Zonder vertrouwen geen goede meldingen
Een beveiligingsonderzoeker moet erop kunnen vertrouwen dat aan een melding geen vervelende consequenties verbonden zijn. Daarom hebben we, ten opzichte van de twee voorbeelden, de tekst net iets meer in balans gebracht. In die voorbeelden wordt veel gesproken over "de organisatie kan" en "de melder zal". Dat lezen wij als verplichtingen voor de melder en opties voor de organisatie. We hebben niet de indruk dat dit erg uitnodigt tot het doen van meldingen. Daarom spreken we in ons beleid vooral over de wederzijdse verwachtingen: als jij dit doet, dan kun je dit-en-dit van ons verwachten.
Verder vinden we het erg onlogisch om bepaalde type aanvallen, zoals aanvallen op fysieke beveiliging of social engineering, op voorhand uit te sluiten. We verwachten dat iemand die een kwetsbaarheid in één van onze systemen onderzoekt, rekening houdt met proportionaliteit van de aanval. Je hoeft niet aan te tonen dat als je de grootste DDoS-aanval uit de historie van het internet op onze website uitvoert, we even niet meer bereikbaar zijn. Dat weten we. Maar als je met een beetje phishen toegang krijgt tot onze perslijst, dan is dat uiteraard niet goed. Die proportionaliteit speelt ook een rol bij het aantonen van de kwetsbaarheid zelf. Als je bijvoorbeeld onze voorpagina kunt aanpassen, verwachten we dat je ergens een non-controversieel woord toevoegt, in plaats van dat je de volledige pagina overneemt.
Daarnaast hebben we nog wat kleinere wijzigingen gemaakt. Wij maken soms gebruik van software die door anderen is geschreven. Veel fabrikanten van zulke software loven geld uit aan de melders van onbekende kwetsbaarheden. Wij vonden het belangrijk om een melder van een kwetsbaarheid in ons systeem op voorhand te beloven dat als er aan bounty aan de kwetsbaarheid gekoppeld is, de bounty dan uiteraard voor de melder is.
Erik
Ik was op de hoogte van het xs4all standpunt (ben er al eeuwig klant). Goed voorbeeld voor anderen dat jullie nu iets soortgelijks doen.
Frank
Hoi,
ik heb een vraag wat betreft het gebruik van een coordinated vulnerability disclosure-beleid. Aan de hand van jullie coordinated vulnerability disclosure-beleid en de tekst over dat onderwerp overweeg ik om ook een coordinated vulnerability disclosure-beleid te voeren voor de website van mijn bedrijf.
Echter, ik gebruik enkel code van derden (wordpress.org en wat html code van een boekings systeem). Ik heb geen enkele eigen code toegepast.
Ik zie op de site van Bits of Freedom dat code van ‘Van Ons’ voor jullie website wordt gebruikt (en dus niet ‘van ons’ als ‘wij bits of freedom’). Daar gaat mijn vraag namelijk over; weten jullie of het gebruikelijk of wenselijk is om ook een een coordinated vulnerability disclosure-beleid te voeren indien je geen eigen code hanteert op een website? De vraag anders: moet je uitsluitend een een coordinated vulnerability disclosure-beleid hanteren als je je eigen code gebruikt?
Hartelijke groet,
Frank