Reacties op: Wanneer is een responsible disclosure beleid rechtsgeldig? https://blog.iusmentis.com/2017/02/14/wanneer-is-responsible-disclosure-beleid-rechtsgeldig/ Internetrecht door Arnoud Engelfriet Sun, 26 Feb 2017 09:12:17 +0000 hourly 1 https://wordpress.org/?v=4.7.2 Door: hAl https://blog.iusmentis.com/2017/02/14/wanneer-is-responsible-disclosure-beleid-rechtsgeldig/#comment-828054 Mon, 20 Feb 2017 08:49:43 +0000 https://blog.iusmentis.com/?p=9240#comment-828054 Jij noemt het nalatigheid belonen maar vind voortijdige disclosure juist ook het in gevaar brengen van de privacy van bijvoorbeeld klanten van de lekkende bedrijven die er niks aan kunnen doen. Er wordt te gemakkelijk voorbijgegaan aan het feit dat de slachtoffers van hacks vaak gewone mensen zijn die niks kunnen doen aan die hacks.

En ook vind ik het nogal makkelijk om te stellen dat bedrijven de zaakjes niet op orde hebben. Vaak is dat namelijk veroorzaakt door slecht opgeleverde producten van ICT leveranciers en kunnen die bedrijven waar de lekken worden gevonden daar zelf weinig of niets aan doen. Hoogstens jaag je hen op extra kosten door een spoedklus aan te vragen bij hun leveranciers en profiteren die ICT leveranciers dubbel van hun gemaakte fouten.

]]>
Door: Sven Slootweg https://blog.iusmentis.com/2017/02/14/wanneer-is-responsible-disclosure-beleid-rechtsgeldig/#comment-827763 Thu, 16 Feb 2017 18:29:38 +0000 https://blog.iusmentis.com/?p=9240#comment-827763 Misschien een kwestie van semantiek, maar ik zie responsible disclosure als een contract tussen twee partijen.

Dat is het niet. Responsible disclosure is een gunst vanuit de infosec-gemeenschap tegenover vendors. Als vendors het spelletje niet meespelen, dan is die gunst net zo snel weer ingetrokken, en valt het terug naar full disclosure.

Zoals een verkoopcontract niet eenzijdig kan worden afgesloten, zo kan een responsible disclosure niet gebeuren zonder samenwerking van twee partijen (de melder en de organisatie).

Dat is onjuist; responsible disclosure vereist geen medewerking van de vendor, het enige dat vereist is is dat de melder de vendor de kans geeft om mee te werken.

Inderdaad. De vraag gaat over een responsible disclosure beleid. Dit beleid wordt opgesteld door de organisatie (niet de melder). De oplos-termijn dient, volgens gangbaar beleid, in samenwerking te worden vastgesteld, en dus niet: “Maakt me niet uit of dit een onoplosbaar probleem is, ik publiceer hoe dan ook in 60 dagen. Your move!”.

Een responsible-disclosure-beleid is een voorstel vanuit een vendor aan onderzoekers. Het staat melders vrij om dat voorstel te verwerpen. Voor responsible disclosure is het uitdrukkelijk niet vereist om vendor-beleid op te volgen – de machtsverhouding ligt andersom.

Die Leidraad is wel zeker relevant. Het gaat om rechtsgeldigheid van clausules in een responsible disclosure beleid. Een rechter zal eerder kijken naar de Leidraad, dan naar een “gangbare” definitie in de hackerwereld.

Tot het moment dat het publiceren van lekken als iets strafbaars gezien wordt, zijn de toezeggingen in zo’n beleid volkomen irrelevant. Medewerking van de vendor is, wederom, niet vereist.

]]>
Door: Sven Slootweg https://blog.iusmentis.com/2017/02/14/wanneer-is-responsible-disclosure-beleid-rechtsgeldig/#comment-827762 Thu, 16 Feb 2017 18:24:33 +0000 https://blog.iusmentis.com/?p=9240#comment-827762 Google & Full Disclosure: http://www.computerworld.com/article/2518900/security0/google-researcher-gives-microsoft-5-days-to-fix-xp-zero-day-bug.html

Dit lijkt me een geval dat meer naar full disclosure neigt, niet zozeer responsible disclosure. Echter dateert het van voor Project Zero (dat een responsible-disclosure-beleid vaststelde).

