvader betaamt'.

Het melden moet zonder represailles kunnen worden gedaan.
22-01-2016, 15:34 door Anoniem
An ethical hacker is a computer and networking expert who systematically attempts to penetrate a computer system or network ***on behalf of its owners*** for the purpose of finding security vulnerabilities that a malicious hacker could potentially exploit.
22-01-2016, 16:13 door Anoniem
Door Anoniem:
Als het aan D66-Kamerlid Kees Verhoeven ligt krijgen zogenoemde ethische hackers betere bescherming als ze problemen bij organisaties melden.

Ethische hackers zijn hackers die worden ingehuurd door organisaties, om vervolgens *met toestemming* een penetration test uit te voeren.

D66 wil betere bescherming van ethische hackers

Wat mij betreft besmeurt de politiek de term ''ethical hacking'' door te pretenderen dat dit ook maar iets van doen heeft met ongevraagd en zonder toestemming hacken, om de bevindingen vervolgens aan het ''slachtoffer'' te melden (responsible disclosure).

Leg vandaag de dag maar eens uit als ''ethical hacker'' wat je beroep precies is. De meeste mensen zullen denken dat je een halve crimineel bent, i.p.v. een pentester.

Tussen black hats en pentesters zit nog wel een grijs gebied en dat is de groep die meer bescherming nodig heeft inderdaad.

Je kunt ook tegen een securty-probleem "aanlopen" en dat uit interesse verder onderzoeken, of omdat je het belangrijk vindt dat (je) gegevens veilig zijn.

Als je dan geen misbruik maakt van het gevonden lek en dit netjes meldt zou je inderdaad bescherming moeten genieten.
22-01-2016, 16:24 door Anoniem
Door Anoniem:
An ethical hacker is a computer and networking expert who systematically attempts to penetrate a computer system or network ***on behalf of its owners*** for the purpose of finding security vulnerabilities that a malicious hacker could potentially exploit.
Waarom alleen namens de eigenaren van het systeem en niet namens andere belanghebbenden (klanten waarvan persoonlijke gegevens opgeslagen zijn)? Of moeten we water- en elektriciteitsbedrijven, woningstichtingen e.d. maar geloven op hun PR verklaringen "het is veilig"?
22-01-2016, 16:36 door karma4
Ethical hacking is a term coined by IBM meant to imply a broader category than just penetration testing
https://en.wikipedia.org/wiki/White_hat_(computer_security) https://en.wikiversity.org/wiki/Topic:Ethical_hacking
Lijkt me dat de definitie wat breder dan enkel ingehuurde pen-testers is. Als iemand per ongeluk een toetscombinatie gebruikt die hem admin toegang verleent (een backdoor). Valt dat wel onder de bredere scope niet onder die van pen-testers. Security problemen moeten gemeld kunnen worden waarbij je de booschapper niet bij voorbaat criminaliseerd.
Dat laatste is vrij gangbaar waarbij de achterliggende problemen onder de mat geschoven worden.
22-01-2016, 16:44 door Anoniem
Security problemen moeten gemeld kunnen worden waarbij je de booschapper niet bij voorbaat criminaliseerd.
Dat laatste is vrij gangbaar waarbij de achterliggende problemen onder de mat geschoven worden.

Geheel mee eens, buiten het feit dat dergelijke activiteiten niets van doen hebben met het vak van een ethical hacker / penetration tester. Responsible disclosure policies lijken mij alleen maar goed.
22-01-2016, 18:14 door Anoniem
"Nog te vaak worden ethische hackers vervolgd, zelfs als ze de door de regering opgestelde richtlijnen hebben gevolgd."

Is dat zo? Kent iemand voorbeelden hiervan?
22-01-2016, 18:38 door Anoniem
Mijn advies is en blijft hetzelfde: In Nederland of bij bedrijven (of landen) die geen deugdelijke Responsible Disclosure richtlijn hebben: Ga niet op zoek naar kwetsbaarheden. Mocht je er toevallig over struikelen: Doe er niets mee en meld het niet. Dat dan vervolgens de criminelen ze het eerste ontdekken en er iets anders mee gaan doen, waarop het bedrijf vroeger of later in een mogelijk tot faillissement leidend schandaal betrokken kan raken, is jouw probleem niet. Je kan dan ook zeggen: "Tja, we hadden onderzoek kunnen doen en ze gratis waarschuwen, maar weet je...".

