Tiradeweek: Oh, en iemand wijzen op een vulnerability is dus géén strafbaar feit

cant-hear-you-epo-eob-software-patent-octrooi.pngKondig je een tiradeweek aan, krijg je allemaal tips van mensen met dingen waar je tenen van gaan krullen: Stop checking our code for vulnerabilities, aldus de (inmiddels ex-) Chief Security Officer van Oracle. Het doet me denken aan de standaardreactie van wel meer bedrijven: je meldt een probleem, en de reactie is niet “oh dat was stom, het wordt gefixt” maar “uw handelen is strafbaar ex art. 138ab Strafrecht” en vervolgens niets doen met de melding.

Een bekend probleem ja, en iets dat met responsible disclosure opgelost zou moeten zijn. Maar het blijft rondzingen. En wat me vooral zo frustreert, is het onbegrip voor die mensen die met zo’n tip aan komen zetten. Alsof het normaal is om te zeggen “rot op met je tip, jij bent strafbaar”.

Kijk. Natuurlijk is het ergens gek dat iemand aan je raam rammelt en dan zegt “joh, weet je dat dat raam van je heel gammel is”. Of ineens in de keuken staat en zegt “jij moet écht een beter slot op je achterdeur nemen hoor, hier zijn trouwens je koekjes, je kelderluik moet ook nodig gepatcht”. In het normale leven gebeuren die dingen niet, afgezien van een enkele buurman die je erop wijst dat je deur open staat.

Dit is echter een van die weinige situaties waarin het internet écht anders is dan de echte wereld en vergelijkingen niet opgaan, ook niet met auto’s.

En de reden dát het anders is, is dat internetdiensten van de software aan elkaar hangen. En iedereen weet: software, dat is kwetsbare ellende die je elke dag moet bijwerken. Dat doet niemand, en daardoor hebben we steeds die puinhoop met hacks, datalekken, DDOS aanvallen en ga zo maar door. Er is ook – waarom mag Joost weten – geen wet die zegt dat je je systemen veilig moet inrichten zodat je geen digitale overlast aanricht.

Het is dus legaal om een lekke puinzooi online te zetten, er nul kwaliteitscontrole op te doen, gevaar voor jezelf en anderen te scheppen. En dan heb je mensen die als ze daar een tip over krijgen, reageren met dat de kláger strafbaar is. Sorry maar daar zakt mijn broek van af. Wat mij betreft is het vanaf nu verboden te dreigen met aangifte of rechtszaken tenzij je kunt aantonen je veiligheidszaakjes op orde te hebben.

Arnoud

10 reacties

  1. Natuurlijk is het ergens gek dat iemand aan je raam rammelt en dan zegt “joh, weet je dat dat raam van je heel gammel is”

    In de praktijk is het natuurlijk vaak niet zomaar een raam van zomaar een huis, maar meer de kluis van een bank waar jouw waardevolle spulletjes en die van je vrienden liggen opgeslagen. En dan vind ik het helemaal niet gek dat iemand zegt: “Hee jij daar, we vertrouwden er op dat je goed op onze spulleboel zou passen, wat is dit voor onzin dat ik hier zomaar binnen kan komen?”

  2. Het is dat je bij de apotheek met het “wie is de volgende” bonnetje van vorige week de medicijnen van iemand anders krijgt en dan zegt ik ben niet jan jansen Het is dat je bij de xyz naar de wc gaat en dan het archief in kan lopen

    Soort van ongeveer.

  3. Het is dus legaal om een lekke puinzooi online te zetten, er nul kwaliteitscontrole op te doen, gevaar voor jezelf en anderen te scheppen

    Dit is natuurlijk niet helemaal waar. Het is alleen legaal wanneer er geen persoonsgegevens mee gemoeid zijn. Zodra er persoonsgegevens worden verwerkt geldt artikel 13 WBP en is het verplicht om een organisatorisch en technisch goede beveiliging te hebben (met vanaf 1 januari dikke boetes).

  4. Er zitten hier nog wel een aantal haken en ogen aan.

    • Wat als het lek gevonden is middels security software zoals Metasploit? Beide criminelen en security onderzoekers maken hier gebruik van. Het hebben van software met als hoofddoel het doorbreken van beveiliging kan illegaal zijn.

    • Sommige lekken zijn het gevolg van het doorbreken van bestaande veiligheidsmaatregelingen. Bijvoorbeeld SQL injectie via de url-bar. Dan zijn sommige tekens wel uitgeschakeld, maar uitheemse symbolen kunnen wel werken. Een vergelijking met een auto: De deur is stevig op slot en het raam is dicht, maar met een sleutelwipper kun je alsnog de deur van slot halen. Dit zijn dezelfde tools die sleutelmakers gebruiken als je buiten je eigen auto bent gesloten.

