Hacken volgens de regels: responsible disclosure

Stel, uw buurman vergeet z’n voordeur op slot te doen. Wat doet u dan: zet u op Facebook dat z’n voordeur niet op slot is of stuurt u hem even een privéberichtje? In dat laatste geval handelt u volgens de principes van ‘responsible disclosure’: het op verantwoorde wijze melden van een beveiligingsprobleem. In de toekomst gaat u responsible disclosure vaker tegenkomen en dat is maar goed ook.

Responsible disclosure speelt vooral een steeds grotere rol binnen de ICT-sector.  Daarom kunt u er gerust van uitgaan dat responsible disclosure zo goed als altijd betrekking heeft op de beveiliging van ICT-gerelateerde toepassingen zoals computers, telefoons, websites, apps, besturingssystemen (Windows, Apple) en cloudtoepassingen.

Een onveilige website

We nemen als een voorbeeld een website. Een website bevat meestal bugs. Een bug (een foutje van de programmeur) kan ertoe leiden dat een bepaalde tekst niet goed wordt weergegeven of dat een plaatje niet goed geladen wordt. Dat is niet de bedoeling maar levert geen grote problemen op. Een website kan echter ook een bug bevatten waardoor iemand uiteindelijk toegang kan krijgen tot de back-end: het gedeelte van een website waar je de inhoud van de website kunt wijzigen. Zo’n back-end hoort natuurlijk niet toegankelijk te zijn voor een bezoeker en is daarom meestal goed beveiligd. Een bug kan er echter voor zorgen dat de beveiliging van de back-end onvoldoende is waardoor kwaadwillenden de website kunnen overnemen.

Responsible disclosure

Nu ben ik een bezoeker van een website en vind ik het leuk om beveiligingsbugs in websites op te sporen maar dat mag en kan niet zomaar. De wet en mijn ethische antenne verbieden mij om uitgebreid op onderzoek uit te gaan op andermans website. Ik kan tenslotte iets beschadigen of gegevens boven water halen die niet voor mijn ogen zijn bestemd. Gelukkig hebben steeds meer website-eigenaren een responsible disclosure policy waardoor ik meer vrijheid heb om een website te testen en onderzoeken.

De responsible disclosure policy van de gemeente Apeldoorn

Met een responsible disclosure policy zegt de eigenaar van een website tegen iedereen: probeer gerust veiligheidsproblemen op te sporen binnen bepaalde grenzen. Of anders gezegd: denk je ons te kunnen hacken dan ben je bij deze uitgenodigd je uiterste best te doen binnen de grenzen van de responsible disclosure policy. Heb je een veiligheidsprobleem gevonden? Dan meld je dat aan ons en niemand anders. We zullen geen aangifte doen bij de politie zolang je gehandeld hebt volgens de richtlijnen van de responsible disclosure policy. Heb je aangetoond dat het een beveiligingsprobleem is, dan ontvang je van ons een dank-je-wel en eventueel een beloning.

In een responsible disclosure policy staan meestal deze onderdelen:

  • Wat mag je ‘hacken’?
    Bijvoorbeeld welke websites of apps mag je testen.
  • Wat mag je niet?
    Het uitgangspunt is vaak dat alles mag behalve… Je mag meestal niet grote hoeveelheden netwerkverkeer op gang brengen, medewerkers misleiden of grote hoeveelheden gevoelige data binnenhalen.
  • Wat is niet een kwetsbaarheid?
    Alleen echte kwetsbaarheden vallen binnen responsible disclosure. Een knopje dat niet werkt of een spelfout zijn geen kwetsbaarheden.
  • Andere regels
    Verder zal in een responsible disclosure staan dat je niets zonder toestemming openbaar mag maken of zelfs dat je het niet mag bespreken met anderen.
  • Opvolging
    Het bedrijf of de organisatie zal meestal in een responsible disclosure policy beschrijven hoe ze te werk gaan na een melding. Dan gaat het bijvoorbeeld om wanneer je een eerste reactie mag verwachten of wanneer een oplossing ontwikkeld zal zijn.
  • Beloning
    En tenslotte zal er iets staan over de beloning. Je kunt bijvoorbeeld een geldbedrag ontvangen, een t-shirt of cadeaubonnen. Die geldbedragen zijn soms hoog, enkele honderden tot tienduizenden dollars/euro’s.

Responsible disclosure is voor iedereen interessant en belangrijk

Steeds meer grote bedrijven en organisaties maken gebruik van responsible disclosure en ik zie dat als een goede ontwikkeling. Je maakt namelijk gebruik van een uitgebreide groep veiligheidsspecialisten of zo je wilt, ethische hackers. Een goede ethische hacker heeft op alle vlakken een technisch en creatief inzicht. Maar elke ethische hacker heeft ook zo z’n specialisme. En door al die hackers uit te nodigen om je beveiliging te testen, wordt je beveiliging aan het uitgebreidste onderzoek denkbaar onderworpen. Daarbij is de kostprijs van responsible disclosure laag. Je hoeft alleen een beloning uit te keren indien er een beveiligingsprobleem wordt gevonden. Wel maak je kosten om al die meldingen te beoordelen en af te handelen. Ik zie zelf het grootste voordeel voor bedrijven en organisaties in de toegang tot een grote groep ethische hackers.

Maar responsible disclosure kent ook voordelen voor de ethische hackers zelf. Ze kunnen hun kennis vergroten en op peil houden. Ze bouwen een reputatie op waar geen opleiding tegenop kan. Jonge hackers die anders het verkeerde pad zouden kiezen, kiezen sneller voor het juiste pad omdat het aantrekkelijker voor ze wordt gemaakt. En de beloningen van nette responsible disclosure meldingen worden ook steeds hoger.