Besteed je talent en ijver liever aan bedrijven als Facebook, die duizenden dollars in plaats van harde woorden over hebben per gemeld lek.
22-01-2016, 18:57 door Anoniem
"Doet u mij maar een kroket"

Wat ik me nou altijd heb afgevraagd is of eetische hackers nou vegetariër, fleksietariër of helemaal geen omnivooriër zijn.
Dat is best een dilemma voor later heb ik gelezen.
Hiero zoon verwarrend verhaal over eetische dilemma's.
http://zorgethiek.nu/doet-u-mij-maar-een-kroket

Ben je, heb je wel gehakt?
Dan valt het vast in de categorie carnivoriër.
Maar of die nou vaker als zelfstandige werken?
Heel verwarrend allemaal.

Het moet gewoon afgelopen zijn met die verwarrende definities.
Laat D66 daar haar hoeven eens voor in het zand steken en daarna met initiatieven komen die goed zijn ter bescherming van de biologische soort in haar geheel in plaats van te proberen slechts de lokale mieruhpopulatie te vermeerderen.

Als de flexi-bel kapot is kan je altijd nog hier aan het belletje trekken.
https://www.publeaks.nl/
"Publeaks stelt mensen in staat om veilig en anoniem informatie te delen met de pers."

Een geïnteresseerde journalist aan de lijn krijgt namelijk veel sneller een update van een kosjere/halal bedoelde menukaart tevoorschijn getoverd.
O, o o, o wat zijn die bamiballen ineens weer netjes mooi gaar.

Knapperig krokant met publeaks.nl
22-01-2016, 18:58 door quikfit
De politiek heeft het beste voor met de privacy...*zucht*
22-01-2016, 22:16 door dutchfish
Door Anoniem: Mijn advies is en blijft hetzelfde: In Nederland of bij bedrijven (of landen) die geen deugdelijke Responsible Disclosure richtlijn hebben: Ga niet op zoek naar kwetsbaarheden. Mocht je er toevallig over struikelen: Doe er niets mee en meld het niet. Dat dan vervolgens de criminelen ze het eerste ontdekken en er iets anders mee gaan doen, waarop het bedrijf vroeger of later in een mogelijk tot faillissement leidend schandaal betrokken kan raken, is jouw probleem niet. Je kan dan ook zeggen: "Tja, we hadden onderzoek kunnen doen en ze gratis waarschuwen, maar weet je...".

Besteed je talent en ijver liever aan bedrijven als Facebook, die duizenden dollars in plaats van harde woorden over hebben per gemeld lek.

Het is precies deze gedachte (je had het niet beter kunnen verwoorden) waarom in Nederland en ook andere landen de situatie zo belabberd is voor 'ethical hackers'.

In plaats van dit te laten rusten, dient de politiek een raamwerk 'af te dwingen' waarbinnen een werkbaar kader ontstaat om security lekken, zero-days, backdoors en rootkits te kunnen melden op een ethisch verantwoorde manier zonder dat degene die dit meld verzuipt in een juridische haarkloverij, en gevrijwaard kan zijn van alle blaam in plaats van te worden bedreigd met een juridische zaak bij bekendmaking van hetgeen hij te goeder trouw heeft gevonden, op welke manier dan ook. Zonder schade te berokkenen aan alle betrokkene, tijdens zijn onderzoek.

