We willen al onze kwetsbaarheden kennen
Als iemand een kwetsbaarheid in onze systemen vindt, dan horen we dat graag. Een melder moet in alle vertrouwen bij ons kunnen aankloppen. Daarom hebben we vlak na de lancering van onze nieuwe website ook ons beleid daarover gepubliceerd.
Foto: Anssi Koskinen
Beveiligingsonderzoekers niet bevechten maar omarmen
"Het is klanten toegestaan het systeem van XS4ALL te hacken. De klant die als eerste erin slaagt een positie te verwerven gelijk aan de systeembeheerder van XS4ALL, krijgt van XS4ALL zes maanden gratis gebruik van het systeem aangeboden." Het belang van die tekst uit de algemene voorwaarden van internetprovider XS4ALL heb ik destijdsDe algemene voorwaarden van XS4ALL begin 1999 waarschijnlijk nooit goed op waarde geschat. Voor de eeuwwisseling maakte ik wel veelvuldig gebruik van het internet, maar was ik me veel minder bewust van de kwetsbaarheid van computersystemen. Toch was ik toen al onder de indruk: een provider die hackers niet bevecht maar omarmt.
Een beveiligingsonderzoeker moet erop kunnen vertrouwen dat aan het melden van een kwetsbaarheid geen vervelende consequenties verbonden zijn.
We horen het graag over onze kwetsbaarheden
Vandaag de dag is het belang van een veilige digitale infrastructuur alleen maar toegenomen. Onze afhankelijkheid van onze digitale infrastructuur is enorm. Dat geldt voor de maatschappij als geheel, maar ook voor Bits of Freedom. We vinden het erg belangrijk dat ook onze systemen veilig zijn. Als iemand een kwetsbaarheid in onze systemen vindt, dan horen we dat dus graag. Een melder moet in alle vertrouwen bij ons kunnen aankloppen. Daarom hebben we vlak na de lancering van onze nieuwe website ook ons zogenaamde Coordinated Vulnerability Disclosure-beleid gepubliceerd.
In die tekstDit is ons beleid als je een kwetsbaarheid in ons systeem wilt melden beschrijven we wat ons beleid is ten aanzien van meldingen van kwetsbaarheden in onze systemen. Wat we beloven te doen, en wat we zullen laten. Bijvoorbeeld: we zullen nooit juridische stappen tegen je ondernemen als je doet wat wij van je verwachten. Door vooraf die uitleg te geven hopen we drempel voor het melden van beveiligingsproblemen te verlagen. In de tekst leggen we ook uit wat we verwachten van de melder. Voor het beleid hebben we ons gebaseerd op de tekst die inmiddels het standaardvoorbeeldResponsibleDisclosure.nl is en op de leidraadDe leidraad van het NCSC van het Nationaal Coordinator Cyber Security (NCSC). Ons beleid wijkt op enkele belangrijke punten af.
Zonder vertrouwen geen goede meldingen
Een beveiligingsonderzoeker moet erop kunnen vertrouwen dat aan een melding geen vervelende consequenties verbonden zijn. Daarom hebben we, ten opzichte van de twee voorbeelden, de tekst net iets meer in balans gebracht. In die voorbeelden wordt veel gesproken over "de organisatie kan" en "de melder zal". Dat lezen wij als verplichtingen voor de melder en opties voor de organisatie. We hebben niet de indruk dat dit erg uitnodigt tot het doen van meldingen. Daarom spreken we in ons beleid vooral over de wederzijdse verwachtingen: als jij dit doet, dan kun je dit-en-dit van ons verwachten.
Verder vinden we het erg onlogisch om bepaalde type aanvallen, zoals aanvallen op fysieke beveiliging of social engineering, op voorhand uit te sluiten. We verwachten dat iemand die een kwetsbaarheid in één van onze systemen onderzoekt, rekening houdt met proportionaliteit van de aanval. Je hoeft niet aan te tonen dat als je de grootste DDoS-aanval uit de historie van het internet op onze website uitvoert, we even niet meer bereikbaar zijn. Dat weten we. Maar als je met een beetje phishen toegang krijgt tot onze perslijst, dan is dat uiteraard niet goed. Die proportionaliteit speelt ook een rol bij het aantonen van de kwetsbaarheid zelf. Als je bijvoorbeeld onze voorpagina kunt aanpassen, verwachten we dat je ergens een non-controversieel woord toevoegt, in plaats van dat je de volledige pagina overneemt.
Daarnaast hebben we nog wat kleinere wijzigingen gemaakt. Wij maken soms gebruik van software die door anderen is geschreven. Veel fabrikanten van zulke software loven geld uit aan de melders van onbekende kwetsbaarheden. Wij vonden het belangrijk om een melder van een kwetsbaarheid in ons systeem op voorhand te beloven dat als er aan bounty aan de kwetsbaarheid gekoppeld is, de bounty dan uiteraard voor de melder is.
Laat het ons weten als je iets vindt
We hopen uiteraard niet dat je een kwetsbaarheid in onze computersystemen vind. Maar als je dat onverhoopt wel zou doen, dan hopen we dat je je comfortabel genoeg voelt om die kwetsbaarheid bij ons te melden. Heb je het idee dat het nog beter kan, laat het ons dan gerust weten!
Erik
Ik was op de hoogte van het xs4all standpunt (ben er al eeuwig klant). Goed voorbeeld voor anderen dat jullie nu iets soortgelijks doen.
Frank
Hoi,
ik heb een vraag wat betreft het gebruik van een coordinated vulnerability disclosure-beleid. Aan de hand van jullie coordinated vulnerability disclosure-beleid en de tekst over dat onderwerp overweeg ik om ook een coordinated vulnerability disclosure-beleid te voeren voor de website van mijn bedrijf.
Echter, ik gebruik enkel code van derden (wordpress.org en wat html code van een boekings systeem). Ik heb geen enkele eigen code toegepast.
Ik zie op de site van Bits of Freedom dat code van ‘Van Ons’ voor jullie website wordt gebruikt (en dus niet ‘van ons’ als ‘wij bits of freedom’). Daar gaat mijn vraag namelijk over; weten jullie of het gebruikelijk of wenselijk is om ook een een coordinated vulnerability disclosure-beleid te voeren indien je geen eigen code hanteert op een website? De vraag anders: moet je uitsluitend een een coordinated vulnerability disclosure-beleid hanteren als je je eigen code gebruikt?
Hartelijke groet,
Frank