Het zijn de nieuwe helden van deze tijd. Ethische hackers die dag en nacht speuren naar kwetsbaarheden in ICT-systemen met als doel het internet veiliger te maken. Om de hulp te krijgen van deze ‘good guys’ moet een organisatie wel voorzien in een beleid voor ‘responsible disclosure’. Anders is de kans groot dat een ethical hacker zijn diensten elders aanbiedt.
Nederland aan de top
Als het gaat om ethical hacking behoort Nederland tot de wereldtop. Tijdens de Global Cyberlympics 2016 ging zowel het goud als het zilver naar Nederlandse teams van ethische hackers. Voor het team ‘Hack.ERS’ was dit zelfs al de vijfde overwinning.
De Nederlandse ethical hacker ‘0xDUDE’ Victor Gevers heeft inmiddels ruim vijfduizend ‘verantwoorde meldingen’ van kwetsbaarheden op zijn naam staan. Begin 2017 trok hij internationaal de aandacht met zijn ontdekking dat cybercriminelen kwetsbaarheden in MongoDB-databases misbruiken om met ransomware data te gijzelen.
Maak melden laagdrempelig
Erkenning is voor veel ethische hackers een belangrijke drijfveer om te zoeken naar gaten in ICT-systemen die de veiligheid van de gebruikers in gevaar brengen. Dan helpt het bijvoorbeeld niet als een gealarmeerde organisatie helemaal niet reageert op een melding. Het probleem niet verhelpen is funest voor de motivatie van de ethical hacker. Dit geldt ook voor het dreigen met strafvervolging.
Organisaties die wel de waardevolle hulp willen hebben van een leger vrijwillige securityprofessionals, doen er goed aan om het melden van kwetsbaarheden zo laagdrempelig mogelijk te maken. Dit kan door in een responsible-disclosurebeleid bijvoorbeeld vast te leggen hoe en waar de melding moet worden gedaan. En hoe snel er een reactie volgt en welke beloning er eventueel ligt te wachten voor de ethische hacker.
Sluit strafvervolging uit
Hoewel responsible disclore al jaren onderwerp van gesprek is, ontbreekt het nog altijd aan een ‘industriestandaard’ voor het verantwoord melden van kwetsbaarheden. In Nederland heeft het Nationaal Cyber Security Centrum (NCSC) wel een ‘Leidraad voor Responsible Disclosure’ opgesteld. Ethical hackers die zich hieraan houden, worden niet vervolgd voor iets wat volgens de letter van de wet nog altijd strafbaar is.
Al heel wat Nederlandse bedrijven hebben een responsible-disclosurebeleid opgesteld dat in grote lijnen is gebaseerd op de leidraad van het NCSC. Voorbeelden daarvan zijn de Rabobank, NS en KPN. Energieonderneming Eneco gaat zelfs zo ver dat ze hackers uitnodigen om tijdens speciale evenementen bijvoorbeeld de slimme thermostaat Toon aan te vallen.
Responsible disclosure in de praktijk
Een responsible disclosure op basis van beleid kan er in de praktijk als volgt uitzien:
- Identificatie van de kwetsbaarheid en de impact
In deze fase van het proces ‘documenteert’ de ethical hacker een aangetroffen kwetsbaarheid. Bijvoorbeeld door met behulp van screenshots of stukjes code aan te geven waar het probleem zit, en wat de gevolgen zijn als een cybercrimineel hier misbruik van maakt.
- De getroffen organisatie informeren
De ethische hacker stuurt een rapport met gedetailleerde informatie naar het e-mailadres dat staat vermeld op de ‘responsible-disclosurepagina’ van de getroffen organisatie. De melder versleutelt deze informatie met behulp van Pretty Good Privacy (PGP), om te voorkomen dat cybercriminelen de documenten inzien.
- Verhelpen van de kwetsbaarheid
Na de melding krijgt de getroffen organisatie de tijd om het probleem te onderzoeken en te verhelpen. Volgens de leidraad van het NCSC is zestig dagen een redelijke termijn als het gaat om een kwetsbaarheid in software. Dit is ook de termijn die Google bijvoorbeeld hanteert. Bij kwetsbaarheden in hardware kan zes maanden redelijk zijn. Als een kwetsbaarheid actief wordt misbruikt, is het raadzaam om een kortere termijn overeen te komen.
- Analyse van de kwetsbaarheid publiceren
Als de kwetsbaarheid is verholpen – of de termijn van stilzwijgen verstreken – volgt een ‘full disclosure’ van het probleem. Deze publicatie bevat onder andere een analyse van het probleem en de stappen die zijn genomen om de risico’s te beperken. Deze analyse van Jouko Pynnönen van een cross-site scripting (XSS)-kwetsbaarheid in Yahoo Mail is een voorbeeld van zo’n full disclosure.
- Belonen van de melder
De organisatie kan ervoor kiezen om een melder een beloning te geven voor het melden van kwetsbaarheden. Zo stelt het NCSC een beloning in het vooruitzicht die kan variëren van een T-shirt tot maximaal een bedrag van 300 euro aan cadeaubonnen. Een bedrijf als Facebook belooft een ‘bug bounty’ van minimaal 500 dollar.
Damned good idea
Aan het begin van het vorige decennium loofden bedrijven uit angst voor slechte pr nog bedragen uit voor het geheimhouden van kwetsbaarheden. Gaten in ICT-systemen werden simpelweg niet gedicht. Cybercriminelen maakten dankbaar gebruik van de ongepatchte kwetsbaarheden om bedrijven en hun klanten aan te vallen.
Met de verantwoorde meldingen van ethical hackers krijgen securityteams een voorsprong op de aanvallers. Ze kunnen een kwetsbaarheid op tijd ‘fixen’, nog voordat het lek op straat ligt, en eventueel waarschuwen voor de aanvalstechnieken die cybercriminelen hanteren. Het internet wordt op die manier een stuk veiliger. Of zoals securityexpert Bruce Schneier het omschreef: full disclosure van kwetsbaarheden in de security is ‘a damned good idea’.
Ruimte voor verbetering
Waar het in mijn ogen nog wel aan ontbreekt, is een internationale consensus over wat redelijke ‘oplostermijnen’ zijn. Hoe lang krijgt de gealarmeerde organisatie om een gat te dichten? We hebben met het Common Vulnerability Scoring System (CVSS) al een algemeen systeem om de ernst van kwetsbaarheden aan te geven. Wellicht een idee om de tijd tussen melding en full disclosure afhankelijk te maken van de CVSS-score?
Corey Nachreiner, CTO bij WatchGuard Technologies