BTW: Google gaf Microsoft laatst voor een actieve exploit 60 dagen, en publiceerde exact op de 60e dag (3 dagen voordat de geplande patch uitkwam).

Ik zie daar geen probleem mee, behalve dat 60 dagen erg ruim is. De deadline is gesteld, Microsoft heeft die overschreden, dus het lek gaat publiek. Als Microsoft er niet genoeg prioriteit aan stelt om het op tijd op te lossen, is dat hun probleem. Het is geen geval van “kunnen”, het is een geval van “bereid zijn te investeren in”.

]]>
Door: Thorvald https://blog.iusmentis.com/2017/02/14/wanneer-is-responsible-disclosure-beleid-rechtsgeldig/#comment-827759 Thu, 16 Feb 2017 17:06:21 +0000 https://blog.iusmentis.com/?p=9240#comment-827759 https://blogs.msdn.microsoft.com/ericlippert/2003/10/28/how-many-microsoft-employees-does-it-take-to-change-a-lightbulb/

]]>
Door: Thorvald https://blog.iusmentis.com/2017/02/14/wanneer-is-responsible-disclosure-beleid-rechtsgeldig/#comment-827755 Thu, 16 Feb 2017 16:41:40 +0000 https://blog.iusmentis.com/?p=9240#comment-827755 [Duplicate] (Sorry, denk dat de cache niet ververste)

]]>
Door: Thorvald https://blog.iusmentis.com/2017/02/14/wanneer-is-responsible-disclosure-beleid-rechtsgeldig/#comment-827752 Thu, 16 Feb 2017 16:04:58 +0000 https://blog.iusmentis.com/?p=9240#comment-827752 Zoals ik in mijn andere reactie al uitgelegd heb, is dit onjuist. Het zonder overleg publiceren van een lek als de deadline is verstreken is een essentieel onderdeel van het responsible-disclosure-proces. “Responsible” refereert hier niet enkel aan “verantwoordelijk tegenover de vendor”, maar ook aan “verantwoordelijk tegenover de maatschappij”. En het omzeilen van een lastige vendor is daar gewoon een onderdeel van.

Misschien een kwestie van semantiek, maar ik zie responsible disclosure als een contract tussen twee partijen. Zoals een verkoopcontract niet eenzijdig kan worden afgesloten, zo kan een responsible disclosure niet gebeuren zonder samenwerking van twee partijen (de melder en de organisatie).

Je gaat als melder het proces in met de hoop dat het probleem in samenwerking wordt opgelost. Reageert het bedrijf niet dan is het proces mislukt. Een eventuele disclosure is dan helemaal het pakkie van de melder: Er zijn bijvoorbeeld dan geen garanties/toezeggingen van geen-gerechtelijke-stappen clausule.

Je presenteert het hier alsof het de vendors zijn die de regels stellen, maar dat is dus niet zo.

Inderdaad. De vraag gaat over een responsible disclosure beleid. Dit beleid wordt opgesteld door de organisatie (niet de melder). De oplos-termijn dient, volgens gangbaar beleid, in samenwerking te worden vastgesteld, en dus niet: “Maakt me niet uit of dit een onoplosbaar probleem is, ik publiceer hoe dan ook in 60 dagen. Your move!”.

Die Leidraad kan zoveel zeggen, maar het is geen universeel woordenboek. De definitie van “responsible disclosure” verandert dus niet omdat de Leidraad er iets anders over vindt.

Die Leidraad is wel zeker relevant. Het gaat om rechtsgeldigheid van clausules in een responsible disclosure beleid. Een rechter zal eerder kijken naar de Leidraad, dan naar een “gangbare” definitie in de hackerwereld.

