Responsible disclosure in de praktijk: ‘There is a bug in your system’

Zondagavond vlak voor etenstijd komt ene Roy op de lijn: Hij wil de webontwikkelaars van surf.nl laten weten dat er een beveiligingslek te vinden is in de website, hoe of hij dat moet melden. Roy benadrukt dat hij geen kwade bedoelingen heeft en ons wil helpen het probleem zo snel mogelijk te verhelpen.

Fouten in systemen

In software en applicatieontwikkeling probeer je te voorkomen dat er fouten in het systeem komen. Fouten, bugs of kwetsbaarheden zorgen ervoor dat het gewone gebruik verstoord wordt en het kan zorgen voor schade bij gebruikers en betrokkenen. Dat doe je door het gebruik van standaarden, met veilige programmeertechnieken, met reviews en met controles tijdens het bouwen en achteraf. Afhankelijk van het belang van de applicaties en de soort gegevens doe je dat meer of minder grondig en meer of minder intensief. Dat betekent dat er weleens wat tussendoor glipt. Moderne applicaties maken gebruik van standaard functies en functiebibliotheken. Ook deze zijn niet foutloos en hier worden met enige regelmaat vervelende fouten in gevonden. Een andere bron van fouten zit in de configuratie van systemen en applicaties en in verkeerd gebruik door onbekendheid of door tijdgebrek. In de praktijk blijken veel van de systemen die we dagelijks gebruiken fouten te bevatten, soms ernstig, vaak relatief onschuldig.

‘responsible disclosure’ beleid

Het is daarom fijn als anderen meekijken en problemen die zij in onze systemen constateren melden. Zo lang ze geen misbruik maken van die ‘gaten’ in de systemen zal het ook geen probleem zijn en wordt dit soort ‘meedenken’ op prijs gesteld. Dit kun je formaliseren door een ‘responsible disclosure’ beleid op te stellen. SURF heeft hiervoor al weer een tijdje geleden een modelbeleid beschikbaar gesteld, gebaseerd op nationaal gebruikelijke uitgangspunten. En SURF heeft dit ook zelf in gebruik genomen.

Internationale belangstelling

Ook internationaal is er belangstelling voor de responsible disclosure aanpak al is deze in de internet community niet geheel nieuw. Reeds lang geldt daar een responsible disclosure code voor het melden van problemen aan leveranciers waarbij de leverancier in staat gesteld wordt het probleem eerst op te lossen voordat de ontdekker het probleem wereldkundig maakt. De meeste grote softwaremakers waarderen dit en zetten hiervoor ook bounty-programma’s op waar soms veel geld mee is gemoeid. Responsible disclosure is nu veel meer gericht op de gebruikerskant, op bedrijven en organisaties, en hun soms slecht beveiligde systemen.

Aandacht voor responsible disclosure modellen

De responsible disclosure modellen die SURF heeft ontwikkeld zijn door het CIO Platform Nederland overgenomen voor haar leden. Het Platform heeft dit ook bij haar Europese collega’s onder de aandacht gebracht. En het CIO Platform gaat dit in mei 2016, samen met het ministerie van Veiligheid en Justitie, in de High Level Cybersecurity Meeting (in het kader van het Nederlandse EU voorzitterschap) onder de aandacht brengen op regeringsniveau bij de andere EU landen.

Eigen verantwoordelijkheid

Responsible disclosure mag nooit een vervanging zijn voor de eigen verantwoordelijkheid om zorgvuldig te werken en regelmatig controles uit te voeren. Maar het helpt wel. Zeker bij de huidige schaarste aan kennis en expertise is het fijn als er ‘Helpende Hackers’ zijn. Chris van ’t Hof heeft in zijn boek ‘Helpende Hackers’ een groot aantal praktijkcasussen toegelicht en beschreven hoe de Nederlandse politiek met dit onderwerp om gaat.

En hoe ging het verder met Roy? Dankzij de melding van Roy hebben we binnen 24 uur een vervelend lek in een webformulier kunnen dichten. Roy, nogmaals dank voor dit nobele werk.

Meer informatie over responsible disclosure

Model responsible disclosure beleid voor het onderwijs
Beleidsondersteuning beveiliging
Chris van ’t Hof – Helpende Hackers, ISBN  978-90-823462-0-6 (recent ook in het engels verschenen)

Author

Comments

Dit artikel heeft 0 reacties