Dit document is tot stand gekomen naar aanleiding van een ontmoeting tussen kamerlid X en de auteur, DE CEUKELAIRE Inti. Deze ontmoeting vond plaats op Y in Z. Het document persoonlijke ervaringen en opinies in verband met het maatschappelijk thema “Ethisch Hacken” en is geschreven met het oog op het moderniseren van de privacywet van 8 december 1992.
Ik, Inti De Ceukelaire, ben gepassioneerd door beveiliging en alles wat er mee te maken heeft. Ik zit momenteel in mijn 2de jaar Multimedia & Communicatie Technologie, waar ik jaarlijks insta voor vrijblijvende sessies beveiliging voor studenten en alumni. Mijn ervaring spitst zich vooral toe op Responsible Disclosure – een systeem dat verder in dit document wordt besproken. Ik heb reeds van een succesvolle samenwerking genoten met bedrijven zoals Google, Facbook, Yahoo en Microsoft. Inmiddels leid ik het Responsible Disclosure programma van Mobile Vikings. Omdat ik Responsible Disclosure een enorm werkbaar en efficiënt concept vind, zet ik me dagdagelijks in om dit systeem bekend te maken. Ik ben heel blij dat ik van de VRT de kans kreeg om mijn ideeën te verkondigen in een reportage van het magazine Koppen, die later jammer genoeg heel wat commotie zou veroorzaken. De commotie hieromtrent was voor mij louter een bevestiging dat de problematiek zich op meerdere niveaus bevindt en dringend federaal besproken moet worden.
1 Responsible Disclosure – Samen safe, verantwoord & veilig
Hackers worden vaak onderverdeeld in drie verschillende types. Hoewel dit slechts karikaturen zijn van de stromingen in Hackerland, kunnen ze een representatief overzicht bieden. De categorieën zijn echter niet absoluut: motivaties en drijfveren verschillen uiteraard nog steeds van persoon tot persoon – evenals interpretatie en definitie van deze stromingen.
Blackhats Dit is het type dat onafscheidelijk gelinkt is aan het woord “hacker” – ook bij het parket. De blackhat handelt puur uit eigen belang, of om doelbewust schade te berokkenen. Deze individuen worden vaak gelinkt aan afpersingen, dreigingen en cyberterrorisme. Het type die hacken steeds negatief in het daglicht stellen.
Greyhats Greyhats zijn hackers die zich schikken naar de situatie – of die nu goed of slecht is. Vaak worden deze mannen betaald voor het werk dat ze verrichten. Ze eten van twee walletjes: terwijl ze overdag een bedrijf beveiligen – kunnen ze die kennis ’s avonds misbruiken om schade te berokkenen.
Whitehats Whitehats zijn creatieve enthousiastelingen met de beste bedoelingen. Ze staan op en gaan slapen met security, en hebben “bugs” voor ontbijt. Ze delen kennis , vaak gratis, met het oog op het ontwikkelen van een veiliger internet. Sommigen noemen ze naïeve idealisten, ik noem ze geniale Robin Hoods.
Volgens de wet…
Is er geen verschil.
2 Responsible Disclosure – Samen safe, verantwoord & veilig
Computervredebreuk is een misdrijf en moet zwaar bestraft worden – dat is niet meer dan normaal. De privacywet uit 1992 kan misschien wel wat nuances gebruiken, die uiteindelijk kunnen bijdragen aan een gemoderniseerd en eenduidig veiligheidsbeleid. De wet voorziet geen juridisch kader voor whitehats, personen die met de beste intenties handelen. Omdat er geen regels en afspraken zijn voorzien waarin deze creatievelingen kunnen bewegen, ontstaan er soms conflicten. De oorzaak van deze disputen ligt vaak bij zowel de whitehats zelf als de bedrijven die er mee te maken krijgen. Vaak vinden de problemen hun oorzaak in communicatie – een essentieel element in het samenwerkingsproces. Langs de kant van het bedrijf vormen de tenen van de betrokken soms een belangrijke factor. Dit probleem kan als volgt gevisualiseerd worden: Teen van webontwikkelaar, ~ 3100ft.
Security researchers krijgen vaak te maken met “lange tenen”.
