Het Openbaar Ministerie adviseert mensen die op zoek gaan naar lekken in systemen een logbestand bij te houden, las ik bij Tweakers vorige week. Zo kunnen deze mensen aantonen dat ze zich aan eisen voor responsible disclosure houden en eventueel strafvervolging ontlopen. Een stap in de goede richting; het doet raar aan om mensen te vervolgen die met open kaart en goede bedoelingen een beveiligingsprobleem aankaarten. Maar -de comments lezende- toch maken mensen zich best wat zorgen over dat loggen, leg je zo niet je hoofd op het hakblok?
De wet is wat het testen van andermans systemen betreft duidelijk: dat mag niet, punt. Er is sprake van computervredebreuk als je binnengaat in een computersysteem, beveiligd of niet, terwijl je weet of had moeten weten dat je daar niet mag zijn. Je bedoelingen doen daarbij niet ter zake, dus of je nu binnengaat om data te kopiëren voor eigen gewin of om te dubbelchecken dat de database écht idioot slecht beveiligd is, is naar de letter van de wet hetzelfde misdrijf.
De praktijk van slechte beveiliging anno 2018 laat echter zien dat er grote behoefte is aan mensen die problemen signaleren, bij voorkeur voordat het écht grote problemen worden. Liever een ethisch hacker in je mail dan een datalek in de krant, zeg maar. Maar vanwege die strenge wet is het dan zoeken tussen de belangen van beide partijen, en het gebruikelijke compromis komt dan uit bij responsible disclosure: op een nette manier de organisatie inlichten en afspraken maken over wanneer het wordt hersteld en wanneer het wordt gepubliceerd. Werkt de organisatie niet mee, dan mag je publiceren zonder toestemming.
Je komt dan in strafrechtelijk vaarwater. Eerder publiceerde de overheid daarom al de aanbeveling voor organisaties om responsible disclosure-beleid te publiceren, met daarin een stappenplan voor jouw organisatie om hoe om te gaan met zulke tips van buitenaf. Deel daarvan is de toezegging dat er geen aangifte (of civielrechtelijke stappen) wordt gedaan. En het OM pakt nu op dat punt door en zegt in feite dat wanneer iemand handelt binnen zulk beleid, zij niet tot vervolging zullen overgaan. Dus ook als het bedrijf vervolgens alsnog aangifte doet.
Natuurlijk moet je wel kunnen aantonen dat je werkelijk responsible oftewel ethisch hebt gewerkt. Daarbij is loggen van groot belang, vandaar het advies. En toegegeven, dan documenteer je dus je misdrijf en die informatie is te pakken te krijgen als men wél besluit je te vervolgen en daarbij je computer doorzoekt. Dat is inderdaad een tweesnijdend zwaard. Maar als je dát anders wilt doen, dan moet je in de wet opnemen dat het binnendringen in een slecht beveiligd systeem niet strafbaar is, en dat heeft dan weer hele vergaande gevolgen de andere kant op.
Arnoud
Het klinkt zeker als een stap in de goede richting. Sowieso lijkt me bij ‘responsible disclosure’ dat het loggen van je intenties vooraf, tijdens en daarna een belangrijk onderdeel is.
Waar ik me misschien wel nog zorgen over zou kunnen maken is of deze logs niet gebruikt kunnen worden om per ongeluk neven-praktijken te signaleren. Zeker als een bedrijf achteraf alsnog tot vervolging over wil gaan, of stiekem de disclosure wil afraden, gaan ze natuurlijk graag op zoek naar meer ammunitie.
Ik denk dat als het OM “loggen” zegt, dat ze dan bedoelen dat je in een boekje opschrijft wat je doet. Niet dat je al je applicaties in debug-mode hercompileert en overal logging maximaal aanzet en onbeperkt oude logfiles bewaart.
Het probleem is hier dat een ethisch hacker in deze situatie liever zeker weet dan denkt. Jammer dat het OM hierin niet duidelijk had kunnen uitleggen wat ze nou bedoelde.
Als jij een foutje hebt gemaakt in je log, bijvoorbeeld dat je in FILESERVER1 bent binnengedrongen ipv FILESERVER wat je in je log hebt staan of je hebt een IP adres verkeerd genoteerd. Dan verwacht ik dat ze je hierop gaan proberen te pakken. “Nee wij doen geen aangifte voor het inbreken in al die andere servers op de route naar de filteserver maar alleen voor die fileserver, je hebt namelijk niet responsibly aangegeven dat je in FILESERVER1 was binnen geweest.”
Welk aanvullend bewijs is er dat je daar binnen bent geweest? Eén document is geen bewijs in het strafrecht.