Al het andere is bijzaak!
22-01-2016, 23:50 door Anoniem
Al uw handelen gaat samen met risico's, zelfs al bent u van mening dat u het met de beste bedoelingen doet behoort u rekening te houden dat de grenzen vaak niet duidelijk zijn. Of dat nu is als u zich op de openbare weg begeeft, een beslissing neemt op uw werk of thuis, en ook wanneer u acties begaat in het cyberdomein. Zeker als u daarbij met uw handelen niet alleen met uw eigen eigendommen werkt maar ook die van anderen. Natuurlijk zouden maar wat graag velen immuniteit hebben als het gaat om de eigen daden. Geen verantwoording hoeven af te leggen voor de eigen daden is het gevolg, maar ook dat iemand anders zijn recht niet kan behalen. Met dat soort privileges voor specifieke personen en bij gevolg het ontnemen van recht van anderen is weinig gelijk. Dat is waar OM en rechters er aan te pas komen. In onze samenleving gaan we naar de rechter als we er op een fatsoenlijke wijze niet uit komen wie gelijk heeft. Het eind is zoek als we recht van privileges laten gelden. En ironisch genoeg ontkom je dan nog niet aan het OM of de rechter en maak je misbruik juist mogelijk via privileges.

Verder, responsible disclosure policy staat niets in de weg om anoniem te melden. En als er echt een oplossing is dan had het Kamerlid er zelf mee moeten komen in plaats van populistisch te verklaren dat hij het indirect oneens is met hoe ons rechtsysteem in elkaar zit.
23-01-2016, 00:32 door Anoniem
PASTEBIN
23-01-2016, 09:24 door karma4
Door Anoniem: "Nog te vaak worden ethische hackers vervolgd, zelfs als ze de door de regering opgestelde richtlijnen hebben gevolgd."
Is dat zo? Kent iemand voorbeelden hiervan?
https://nl.wikipedia .org/wiki/Brenno_de_Winter zelf regelmatig de grens opgezocht
http://www.omroepbrabant.nl/?news/184861972/Brenno+de+Winter+over+rechtszaak+hackende+Henk+Krol+%E2%80%98Deze+rechtszaak+zou+niet+nodig+moeten+zijn.aspx
http://www.nu.nl/internet/3519785/vervolgt-ethische-hackers.html Het is/was beleid om de melder van lek te vervolgen.
ICTU met black hackers. Die warden veroordeeld. http://www.trouw.nl/tr/nl/4324/Nieuws/article/detail/1203065/2008/11/26/Hacker-hoeft-beveiliging-niet-te-betalen.dhtml
Dat ze de kosten van het falend eigen beleide probeerden bij een ander te leggen zegt genoeg over de mentaliteit.

Als je verder zoekt op klokkenluiders kom je veel meer van dat soort zaken tegen dat de werkelijke misdadiger beschermd wordt. Dan heb je het niet eens over de interne zaken waar het op de man gespeeld wordt (te duur geen tijd voor).
Dat je naar voobeelden vraagt.... dat is al pijnlijk.
23-01-2016, 13:45 door Anoniem
@karma4: je voorbeelden zijn weinig overtuigend van onrecht richting onderzoekers.

Groene Hart: die zogenaamde onderzoeker plaatste kennelijk malware, downloadde zelfs van 2000 personen zeer gevoelige patientendossiers en hield zich bezich met kinderporno. http://tweakers.net/nieuws/88004/hacker-gouds-ziekenhuis-was-betrokken-bij-andere-hackpogingen.html

Krol: als ik de zaak goed begrijp lijkt Krol na 1x lukraak het bedrijf gebeld te hebben meteen de publiciteit te hebben opgezocht. En om aan te tonen dat de beveiliging slecht was was het niet nodig om naast het inloggen als admin ook nog eens van meerdere personen hun medische gegevens te downloaden. De rechter achtte zijn goede bedoelingen deels bewezen maar ook dat er meer rekening moest worden gehouden met rechten van anderen.

Hoe het ook kan:
Habo hotel: OM vond het niet nodig om te vervolgen nadat de onderzoeker verantwoord het lek had onderzocht en gemeld. Het bedrijf wilde toen zelf naar de rechter maar koos eieren voor haar geld.

