abonneren

Responsible disclosure: alles over ethisch hacken

Responsible disclosure

Inhoudsopgave

  1. > Inleiding
  2. > Lees verder op de volgende pagina
Een groeiend aantal bedrijven maakt gebruik van een responsible disclosure-beleid voor het afhandelen van datalekken. Volgens ethische hackers is dat een goede zaak, maar ‘RD-beleid’ is bepaald niet zonder fouten. In dit artikel gaan we daar wat dieper op in.

Mischa van Geelen was dertien jaar toen hij een lek in de website van VakantieVeilingen ontdekte. Het was het eerste lek dat hij ooit zelf ontdekte, en hij heeft er nu – vijf jaar later – meer dan 500 op zijn naam staan. Nog steeds vindt hij regelmatig softwarelekken in websites of bij bedrijven. Daarbij doorloopt hij de routine die zowel hij als het bedrijfsleven heeft verfijnd: een melding doen bij de juiste persoon, een duidelijke beschrijving van het probleem aandragen en een mogelijke oplossing voorstellen.

Inmiddels loopt hij tegen minder muren aan dan vroeger, toen responsible disclosure nog maar voor een handjevol bedrijven gebruikelijk was. Anno 2017 hebben veel bedrijven op een of andere manier spelregels opgesteld om ethische hackers tegemoet te komen. En terecht, want door datalekken op een nette en verantwoordelijke manier af te handelen voorkom je dat mensen misbruik maken van bugs in je systeem. Bovendien laat je aan de buitenwereld zien dat je professioneel met je it-security omgaat.

Whitehat-hackers

Van Geelen noemt zich inmiddels ‘ethisch hacker’, een titel die veel whitehat-hackers en beveiligingsonderzoekers die aan responsible disclosure doen zichzelf aanmeten. Hun dagelijks werk is in veel gevallen op een of andere manier gerelateerd aan het zoeken naar datalekken: ze werken freelance of in dienst als beveiligingsconsultants, of ze werken in de informatica. In sommige gevallen is het opsporen van datalekken deel van hun werk als pen-testers (‘penetration testers’), maar één ding hebben ze vrijwel allemaal gemeen: het ‘responsible disclosen’ van datalekken doen ze vrijwillig, vanuit een gevoel voor ethiek en een liefde voor veiligheid.

Steeds meer Nederlandse bedrijven tonen interesse in responsible disclosure als beveiligingsmethode. Het kan immers helpen veiliger te blijven tegen datalekken door juist samen te werken met hackers in plaats van ze als de vijand te zien. Bij responsible disclosure houden bedrijven en hackers zich zoals gezegd aan een aantal spelregels voor het melden van kwetsbaarheden in websites of systemen. Op die manier kunnen datalekken op een verantwoorde manier worden doorgegeven, wat moet leiden tot veiliger ict.

Veel van die spelregels liggen voor de hand: een hacker mag vrijelijk rondneuzen in een systeem zonder daarvoor te worden aangepakt, maar moet het bedrijf dan wel tijd geven een lek te dichten zonder het vroegtijdig openbaar te maken. Vanzelfsprekend mag daarbij geen schade aan het systeem worden veroorzaakt en mag de hacker geen persoonsgegevens kopiëren, als hij die vindt.

Een hacker mag vrijelijk rondneuzen in een systeem, maar moet ook tijd geven om het lek te dichten

Een responsible disclosure-beleid kan per bedrijf verschillen, maar er zijn een paar regels die (bijna) altijd naar voren komen.

Garantie: De belangrijkste afspraak is de garantie dat het bedrijf het lek actief dicht en geen aangifte doet, en dat de hacker zich aan de afgesproken regels van het bedrijf houdt.

Uitleg: Een hacker moet het lek zo duidelijk mogelijk uiteenzetten, op een manier die volledig te reproduceren is.

Tijdspanne: Er moet een redelijke tijd zijn een lek te dichten: niet te lang, niet te kort. Houdt een bedrijf zich niet aan die tijd, dan mag de hacker het lek openbaar maken.

