Sidekick
Creating heroic brands online and offline
Follow us

Arnaud - 4 november 2019

Responsible (vulnerability) disclosure

Nowp, ‘t is geen nieuw DJ-duo. Wat dan wel?

Als Sidekick zorgen wij ervoor dat de websites van onze helden veilig zijn. Dat maakt dat zij kunnen blijven communiceren over hun expertise en aanbod. Die veiligheid garanderen is dezer dagen helaas niet eenvoudig meer. In dezelfde mate dat technologie evolueert, worden tools en menselijke skills om websites te verzieken steeds beter. Als nieuw schild stellen wij een responsible disclosure voor.

Hoe wij jou vanaf morgen extra kunnen beschermen?

Meer en meer organisaties zetten al een responsible disclosure op hun website, and that’s a good thing. Alles wat online veiligheid kan optimaliseren is sowieso een aanrader. Daarnaast biedt het bescherming en geeft het duidelijke richtlijnen.

 

Indien je een onderhoudspakket hebt bij ons, kan je deze responsible disclosure gratis laten toevoegen.

 

 

Contacteer Yasmine

Responsible disco, – come again?

Zwakke plekken van een website kunnen op twee manieren ontdekt worden: Per toeval, door normaal gebruik of door expliciet op zoek te gaan naar zwakke plekken.

 

Een respinsoble disclosure (DR) is een document (zoals jouw privacy policy) dat een onderlinge afspraak opzet om opgespoorde kwetsbaarheden te melden. Deze afspraak vindt plaats tussen melder en organisatie en is bedoelt om mogelijke kwetsbaarheden weg te werken zonder er misbruik van te maken.

 

Een afspraak zonder regels, is geen afspraak. Deze laatste kunnen jullie zelf oplijsten zodat een beleid wordt gevormd rond de spelregels en de gevolgen bij overtredingen. Again, het algemeen doel van deze RD’s zijn veiligere ICT-systemen.

Hacken met goede bedoelingen.

De term hacking gaat gepaard met een donkere sfeer. Je weet wel, mensen met zwarte hoodies die in een kelder een resem code schrijven vanuit slechte intenties. Goed nieuws, dat is niet (altijd) zo.

 

Meet ethical hackers, “onderzoekers” die ICT omgevingen proberen binnen te dringen om uiteindelijk voor veiligheidsoptimalisaties te zorgen. Omschrijf in jouw beleid duidelijk wat zij wél en niet van jou mogen verwachten. Vermeld eveneens duidelijk in het beleid dat wanneer iemand per ongeluk in de back-end van jouw website geraakt en hier melding van maakt, er geen strafrechtelijke vervolging aan te pas komt.

 

 “Het gaat dus om beleid en regels. De responsible disclosure is dus GEEN uitnodiging.”

 

Het beleid

Stel je dit even voor: Je buurman’s voordeur is krakkemikkig. Je kan, om hem bewust te maken van potentieel gevaar, melden dat zijn voordeur daardoor vaak op een kier blijft staan. Dat is iets anders dan diezelfde voordeur open breken om het probleem aan te tonen of ervan uitgaan dat je, door het kiertje toegang hebt wat te gaan chillen in zijn living. Common sense.

 

Voor organisaties, technologie of websites is het niet zo eenvoudig en is er meer nood aan duiding. Vinders weten vaak niet wanneer of waarom ze zwakke plekken moeten melden. Hieronder enkele punten en uitgewerkte voorbeelden die jullie in een RD kunnen verwerken.

 

1. Hoe een potentiële kwetsbaarheid te melden?

“Woops, je bent per ongeluk ergens terecht gekomen waar je niet hoort te zijn? Verstuur een melding liefst zo snel mogelijk na ontdekking van de kwetsbaarheid naar naam@domain.be met vermelding RB melding.”

 

2. De spelregels

  • Je hebt een ingang gevonden in de website waar geen hoort te zijn. Puik werk! Uit veiligheidsredenen eisen wij dat deze informatie niet gedeeld wordt met derden vooraleer wij dit probleem hebben opgelost.
  • Graag horen wij van jou de informatie over hoe en wanneer de kwetsbaarheid of storing zich voordoet. Beschrijf duidelijk hoe dit probleem gereproduceerd kan worden en geef informatie over de gebruikte methode en het tijdstip van onderzoeken.
  • Verder vragen wij verantwoordelijk om te gaan met de kennis over dit Maak geen misbruik van eventuele datalekken en ga niet verder dan wat nodig is om het beveiligingsprobleem aan te tonen.
  • Laat jouw contactgegevens (e-mailadres of telefoonnummer) achter zodat contact met jou kan opgenomen worden. We nemen anonieme meldingen eveneens serieus.
  • Maak geen gebruik van fysieke aanvallen, DDOS aanvallen of social engineering.

 

3. Wat doen wij bij meldingen?

Belangrijk om weten, jullie kunnen zelf bepalen hoe wordt omgegaan met melidingen van RD. De enige vereiste is dat jullie deze duidelijk omschrijven in het beleid. Enkele voorbeelden:

  • Wij nemen binnen de X aantal werkdagen contact met jou op. Hierin maken wij duidelijk hoe wij de melding beoordelen en zullen we meegeven wanneer we dit probleem zullen oplossen.
  • Samen met jou zullen we bekijken hoe deze melding wordt bericht aan derden. Deze berichtgeving vindt steeds plaats nadat het probleem werd opgelost. Indien je dat wenst, vermelden wij jou in deze berichtgeving als ontdekker.

 

4. Beloningen a.k.a. bug counties

Wanneer meldingen daadwerkelijk aanleiding geven tot het verhelpen van een kwetsbaarheid kan er een passende vergoeding beschikbaar worden gesteld. Bedrijven mogen zelf beslissen welke meldingen hiervoor in aanmerking komen en welke beloningen worden gegeven.

 

Je hebt geen onderhoudspakket? No problemo!

Geef ons een seintje indien je wenst dat wij dit document op jouw website plaatsen. Dit komt op 75euro per versie. Indien je meertalige versies wil, vragen wij de gewenste documentatie aan te leveren.

Meer vragen rond de veiligheid van jouw website? Niet twijfelen! Contacteer ons via het contactformulier of stuur een mailtje naar onze info@sidekick.be

Related posts