3 Responsible Disclosure – Samen safe, verantwoord & veilig
Natuurlijk kunnen researchers niet zomaar doen of laten – maar het huidige systeem biedt ze geen enkele optie om problematieken aan te kaarten. Natuurlijk kunnen ze in de zwaardere gevallen naar een journalist stappen, die met het nieuws naar buiten kan komen en zich op zijn beurt kan gaan beroepen op zijn brongeheim, maar dit zaait onnodige paniek. Helaas is er geen andere manier: Een persoon die een kwetsbaarheid ontdekt op een delicate website, neem nu die van de federale politie of overheid, heeft geen enkele legale manier om deze kwetsbaarheid te adresseren, zonder zelf risico op vervolging te lopen. Per slot van rekening zal dit “delict” in het beste geval vallen onder “poging tot hacken” – waarvoor de straffen gelijk staan aan het misbruiken van het systeem zelf. Voor het wetboek maakt het dus niet uit of iemand op de website van de belastingen een lek ontdek of misbruik – een hack is een hack. De onverschilligheid en veralgemening van het wetboek kan een gevoel van machteloosheid oproepen: mensen die het goed bedoelen krijgen stank voor dank. De stap naar de criminaliteit is dan (helaas) snel gemaakt – ze worden tóch al beschouwd als criminelen, soms zelfs als terroristen.
HACK< &FUTURE Hoe kan het nu anders in de toekomst? Dit is geen gemakkelijk thema. Computercriminaliteit mag niet in de spotlight gezet worden, er mag zeker geen gedoogbeleid ontstaan. Vooraleer er gebogen wordt over dit onderwerp, is het belangrijk dat enkele zaken volledig worden uitgeklaard en besproken. Een eenduidige wet voor computervredebreuk schept duidelijkheid, zowel voor magistraten als security researchers. Interessante vragen die men in rekening dient te nemen:
Wie is verantwoordelijk voor een datalek? (En wie kan effectief vervolgd worden?) o Het bedrijf: zij hebben hun systemen immers niet voldoende beveiligd, en zo de gegevens van hun klanten onbewust in gevaar gebracht (bijvoorbeeld: gegevens niet geëncrypteerd) o De hacker: deze pleegt namelijk een misdrijf o Beide partijen zijn in fout en kunnen vervolgd worden In welke mate mag een persoon onderzoeken of zijn gegevens veilig bewaard worden? o Niet: bij het overmaken van zijn gegevens aan het bedrijf in kwestie gaat de klant indirect akkoord met het veligheidsbeleid van het bedrijf o Op vraag: de klant heeft het recht om te weten hoe gegevens versleuteld worden en in welke mate het bedrijf investeert in diens veiligheid, maar mag zelf geen handelingen gaan uitvoeren. o Beperkt: de klant mag beveligingstests uitvoeren op het door het bedrijf verschaft product (website, toestel, …) – indien men dit product als “eigendom” van de klant kan beschouwen. Eigendom kan dus ook een persoonsgebonden
4 Responsible Disclosure – Samen safe, verantwoord & veilig
account op een website zijn. Voorwaarde is wel dat de klant anderen en het bedrijf hier niet mee schaadt. o Beperkt met meldingsplicht: beveiligingstests zonder toestemming kunnen, mits er geen schade wordt aangericht. Bij het ontdekken van een kwetsbaarheid geldt er echter wel meldingsplicht: de betrokkene dient het lek binnen afzienbare tijd over te maken aan de bevoegde instanties. Doet deze dit niet, of misbruikt deze de data, dan gaat het om computervredebreuk. o Volledig: een door het bedrijf verschaft product kan en mag naar harte getest worden door de klant – het is immers de verantwoordelijkheid van het bedrijf om zich hier tegen te wapenen. Een klant ontdekt – per toeval – een kwetsbaarheid. De klant heeft de beste bedoelingen en wenst ethisch te handelen. Hoe moet het verder? o Het is niet aan de klant om zich te moeien met het veiligheidsbeleid van een bedrijf. De klant maakt zich schuldig aan poging tot hacken en is strafbaar. o De klant is strafbaar en kan ook worden aangeklaagd door het bedrijf. Het is aan de onderzoeksrechter om na te gaan of er al dan niet ethisch gehandeld werd, en of de strafmaat hieraan kan worden aangepast (evt. seponeren), in principe is de daad strafbaar en is de al dan niet ethische werkwijze geen vrijgeleide. o De klant is strafbaar, maar kan gebruik maken van een anoniem meldpunt. Mits ethisch handelen (geen misbruik van data) worden diens gegevens anoniem behandeld en zal dit meldpunt hier geen gevolg aan geven. Indien het meldpunt de zaak belangrijk genoeg acht, zal deze de instantie in kwestie contacteren en de ontwikkelingen rond de zaak opvolgen. o De klant is niet strafbaar, beveiliging is immers de verantwoordelijkheid van het bedrijf. Het