Tweakers in de bocht: het testteam van Tweakers haalt de biometrische USB-stick BioSlimDisk Signature volledig uit elkaar, en ontdekt hoe men de beveiliging voor de gek kan houden. Ze deden dat al eens eerder trouwens. Maar het gaat me deze keer om hoe men omging met de bevindingen:
De lezer zal begrijpen dat we wederom verrukt waren met het resultaat; weer een stick bezweken. Zoals de regels van responsible disclosure vereisen, hebben we uiteraard voor publicatie contact opgenomen met de leverancier. De Nederlandse importeur verwees ons direct door naar de fabrikant. Deze nam vanuit het hoofdkantoor in Singapore contact op.En zo hoort het. Het is in Nederland toegestaan om de beveiliging te testen van je eigen apparatuur. Er zijn uitzonderingen, zoals het aanpassen van regio-restricties of het omzeilen of uitschakelen van kopieerbeveiligingen. En andermans systeem hacken “om de beveiliging te testen” mag natuurlijk niet zonder toestemming.De fabrikant wilde de hack wel erkennen, maar gaf direct aan dat Tweakers.net een prototype getest had, een prototype dat niet op de markt zal verschijnen. In de definitieve stick zouden extra beveiligingen zijn aangebracht die de door ons uitgevoerde hack zouden moeten voorkomen.
De interessante vraag is natuurlijk, wat mag je met het resultaat? Je hebt natuurlijk recht op vrije meningsuiting, ook (juist!) voor maatschappelijk relevante zaken als een onveilig systeem. Vandaar dat zo vaak gepleit wordt voor full disclosure: publiceer alle details over beveiligingsfouten, zodat iedereen er rekening mee kan houden.
Een nadeel van full disclosure is dat ook kwaadwillenden meteen leren van de fouten, en er gebruik van kunnen maken terwijl de fabrikant nog bezig is met de reparatie. Dat pleit dan weer voor geheimhouding. Alleen, ervaringen uit het verleden leren dat niet alle leveranciers even snel aan de slag gaan met gemelde beveiligingsfouten. Full disclosure is voor een deel dan ook een reactie op deze praktijk: publicatie dwingt de leverancier zo snel mogelijk aan de slag te gaan en met een reparatie (bug fix) te komen.
Een tussenvorm is responsible disclosure: geef de leverancier of fabrikant een redelijke tijd om de fout te repareren, en houd de fout geheim zolang er uitzicht is op een snelle reparatie. Blijkt de leverancier onwillig of duurt het onredelijk lang om tot een oplossing te komen, dan publiceer je de fout zodat mensen in ieder geval weten dat het probleem bestaat, en ze een lapmiddel kunnen verzinnen.
Hoe dan ook, publicatie van zulke resultaten mag. Een dergelijke publicatie moet wel duidelijk gericht zijn op een wetenschappelijk of journalistiek doel, en rekening houden met de redelijke belangen van de fabrikant. De publicatie mag niet ontaarden in een recept of instructies om het systeem te kraken, want dat dient geen legitiem doel en is er vooral op gericht de fabrikant schade toe te brengen. En dat mag niet.
Kortom, doe het zoals Tweakers 
Wat overigens helaas niet uitsluit dat je toch juridische problemen tegen kunt komen. Dat ondervond Fox-IT bij het testen van een serie beveiligde USB-sticks. De bedrijven wier producten slecht uit de tests kwamen, begonnen over “smaad” en “reputatieschade”, en dreigden met advocaten. De bedrijven in kwestie hadden het rapport trouwens nog niet gezien toen een van de wel succesvolle firma’s al met een juichend persbericht naar buiten kwam. Dat was inderdaad niet zo netjes. De bedrijven allemaal op de hoogte houden is dus wel belangrijk.
Arnoud