Ik ben blij dat er een om en rechters zijn om onafhankelijk en per zaak te bekijken of vervolging nodig is en rechters die dan de grenzen bepalen. Ik zou niet blij zijn als mensen boven de wet staan en alleen hun eigen gelijk van rechtvaardigheid zou tellen. Kennelijk komt het nogal eens voor dat dat soort onderzoekers maling hebben aan de rechten van de slachtoffers van wie ze persoonsgegevens downloaden omdat ze een punt willen maken richting een bedrijf of de gemeenschap.
23-01-2016, 23:42 door Anoniem
Ik vind het een goed voorstel van D66. Ik zie best het een en ander maar ben bang voor de gevolgen van een melding. Het zou in het slechtste geval zelfs mijn baan kunnen kosten. Nu moet je lijdzaam toezien hoe slecht sommige zaken beveiligd zijn. Althans ik doe dat en meld niets meer. Ik durf het risico niet meer te nemen. Laat ze bijvoorbeeld een soort van vrijwaring geven aan mensen die aantoonbaar CEH gecertificeerd zijn (of iets anders). Daarin moet dan worden vastgelegd dat een gemeld lek niet tot vervolging mag leiden mits conform de geldende wet- en regelgeving is gehandeld. Mijn grootste punt is dat het vaak gaat om lekken die nadelige gevolgen kunnen hebben voor onwetenden (klanten veelal). Het voelt niet goed om daar niets mee te doen. Maar het voelt nog minder goed als je weet dat je risico's loopt. Harde garanties, maar ook aan hackerszijde. D.w.z. snel en gedocumenteerd melden zonder media-aandacht of publicatie van het lek.
24-01-2016, 10:26 door karma4
Door Anoniem: Hoe het ook kan:
Habo hotel: OM vond het niet nodig om te vervolgen nadat de onderzoeker verantwoord het lek had onderzocht en gemeld. Het bedrijf wilde toen zelf naar de rechter maar koos eieren voor haar geld.

Ik ben blij dat er een om en rechters zijn om onafhankelijk en per zaak te bekijken of vervolging nodig is en rechters die dan de grenzen bepalen.
Ik heb maar wat voorbeelden gezocht die op het internet te vinden zijn. Prima dit deel van je reactie met de onafhankelijke rechte daar zijn we het over eens.

Echter:
- Habo hotel. Je geeft zelf al aan dat er iets bij het OM lag. Een vervolging/aanklacht gestart niet een denkbeeldig iets.
Dat ze zelf naar de rechter wilden is op zich al erg genoeg als signaal.
- Voor het verhaal Krol is het typisch meer politiek dan techniek http://www.omroepbrabant.nl/?news/173015592/Brenno+de+Winter+Medische+gegevens+op+straat+mogelijk+overtreding+wet.aspx een vijf cijferig/account en wachtwoord dat gelijk is aan elkaar. Het downloaden van gegevens van anderen is niet handig geweest. Je kunt niet ontkennen juridisihe zaak en straf voor de melder. Degene met het datalek ging vrijuit.
- Groene Hart. Je hebt gelijk ik kon die niet meer vinden. Je gaat nu zelf uit van een "zogenaamde onderzoeker" Ik weet niet hoe het exact zit maar hier zit een stuk emotie stemmingmakerij.

Als we onafhankelijke ethische onderzoekers wat werk willen laten kunnen doen zul je een beleid nodig moeten hebben. Dat is de kop van artikel.
Onderzoekers volkomen ethisch en toch voor de rechter zie VW.
http://nos.nl/nieuwsuur/artikel/2051484-miljoenen-auto-s-te-hacken-door-gebrekkige-beveiliging-chip-autosleutel.html
Klokkeluiders worden vooral zwart gemaakt door de bedreigden. Het is lastig de waarheid er uit te halen. Wat dacht je van:http://nos.nl/artikel/2010525-nza-rehabiliteert-klokkenluider-arthur-gotlieb.html
24-01-2016, 12:07 door Joep Lunaar
Door Anoniem 22-01-2016, 15:13:
Ethische hackers zijn hackers die worden ingehuurd door organisaties, om vervolgens *met toestemming* een penetration test uit te voeren.
Deze opvatting van wat ethisch zou zijn, is mij te eng (te beperkt). De met beveiligingsgebreken gemoeide belangen zijn niet slecht die van het bedrijf of de organisatie wiens systemen het betreft. Neem bijvoorbeeld de authentieke registraties bij de overheid, daar is ieders belang mee gemoeid. Het aantonen van gebreken in de informatiebeveiliging mag m.i. niet van toestemming afhangen. Een ander voorbeeld moge zijn dat veel bedrijven uitermate terughoudend zijn met het openbaren van kwetsbaarheden, daar wordt veelal niet slecht het belang van het bedrijf getroffen.