    • Sommige “onderzoekers” melden wel een probleem, maar zeggen erbij: Voor $1000 kan ik het voor je oplossen. Zo niet, dan ga ik naar de media. Dit komt dan dicht bij afpersing, terwijl het de normale stappen van responsible disclosure volgt.

    • Wat als bij de opsporing van de fout schade is ontstaan aan het netwerk? Bijvoorbeeld je test of een website bestand is tegen persistent XSS door een bericht te posten met alert(1), en je bericht eindigt op de frontpage, dan zal iedere bezoeker een popup alert krijgen. Hier nog vrij onschuldig, maar er zit een grens aan de schade en overlast die je mag veroorzaken.

    • Brute force en social engineering. Henk Krol “hackte” het EPD middels social engineering: Hij vroeg om het wachtwoord en kreeg deze ook. Dan is er wel iets mis in het protocol (wachtwoorden moeilijker te raden maken, vaker wisselen, consequenties van ongeoorloofd delen duidelijk maken etc.) maar zo’n soort aanval kan op de best beveiligde sites werken. Een systeem dat vatbaar is voor brute-force is niet goed beveiligd. Desondanks zal een brut force wachtwoord aanval niet snel onder een responsible disclosure worden gerekend.

    • Clumsy disclosure. De onderzoeker meld het probleem responsibly, maar gaat daarna ergens de mist in en verspreid het lek alvorens het kan worden opgelost.

    • Impossible disclosure. De onderzoeker meld het probleem, maar dit probleem is niet op te lossen door de fabrikant, maar vereist een handeling door haar klanten. Bijvoorbeeld in het geval van valse certificaten. Daarna publiceert de onderzoeker het self-signed certificaat. Alle klanten die geen update hebben uitgevoerd zijn nu kwetsbaar.

    Ikzelf ben van mening dat:

    • Responsible disclosure formulieren of een security@ email, net als een contact pagina, verplicht moet zijn voor grote bedrijven en bedrijven die met persoonsgegevens omgaan. De regels/protocollen kunnen we overnemen van Fox-It en het NCSC. Hierin melden bedrijven de voorwaarden voor een responsible disclosure en beloven dat ze geen gerechtelijke stappen zullen ondernemen, mits aan de voorwaarden is voldaan. Bedrijven zonder responsible disclosure policy is een té grijs gebied, waar je je niet aan moet branden.
  5. Wat als het lek gevonden is middels security software zoals Metasploit? Beide criminelen en security onderzoekers maken hier gebruik van. Het hebben van software met als hoofddoel het doorbreken van beveiliging kan illegaal zijn.

    Dan is het extra belangrijk dat het lek snel gefikst wordt. Aangezien metasploit ook door scriptkiddies en echte (wannabe?) cybercriminelen gebruikt wordt, is er grote kans dat er nu al mensen slachtoffer van worden.

    Sommige lekken zijn het gevolg van het doorbreken van bestaande veiligheidsmaatregelingen. Bijvoorbeeld SQL injectie via de url-bar. Dan zijn sommige tekens wel uitgeschakeld, maar uitheemse symbolen kunnen wel werken. Een vergelijking met een auto: De deur is stevig op slot en het raam is dicht, maar met een sleutelwipper kun je alsnog de deur van slot halen. Dit zijn dezelfde tools die sleutelmakers gebruiken als je buiten je eigen auto bent gesloten.
    SQL-injectie is een al zó oud en zó bekend probleem dat als je als developer een website zo bouwt dat ‘ie kwetsbaar is voor SQL-injectie, dat meer te vergelijken is met de voordeur wagenwijd open laten staan.
    Impossible disclosure. De onderzoeker meld het probleem, maar dit probleem is niet op te lossen door de fabrikant, maar vereist een handeling door haar klanten. Bijvoorbeeld in het geval van valse certificaten. Daarna publiceert de onderzoeker het self-signed certificaat. Alle klanten die geen update hebben uitgevoerd zijn nu kwetsbaar.
    Ik kan me voorstellen dat dit geval erg vervelend is, maar ook dan is het voor mij als klant van belang dat ik het weet en actie kan ondernemen. Want reken maar dat alle lekken die er zijn eerder gevonden worden door crackers dan door beveiligingsonderzoekers. Van elk lek dat gevonden wordt, kun je er dus vanuit gaan dat je kwetsbaar bent. En als ’t enkel gaat om mijn vakantiefoto’s is dat niet erg, maar vaak gaat het om veel meer dan dat.

  6. Sorry maar daar zakt mijn broek van af.

    Helemaal mee eens. Het past overigens wel helemaal binnen de Nederlandse, en ik denk ook algemeen Westerse, houding dat kritiek absoluut not done is. Iedereen zegt open te staan voor kritiek, maar ze staan het niet: de kritikaster wordt vijandig gejegend en de kritiek genegeerd.

    Dit blog is een van de gunstige uitzonderingen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.