Ik zie de volgende situatie voor me: Je hackt bij een bedrijf op een responsible manier naar binnen en houd hier een log van bij. Je meld dit volgens de geldende richtlijnen bij het bedrijf. Het bedrijf gaat in hun logs kijken en ziet dat jij hen daadwerkelijk gehackt hebt. Maar door die logs zien ze dat de bij hun binnengekomen hacker (waarvan jij heb bekend dat jij dat bent) niet precies de route heeft gevolgd die jij omschrijft in jouw log. Je bent via router 192.168.0.13 ipv 192.168.0.31 of via FILESERVER_1 ipv FILESERVER gegaan of zoiets, gewoon een typfoutje in je log. Dan zou het mij niet verbazen als er bedrijven zijn die door foutje een gedeelte van je hack als niet-responsible bestempelen en jou daarvoor dus willen gaan vervolgen.
Tuurlijk adviseren ze dat. Iedere ethische hacker is namelijk heel heftig gescreend. Ik heb afgezien van het examen om niet teveel in de database van de overheid te komen. Een een soort van nondisclosure tekenen, wat dus o.a. inhoud dat ze alles bij je op kunnen komen halen. Ik zou zo’n ethical hacker niet over de vloer willen bij mijn bedrijf. niet vanwege zijn kennis, dat zit redelijk goed, maar wat hij af moet geven aan de overheid.
Niet normaal om zo’n papiertje te halen, zelfs je huisgenoten worden bij jou thuis ondervraagd, om maar een klein onderdeel te noemen. En als ICT’r sta je al gauw bij de overheid in het voetlicht i.v.m. de verklaring omtrent gedrag. Die komen ook al bij je thuis omdat je een klus bij de Nederlandse bank hebt. Denk trouwens dat het dezelfde mensen zijn.
“Iedere ethische hacker is namelijk heel heftig gescreend.”
Als je officieel werkt als eentje misschien, maar ik denk dat dit artikel meer gericht is op de buitenstaanders a la “ik heb net uitgevogeld dat met een aangepaste webrequest ik zonder authenticatie queries op de database van deze website kan uitvoeren!”. Die hoeft niets anders dan een computer en degelijke kennis te hebben.
De Term ethisch hacker is bedacht om examens uit te schrijven en zo een soort van certificering te krijgen. Probleem is allen dat er dagelijks nieuwe zaken bedacht en uitgevonden worden,. Gaat net zoals met virussen, je loopt er altijd achteraan. Maar meteen is er iemand die de verantwoording neemt om ergens met een vinger naar te wijzen. In die studie ben ik niet tegen gekomen hoe je jezelf daartegen moet verdedigen. Wel in andere ICT studies. Vandaar ook dat ik geen examen heb gedaan, wel de kennis tot mij genomen:-) Het gaat vooral om de verantwoording ergens anders neer te leggen, zoals met veel zaken.
Maar als je dát anders wilt doen, dan moet je in de wet opnemen dat het binnendringen in een slecht beveiligd systeem niet strafbaar is, en dat heeft dan weer hele vergaande gevolgen de andere kant op.
Dat is een natuurlijk een cop out.
Als een bedrijf een omschrijving kan geven van wat ethisch hacken is, dan kan de overheid diezelfde criteria ook in de wet opnemen.
In plaats van een belofte van een bedrijf dat ze niet vervolgen als je je aan specifieke regels houdt is het dan een garantie van de overheid dat je niet vervolgd kan worden als je je aan die regels houdt.
Dan heb je meteen de minder frisse ondernemingen afgevangen die geen responsible disclosure beleid publiceren, omdat men de vuile was liever binnenshuis houdt.
Logfiles kan je natuurlijk goed versleuteld opslaan. Dan kan je er zelf wel bij als dat zinvol lijkt, maar kan een ander er niets mee. Sterker nog: er van uitgaande dat er ook persoonsgegevens in de logs staan (mailadressen, accountnamen, IP-adressen, etc. maar ook de ‘gevonden’ data) is fatsoenlijk versleutelen een sine qua non.
Dat is een terecht punt. Ik bedenk me nu dat het OM niet snel op zoek zal gaan naar die logs: als ze bij jou zijn dan is al redelijk vaststaand dat jij ingebroken hebt (hoe komen ze anders bij jou uit). In de praktijk zul jij dan eerder zeggen “ja nee maar ik was responsible bezig” en dan moet jij de logs oplepelen. Dus een situatie waarin men die logs meeneemt zonder jouw tussenkomst, is dan niet zo waarschijnlijk.