]]>
Door: Thorvald https://blog.iusmentis.com/2017/02/14/wanneer-is-responsible-disclosure-beleid-rechtsgeldig/#comment-827747 Thu, 16 Feb 2017 15:43:40 +0000 https://blog.iusmentis.com/?p=9240#comment-827747 Google & Full Disclosure: http://www.computerworld.com/article/2518900/security0/google-researcher-gives-microsoft-5-days-to-fix-xp-zero-day-bug.html

Ormandy admitted that he reported the vulnerability to Microsoft only five days ago — on Saturday, June 5 — but said he decided to go public because of its severity, and because he believed Microsoft would have otherwise dismissed his analysis. “If I had reported the … issue without a working exploit, I would have been ignored,” he said in the Full Disclosure posting.

Zie Google’s positie: https://security.googleblog.com/2010/07/rebooting-responsible-disclosure-focus.html

BTW: Google gaf Microsoft laatst voor een actieve exploit 60 dagen, en publiceerde exact op de 60e dag (3 dagen voordat de geplande patch uitkwam).

]]>
Door: Sven Slootweg https://blog.iusmentis.com/2017/02/14/wanneer-is-responsible-disclosure-beleid-rechtsgeldig/#comment-827746 Thu, 16 Feb 2017 15:39:32 +0000 https://blog.iusmentis.com/?p=9240#comment-827746 Ikzelf vind deze dwangmatige opstelling een beetje lelijk, en gevaarlijk klinken: “Maak deze bug in 60 dagen, of anders!!!”.

Dit blijkt helaas noodzakelijk. Ik zie ook niet waarom je problemen met dit beleid zou hebben, tenzij je doel is om het oplossen van veiligheidslekken een lagere prioriteit te geven – en het voorkomen daarvan is nu precies de bedoeling van dit beleid!

In de Leidraad is ook sprake van toestemming, overeenkomen, en overleg:

Die Leidraad kan zoveel zeggen, maar het is geen universeel woordenboek. De definitie van “responsible disclosure” verandert dus niet omdat de Leidraad er iets anders over vindt.

Als een disclosure niet op verantwoorde wijze gebeurd (Bijvoorbeeld: bug wordt gepubliceerd/gedeeld, zonder overleg, voordat deze is opgelost) of in samenwerking met melder en organisatie (Bijvoorbeeld: De organisatie reageert niet), dan is geen sprake van een responsible disclosure.

Zoals ik in mijn andere reactie al uitgelegd heb, is dit onjuist. Het zonder overleg publiceren van een lek als de deadline is verstreken is een essentieel onderdeel van het responsible-disclosure-proces. “Responsible” refereert hier niet enkel aan “verantwoordelijk tegenover de vendor”, maar ook aan “verantwoordelijk tegenover de maatschappij”. En het omzeilen van een lastige vendor is daar gewoon een onderdeel van.

Je presenteert het hier alsof het de vendors zijn die de regels stellen, maar dat is dus niet zo. Het is in de praktijk nog steeds de keus aan de vinder om te bepalen hoe het lek te publiceren, en dan mag je als vendor blij zijn met een deadline van 60 dagen, wat al bijzonder ruim is (en m.i. veel te ruim). Daar doen beloftes over “geen aangifte doen” niets aan af.

]]>
Door: Thorvald https://blog.iusmentis.com/2017/02/14/wanneer-is-responsible-disclosure-beleid-rechtsgeldig/#comment-827745 Thu, 16 Feb 2017 15:33:54 +0000 https://blog.iusmentis.com/?p=9240#comment-827745 Anecdote: Ik heb meerdere responsible disclosures gedaan en nooit om organisaties te dwingen om tot actie te komen. Ikzelf vind deze dwangmatige opstelling een beetje lelijk, en gevaarlijk klinken: “Maak deze bug in 60 dagen, of anders!!!”.