Bedrijven en organisaties

In het kader van responsible disclosure speur ik als ethische hacker zelf ook regelmatig naar veiligheidsproblemen. Dat doe ik voornamelijk om mijn kennis op peil te houden en de beloningen zijn soms ook interessant.

Dat zoeken naar kwetsbaarheden doe ik vaak bij ICT-systemen van de Nederlandse overheid. Ze hebben een algemene responsible disclosure policy die opgesteld is door het Nationaal Cyber Security Centrum (NCSC). Ze nodigen mensen uit om ‘zwakke plekken’ in een ICT-systeem van de overheid bij ze te melden. Dat doe ik regelmatig en die kwetsbaarheden vind ik vaak op verschillende websites van de (Rijks)overheid. Ook bij de Belastingdienst heb ik recentelijk een mogelijke kwetsbaarheid gevonden wat resulteerde in een trofee.

Ook de grote banken in Nederland hebben een responsible disclosure policy. Voor banken is veiligheid topprioriteit en dat laten ze wat mij betreft ook zien door een responsible disclosure policy te hebben. Met banken heb ik zelf ook al enkele malen ervaring gehad met betrekking tot kwetsbaarheden. De banken staan echter nooit toe dat ik in de openbaarheid treed over de kwetsbaarheden die ik heb gevonden.

Een gedeelte van de responsible disclosure policy van de Rabobank

Buiten Nederland is Facebook een bedrijf wat een uitgebreide responsible disclosure policy heeft. Bij Facebook heb ik vorig jaar een kwetsbaarheid gevonden bij WhatsApp. WhatsApp is onderdeel van Facebook en Facebook heeft een algemene responsible disclosure voor álle onderdelen, websites en apps die onder hun beheer vallen.

Er zijn websites die bedrijven met een responsible disclosure policy en ethische hackers bij elkaar brengen. Een voor ethische hackers bekende website is HackerOne. Een ethische hacker kan dan snel te weten komen of een bedrijf een responsible disclosure policy heeft en kan ook direct zien wat de eventuele beloningen zijn bij een gevonden en gemelde kwetsbaarheid.

De wet

In de wet is vastgelegd dat je niet mag inbreken op andermans computer, server, telefoon, website of ander ICT-systeem. Dat is gelukkig strafbaar. Een uitnodiging van een bedrijf om hun beveiliging uit te testen volgens responsible disclosure, verandert daar niets aan. In een responsible disclosure policy in Nederland staat dan ook nooit de garantie dat je niet vervolgd wordt als je een poging doet om de beveiliging te doorbreken. Wel zegt het bedrijf dat ze geen aangifte zullen doen tegen jou als beveiligingsonderzoeker mits je volgens de regels van de responsible disclosure policy hebt gehandeld. In de praktijk betekent dat bijna altijd dat je niet vervolgd wordt maar in Nederland werkt het als volgt: het Openbaar Ministerie mag bijna altijd uit zichzelf tot vervolging overgaan ongeacht of er een aangifte ligt. Er zijn uitzonderingen maar daar hoort computervredebreuk niet bij. Dus volledige garantie op geen vervolging zal niet mogelijk zijn.

Een citaat uit ‘Leidraad om te komen tot een praktijk
van Responsible Disclosure’ van het NCSC waarin geen garantie op niet-vervolging wordt gegeven

De beloning

Steeds meer bedrijven en organisaties keren een beloning uit als je ze op de hoogte brengt van een kwetsbaarheid in een van hun ICT-systemen. Bij de Nederlandse overheid gaat het meestal om een t-shirt of VVV-bonnen tot een waarde van 300 euro. Bij Facebook is de minimale beloning 500 dollar en de maximale beloning weet ik niet maar enkele tienduizenden dollars is niet ongewoon bij zeer kritieke kwetsbaarheden. Een van de banken waar ik kwetsbaarheden heb gemeld, heeft cadeaubonnen van Amazon uitgekeerd. Verder keert Twitter ook maximaal 15.000 dollar uit bij de meest kritieke kwetsbaarheden. Voor kleinere bedrijven is dat te duur maar veel ethische hackers doen het niet alleen voor het geld of zelfs helemaal niet. Daarmee wordt responsible disclosure ook bereikbaarder voor kleinere bedrijven.

Een lijst met beloningen uitgekeerd via HackerOne door onder meer Uber

Omdat de beloningen hoger worden, ontstaat er ook een groeiende groep hackers die kan leven van het vinden van kwetsbaarheden binnen ICT-systemen van bedrijven met een responsible disclosure. Als je elk jaar een kwetsbaarheid van 15.000 dollar vindt en elke week een paar van 250 dollar dan kun je er goed van leven inderdaad. En dat is best haalbaar als je een goede ethische hacker bent die het kennisniveau op peil houdt.

Kortom, responsible disclosure is goed voor bedrijven omdat het je ICT-systemen aan de meest uitgebreide tests onderwerpt terwijl je er zelf de controle over houdt. En responsible disclosure is goed voor beveiligingsspecialisten/ethische hackers omdat hun kennisniveau op peil blijft, ze er een beloning voor krijgen en het ook nog eens leuk is om te doen!

Meer weten? Neem contact op met mij: Loran Kloeze, [email protected] of @lorankloeze

Eén gedachte over “Hacken volgens de regels: responsible disclosure”

Reacties zijn gesloten.