Enkele aanvullingen
Het doel van een CVD/RD beleid of vrijwaring is om er voor te zorgen dat je toestemming hebt. Anders vallen veel acties die je als onderzoeker neemt onder de noemer computervredebreuk en zijn gewoon strafbaar. Het enige wat dit dus doet is je danwel persoonlijk (vrijwaringsverklaring) danwel aan een algemeen publiek (CVB/RD beleid) bekend maken onder welke voorwaarden er toestemming is. Zonder de strafbaarheid van wat de computervredebreuk noemen (Artikel 138ab Strafrecht) zou dit allemaal niet nodig zijn. Dat is de basis en moet niet vergeten worden.
Als je wil beginnen met pentesten lijkt het mij goed om je er ook eens in te verdiepen wat er nu precies wel en niet strafbaar is.Beroepsmatig gaat het vaak om een vrijwaringsverklaring die opgesteld wordt. Daarin spreek je af wie, wanneer, onder welke omstandigheden, met welke tools op welke systemen er getest mag worden. Volgens mij wil dat papier met toestemming bewaren zolang als de verjaringstermijn. (12 jaar, als ik het goed begrijp.)
Niet-beroepsmatig staat die toestemming beschreven in het CVD/RD beleid.
Het lijkt mij verstandig om een kopietje van het CVD/RD beleid te downloaden en deze goed te bewaren. (De volledige 12 jaar, als je het goed wilt doen.) Immers is dat het enige wat je gaat hebben om te laten zien dat je toestemming had en dus niet strafbaar hebt gehandeld. Ook voorkomt het dat een bedrijf halverwege de spelregels kan aanpassen en jij niet meer kunt laten zien wat de eerdere regels waren.
Zelf ben ik van mening dat ook nog een stukje
due dillegence van pentesters/beveiligingsonderzoekers verwacht mag worden. Een vrijwaringsverklaring is leuk, maar hoe weet je zeker dat je opdrachtgever wel eigenaar is van al die systemen die het benoemt? Als het beleid op dezelfde website staat als die getest moet worden (of subdomeinen daarvan) dan zal dat vrij eenvoudig te bepalen zijn. Maar wat als iemand slechts een IP reeks opgeeft? Of ongerelateerde domeinnamen? Mijn inziens is heb je dan ook de plicht om onderzoek te doen naar of deze systemen wel in het beheer zijn van de opdrachtgever, of dat deze graag kwetsbaarheden bij zijn concurrentie wil vinden. Dat 'bewijs' zal niet in altijd sluitend zijn, al kom je met wat WHOIS data of banners op gerelateerde IP adressen wel ver. Het gaat mij er ook niet om dat het helemaal vast staat, zolang je zelf maar zeker bent van je zaak. Ik lees hier echter niks over in alles wat er geschreven wordt over CVD/RD beleid of 'ethisch hacken' terwijl het mij toch wel belangrijk aspect lijkt.
Interesantte vraag dus voor de bezoekers hier: zijn jullie het eens met mij dat pentesters een plicht hebben om te bepalen of de systemen die zij testen wel in het beheer zijn van een opdrachtgever?
Voor mijn post te lang wordt, dan kan nadenken over de volgende punten ook geen kwaad:
Je eigen logging (als tegen bewijs dat je aan de regels hebt gehouden)
De verschillen tussen Coordinated Disclosure/Full Disclosure/Responsible Disclosure (dit heeft een hele geschiedenis)
Er is nog steeds een tekort aan capabele mensen in dit vakgebied. Dus of je hier niet gewoon je beroep van wil maken ;)
Er is een standaard dat websites hun beleid ook bekend maken via de
well-known URI '/.well-known/security.txt', zoals bijvoorbeeld
https://www.facebook.com/.well-known/security.txt