Wat mij betreft besmeurt de politiek de term ''ethical hacking'' door te pretenderen dat dit ook maar iets van doen heeft met ongevraagd en zonder toestemming hacken, om de bevindingen vervolgens aan het ''slachtoffer'' te melden (responsible disclosure).
Zie hierboven. Daarnaast is taalgebruik als "besmeurt de politiek" erg tendentieus, ben ik een beetje allergisch voor, het is dat je het weet.

Leg vandaag de dag maar eens uit als ''ethical hacker'' wat je beroep precies is. De meeste mensen zullen denken dat je een halve crimineel bent, i.p.v. een pentester.
Indien veel mensen moeite hebben om te begrijpen dat hacking ethisch verantwoord kan zijn, is dat een goede reden aan dit onderwerp meer aandacht te besteden; het onbegrip is geenszins een reden om het af te wijzen ! Wat "de mensen" vinden is niet altijd wijsheid.
24-01-2016, 12:16 door Joep Lunaar
Door quikfit: De politiek heeft het beste voor met de privacy...*zucht*
Dé politiek bestaat niet !
Bovendien, de belangrijkste bescherming die jij, wij, voor onze privacy hebben, is die welke door het politieke proces van wetgeving en handhaving van de wetten.
24-01-2016, 12:27 door Joep Lunaar
Door Anoniem: Al uw handelen gaat samen met risico's, zelfs al bent u van mening dat u het met de beste bedoelingen doet behoort u rekening te houden dat de grenzen vaak niet duidelijk zijn. Of dat nu is als u zich op de openbare weg begeeft, een beslissing neemt op uw werk of thuis, en ook wanneer u acties begaat in het cyberdomein. Zeker als u daarbij met uw handelen niet alleen met uw eigen eigendommen werkt maar ook die van anderen. Natuurlijk zouden maar wat graag velen immuniteit hebben als het gaat om de eigen daden. Geen verantwoording hoeven af te leggen voor de eigen daden is het gevolg, maar ook dat iemand anders zijn recht niet kan behalen. Met dat soort privileges voor specifieke personen en bij gevolg het ontnemen van recht van anderen is weinig gelijk. Dat is waar OM en rechters er aan te pas komen. In onze samenleving gaan we naar de rechter als we er op een fatsoenlijke wijze niet uit komen wie gelijk heeft. Het eind is zoek als we recht van privileges laten gelden. En ironisch genoeg ontkom je dan nog niet aan het OM of de rechter en maak je misbruik juist mogelijk via privileges.

Verder, responsible disclosure policy staat niets in de weg om anoniem te melden. En als er echt een oplossing is dan had het Kamerlid er zelf mee moeten komen in plaats van populistisch te verklaren dat hij het indirect oneens is met hoe ons rechtsysteem in elkaar zit.
Het betoog dat ethiek zelden een absolute zaak is kan ik volgen, maar ik wil een kleine nuancering toevoegen.
Het is in concrete gevallen dat de betrokken en soms strijdige belangen gewogen moeten worden, in abstracto is dat uitzonderingen daargelaten, zelden mogelijk. De omstandigheden doen ertoe.

Verder miskent je opmerking over het Kamerlid dat hij als lid van de Tweede Kamer deel uitmaakt van de wetgevende macht en juist uit dien hoofde een taak heeft regels ter discussie te stellen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.