In de Leidraad is ook sprake van toestemming, overeenkomen, en overleg:

De organisatie bepaalt in overleg met de melder de termijn waarop eventuele bekendmaking zal plaatsvinden. Een redelijke standaardtermijn die kan worden gehanteerd voor kwetsbaarheden in software is 60 dagen. Het verhelpen van kwetsbaarheden in hardware is lastiger te realiseren, hierbij kan een redelijke standaardtermijn van 6 maanden worden gehanteerd.
In overleg kan het wenselijk zijn om deze termijn uit te breiden of in te korten, indien veel of juist weinig systemen afhankelijk zijn van het systeem ten aanzien waarvan de kwetsbaarheid gemeld wordt.
Als een kwetsbaarheid niet of moeilijk op te lossen is, of indien er hoge kosten mee gemoeid zijn, kunnen melder en organisatie afspreken om de kwetsbaarheid niet openbaar te maken.
Als melder en organisatie overeen komen dat de kwetsbaarheid openbaar wordt gemaakt dan maakt een melder het pas openbaar als alle betrokken organisaties goed zijn geïnformeerd en zij aangegeven hebben dat de kwetsbaarheid is opgelost, conform de gemaakte afspraken.

Dit mag niet misbruikt worden om een PR-gevoelige bug onder het tapijt te vegen, maar er is dus wel normaalgesproken sprake van toestemming verkrijgen voordat tot publicatie mag worden overgegaan.

En voor de definitie:

Responsible disclosure binnen de ICT-wereld is het op een verantwoorde wijze en in gezamenlijkheid tussen melder en organisatie openbaar maken van ICT-kwetsbaarheden op basis van een door organisaties hiervoor vastgesteld beleid voor responsible disclosure.

Als een disclosure niet op verantwoorde wijze gebeurd (Bijvoorbeeld: bug wordt gepubliceerd/gedeeld, zonder overleg, voordat deze is opgelost) of in samenwerking met melder en organisatie (Bijvoorbeeld: De organisatie reageert niet), dan is geen sprake van een responsible disclosure.

]]>
Door: Sven Slootweg https://blog.iusmentis.com/2017/02/14/wanneer-is-responsible-disclosure-beleid-rechtsgeldig/#comment-827744 Thu, 16 Feb 2017 15:31:38 +0000 https://blog.iusmentis.com/?p=9240#comment-827744 Ik doelde op Google die een Microsoft security bugs openbaarde voordat de patches beschikbaar waren. Dit was geen coordinated, of responsible disclosure, dit was een full disclosure.

Onjuist. Dit was responsible disclosure.

  • Coordinated disclosure: De details worden vrijgegeven zodra de vendor daar toestemming voor geeft.
  • Responsible disclosure: De details worden vrijgegeven zodra de patch beschikbaar is, of de tijdslimiet voor het oplossen van het probleem verloopt.
  • Full disclosure: De details worden direct na de vondst vrijgegeven zonder daar de vendor van op de hoogte te stellen.

Een beknopte geschiedenis: In den beginne was er coordinated disclosure (al had het die naam nog niet), maar bedrijven namen lekken niet serieus en ze werden niet opgelost, vaak met het argument dat “als de lekken niet publiek zijn, maakt het niet uit, want dan weet niemand dat ze bestaan”.

Toen kregen de beveiligingsonderzoekers er genoeg van, kwam de insteek “okee, dan niet” naar voren, en werd het full disclosure om zo een vendor te dwingen de problemen op te lossen, door ze onder druk te zetten (want nu kon iedereen het lek misbruiken).

Maar dat raakte ook de vendors die het wel tijdig opgelost zouden hebben, en dus werd responsible disclosure als een middenweg gevonden; de vendor krijgt een redelijk tijdsbestek om het probleem op te lossen en de patch uit te rollen, en als de vendor nalatig blijkt, dan gaat het lek alsnog als dwangmiddel publiek.

De gedwongen publicatie is dus een essentieel deel van het beleid, om er zo voor te zorgen dat ook de nalatige vendors problemen oplossen. Dit is dan ook precies wat Google doet; ze geven de vendor 90 dagen (wat al erg ruim is), en als de vendor het dan nog niet opgelost heeft, dan pas gaat het lek publiek.

]]>