Houd het heel: Een hacker mag geen ddos- of bruteforce-aanvallen uitvoeren om een lek te ontdekken, geen gegevens kopiëren en niets in het systeem kapotmaken of permanent veranderen.

Scope: Een bedrijf geeft van tevoren aan welke onderdelen wel of juist niet beschikbaar zijn om kwetsbaarheden over te melden. Testomgevingen zijn bijvoorbeeld vaak uitgesloten van deelname en lekken in systemen met persoonsgegevens worden vaak urgenter behandeld of beter beloond.

Nationaal Cyber Security Centrum-leidraad

Het is moeilijk te zeggen hoeveel bedrijven in Nederland inmiddels een actief RD-beleid hebben. In elk geval maken alle Nederlandse overheidsinstellingen gebruik van een dergelijk beleid, verzameld onder de leidraad van het Nationaal Cyber Security Centrum (NCSC). De grote banken hebben eveneens een eigen beleid, net als de NS en de meeste verzekeraars. Grote bedrijven lijken steeds meer heil te zien in het tegemoetkomen van hackers die datalekken ontdekken en dat op een verantwoordelijke manier willen melden.

Maar belangrijker dan het aantal beleidsmaatregelen dat wordt opgesteld, is de houding van die bedrijven. “Toen ik vijf jaar geleden een melding deed bij ABN Amro, hadden ze geen responsible disclosure-beleid beschikbaar”, vertelt Mischa van Geelen. “Ze reageerden er zelfs heel vijandig op. ‘Wie ben jij? En waarom vertel je ons hoe we onze beveiliging moeten regelen?’, vroegen ze.” Volgens Van Geelen zien bedrijven anno 2017 de waarde van responsible disclosure in, onder meer omdat het niet meer de vraag is óf, maar wannéér je wordt gehackt.

Die manier van werken slaat bij steeds meer bedrijven aan. Het is namelijk een relatief goedkope manier om gaten in software op te sporen, zonder dat je daar een peperduur team aan pen-testers op hoeft los te laten en zonder dat je ontwikkelaars dagen kwijt zijn met bugfixes. Aan de andere kant geeft het hackers de kans hun eigen kennis op niveau te houden en dient het als een waardevol visitekaartje.

Veel hackers zijn immers blij met de mogelijkheid om een lek op een correcte manier te melden, zonder daarbij in de problemen te komen. Niettemin is responsible disclosure verre van perfect. Zoals je verderop kunt lezen, draait het idee volledig om wederzijds vertrouwen, zonder enige garanties dat de spelregels worden nageleefd.

Binnen de tijd

Responsible disclosure

Een belangrijk punt in een RD-beleid is de tijd die een hacker het bedrijf gunt om een lek te dichten. In de meeste gevallen wordt die vooraf gespecificeerd in het beleid, maar bij uitzonderlijke situaties kan er ook in overleg een andere tijdspanne worden afgesproken. Met zo’n afspraak weten beide partijen waar ze aan toe zijn: de hacker weet daarmee dat zijn lek serieus wordt genomen en het bedrijf heeft een belangrijke motivatie om het lek ook daadwerkelijk te dichten – anders wordt het openbaar gemaakt en kan het makkelijk worden misbruikt. Maar wat is een realistische tijdspanne om een bug te fixen? En wie bepaalt dat? Als de hacker die het lek ontdekt daar anders over denkt dan het bedrijf, kan dat frictie opleveren.

Dat gebeurde bijvoorbeeld tijdens de Heartbleed-bug die begin 2014 werd ontdekt in OpenSSL. Het Finse onderzoeksbedrijf Codenomicon besloot Heartbleed wel te melden aan onder meer CloudFare, maar niet aan andere grote webdiensten die eveneens van OpenSSL gebruikmaakten. Daardoor werd een groot deel van het internet kwetsbaar voor de bug toen die eenmaal openbaar werd gemaakt.

