Een van de manieren om de beveiliging van je website en data te verbeteren is door een responsible disclosure beleid op je site te plaatsen. In dit blog leggen wij uit hoe dat werkt.
Met een responsible disclosure beleid nodig je anderen uit om gevonden kwetsbaarheden te melden. In het document dat je online plaatst stel je in feite ‘meld de kwetsbaarheden die je kan vinden, zolang je je aan de volgende regels houdt’. Want je wilt niet dat iemand anders meer weet over jouw veiligheid dan jijzelf.
Het voordeel van de overeenkomst is dus dat er meerdere partijen, met elk hun eigen specialisatie, kunnen kijken naar je beveiliging. Een responsible disclosure beleid geeft de 'good guys' een stimulans om kwetsbaarheden te melden. Goedbedoelende hackers zullen tegenwoordig alleen kwetsbaarheden melden als je een goed responsible disclosure beleid hebt. Niet omdat ze niet willen melden maar omdat er juridische gevolgen aan kunnen zitten.
Met een responsible disclosure beleid bied je de goedbedoelende hackers een "gentlemen's agreement" aan, waarin je verklaart geen juridische stappen te ondernemen zolang de melder blijft binnen de grenzen die je hebt aangegeven.
De hackers met slechte bedoelingen hebben geen voordeel van het responsible disclosure beleid. Dat werkt als volgt: jij schept voorwaarden waaraan goedbedoelende hackers zich moeten houden. Daarbij zeg je dat als ze zich daaraan houden jij geen juridische stappen tegen ze onderneemt. Als zij zich daar niet aan houden staat het jou dus vrij om wél naar de politie te stappen.
Er zijn drie verschillende manieren waarop iemand met een gevonden kwetsbaarheid om kan gaan: full disclosure, non disclosure en responsible disclosure.
Bij een full disclosure maakt de persoon die de kwetsbaarheid op je site vindt direct aan de wijde wereld bekend dat er een gat zit in je beveiliging. Bij een non disclosure gebeurt het tegenovergestelde, iemand vindt een gat in je security en zegt dit tegen niemand.
De nadelen van de non- en full-disclosure laten zich raden. Als jijzelf niet op de hoogte wordt gesteld van een kwetsbaarheid in je beveiliging (non disclosure) kun je deze ook niet oplossen. Als een hacker met slechte bedoelingen daarachter komt kan hij of zij dus inbreken. Daarmee worden de gebruikers van je website uiteindelijk de dupe.
Door een kwetsbaarheid direct in de openbaarheid te brengen creëer je ook een situatie waarmee de bezoeker van je website de gebeten hond is. Het kan ten slotte enkele uren, dagen, weken of zelfs maanden duren voordat het beveiligingsgat is gedicht. In de tussentijd kan iedere hacker met kwade bedoelingen inbreken.
Responsible disclosure is de tussenweg: aan het bedrijf of de instantie wordt bekendgemaakt dat er een kwetsbaarheid is. Daarmee krijgt de onderneming de tijd om, al dan niet tezamen met de melder, het gat te dichten. Een organisatie heeft zelf in de hand of het naderhand nog gepubliceerd mag worden. Zo blijft de kwetsbaarheid geheim tot deze is opgelost bij de bewuste site.
Een responsible disclosure beleid zou verplicht moeten zijn voor elk bedrijf. Het geeft researchers/hackers de mogelijkheid om een kwetsbaarheid in een systeem te melden.
Ook bij Zerocopter hebben we een responsible disclosure beleid op de website staan. We helpen je er graag bij om die ook op jouw website te hebben plaatsen. Voor meer informatie klik je hier.
Written by Zerocopter
February 23, 2017