Volgens sommige critici had Heartbleed dan ook niet zozeer met responsible disclosure te maken, maar met marketing van een tot dan toe relatief obscuur Fins beveiligingsbedrijf dat na bekendwording van het lek internationale aandacht kreeg. Codenomicon vond dat het rechtvaardig handelde door het lek te melden aan het Finse National Cyber Security Center, maar de afhandeling leidde tot een discussie over hoelang onderzoekers moeten wachten voordat zij een lek openbaar maken en aan wie je dat allemaal moet melden. Wie heeft dan de sterkste hand?

Beloning voor ethisch hacken

En daar komt de ethiek om de hoek kijken, zowel de kracht als de achilleshiel van responsible disclosure. Een goed RD-beleid zorgt dat het bedrijf een hacker tegemoetkomt, én andersom. Het mes moet in zo’n geval aan twee kanten snijden, maar buiten een ‘gentlemen’s agreement’ biedt een responsible disclosure-beleid geen enkele juridische garanties. In theorie kan een bedrijf ook na het repareren van een datalek aangifte doen tegen een hacker, en niets weerhoudt de hacker ervan om het lek alsnog vroegtijdig openbaar te maken. Je kunt je daarom afvragen wat de reden is dat hackers daaraan zouden meedoen.

Terwijl bedrijven een RD in de regel opstellen uit praktische of financiële overwegingen, doen whitehat-hackers voornamelijk aan RD voor de eer – al speelt er voor hackers wel meer dan alleen hun gevoel voor rechtvaardigheid en ethisch besef. Loran Kloeze, een ethisch hacker die onder meer bekend werd toen hij liet zien dat de Stemwijzer lek was, zegt dat ook hackers niet helemaal altruïstisch te werk gaan. “Hackers dragen het aantal RD’s op hun naam als een eremedaille, iets waarmee je kunt laten zien hoe goed je bent. Opdrachtgevers of klanten kijken juist daarnaar, niet naar een diploma. Een groot aantal disclosures op je naam is waardevoller dan welke opleiding dan ook.”

Daarom is een ‘hall of fame’ ook zo belangrijk. Daarop wordt een overzicht geplaatst van de hackers die een lek hebben gevonden en een korte beschrijving met wat er precies is gerepareerd. Niet dat zo’n website veel bezoekers trekt, maar dat is ook niet de bedoeling. Ethisch hackers kunnen zulke vermeldingen in hun eigen portfolio opnemen om te laten zien wat ze waard zijn.

Responsible disclosure

Responsible disclosure gaat doorgaans gepaard met een beloning, maar wat dat concreet inhoudt, verschilt per bedrijf. Soms is het een klein geldbedrag, soms een t-shirt of een ander cadeautje –PCM-uitgever Reshift geeft bijvoorbeeld soms een Raspberry Pi-pakket weg voor het melden van een lek. Eigenlijk doet de aard van de beloning er ook niet toe, vindt Van Geelen. Toen hij een aantal jaren geleden na heel lang mailen en overtuigen een cadeaubon kreeg voor het melden van een lek bij ABN Amro (dat toen nog geen officieel RD-beleid had), voelde hij zich afgescheept.

“Ze bleven maar vragen: ‘Wat wil je dán?’ Ze begrepen het maar niet. Het ging me helemaal niet om die cadeaubon of om geld, of wat dan ook. Het enige wat ik wilde, is een oprecht bedankje.” Het is een sentiment dat bij meer hackers speelt. Serieus genomen worden, voelen alsof je hebt bijgedragen aan een veiliger wereld. Daarom was Van Geelen ook blijer met zijn eerste hack op VakantieVeilingen. Daarvoor kreeg hij niet alleen een cadeaubon, maar ook een stage aangeboden – iets waar hij in zijn verdere carrière veel meer aan heeft gehad dan aan een geldbedrag.

Loran Kloeze onderschrijft het feit dat de beloning niet het belangrijkst is. Kloeze richt zich sowieso grotendeels op overheidsinstellingen, en die geven geen geldbedragen weg maar enkel t-shirts. “Je doet het vanuit je ethisch besef en het feit dat je de wereld een stukje veiliger wilt maken.”

Geschreven door: Tijs Hofmans op

Category: Blog

Tags: Hack, Security, , Heartbleed

Nieuws headlines

Laatste reactie