bedrijf dient echter geen gevolg te geven aan de melding van de klant – ze dient zich niet te verantwoorden, noch een oplossing te bieden. o De klant is niet strafbaar, en het is de verantwoordelijkheid van het bedrijf om deze zaak op te lossen. Indien het bedrijf geen gewenste oplossing kan bieden is de klant in staat een klacht in te dienen tegen het bedrijf, die afhankelijk van de omstandigheden tot vervolging kan leiden. Er vindt een hacking plaats bij een bedrijf – al dan niet op een ethische manier. Het bedrijf, noch diens klanten, dienen een klacht in. Het parket is echter wel op de hoogte van de situatie en beslist de zaak te onderzoeken. o Hacken is geen klachtmisdrijf, dus het parket kan de dader zonder problemen vervolgen, ook indien het bedrijf uitdrukkelijk vraagt dit niet te doen o Het parket kan, in overleg met het bedrijf, een onderzoek instellen naar de zaak en alsnog de dader vervolgen o Er is geen klacht ingediend: er is dus geen reden om een onderzoek op te starten. Het is niet bekend in welke omstandigheden (al dan niet ethisch) de situatie heeft plaatsgevonden, dus het bedrijf kan redenen hebben om geen klacht in te dienen, het parket respecteert dit. o Er kan enkel een onderzoek worden opgestart indien het bedrijf een klacht indient: zij zijn immers eindverantwoordelijk o Zowel het bedrijf als diens klanten kunnen een klacht indienen waaraan het parket gehoor moet geven: het gaat immers om de gegevens van de klanten, en zij hebben het recht op een goede bewaring ervan.
5 Responsible Disclosure – Samen safe, verantwoord & veilig
Beter voorkomen dan genezen. Repressie van hackers is niet altijd evident. Internet is een internationale tool, maar onze wetgeving hieromtrent is echter nationaal. Kwaadwillige hackers vallen vaak uit (van op een server in) het buitenland. De gerechtelijke politie heeft weinig middelen om deze individuen te bestrijden. Technologische opleidingen in de informatica zijn in. Samen met het aantal webmasters, stijgt ook het aantal hackers. Elke dag vinden nieuwe individuen hun weg naar de computercriminaliteit. Er kan veel voorkomen worden door deze (buitenlandse) stromingen geen kans te geven, en méér in te zetten op preventie: een gewaarschuwde webmaster is er twee waard. Om de cyberveiligheid te verbeteren moet men beginnen met de wortel van de cybersystemen: het onderwijs. In vele technologische opleidingen staat veiligheid nog té weinig centraal – of is simpelweg niet opgenomen in het leerplan. Het lijkt me frappant dat we scholieren en studenten leren constructies te maken die wel mooi, maar verre van veilig zijn. Security is een attitude – webontwikkelaars moeten er steeds rekening mee houden. In de bouw, in laboratoria en geneeskunde komt veiligheid steenvast op de eerste plaats. Waar blijft de webontwikkeling? Voorstel: elke informaticaopleiding dient een vast onderdeel beveiliging op te nemen in het leerplan Hoezeer we onze webontwikkelaars in spé ook klaarstomen voor een succesvolle en veilige carrière – zullen risico’s steeds blijven bestaan. Veiligheid is geen statisch iets. Elke dag worden er nieuwe technieken of misbruiken blootgelegd. Een voorbeeld hiervan zijn de fameuze “Heartbleed” en “Bug bash” kwesbaarheden – die voorkomen op een hallucinant groot aandeel van de websites – voor hun ontdekking jaren vatbaar voor misbruik. Deze kwetsbaarheden werden ontdekt door security enthousiastelingen, juist ja, de whitehats spelen effectief een aandeel in de veiligheid van het web. Dergelijke lekken kunnen aan het licht komen door een systeem dat “Responsible Disclosure” heet.
6 Responsible Disclosure – Samen safe, verantwoord & veilig
Responsible Disclosure is een systeem waarbij een bedrijf goedwillige hackers aanmoedigt om op een verantwoorde manier kennis uit te wisselen, opdat een kwetsbaarheid kan verholpen worden. Binnen een juridisch kader dat het bedrijf schept. De researchers zijn echter, althans volgens de Belgische wetgeving nog steeds strafbaar: Responsible Disclosure is louter een belofte: “als je je aan onze regels houdt, zullen we geen klacht indienen.” De regels van zo’n bedrijf variëren. Veeleer specifiëren ze de breedte en de diepte van een dergelijk responsible disclosure programma. De breedte stelt de scope van een dergelijk programma voor: waar mogen de researchers zoeken? De diepte gaat dan weer in op wat ze op deze locaties allemaal mogen uitspoken: in welke lekken is het bedrijf geïnteresseerd? In welke absoluut niet? Vaak gaan de regels en afspraken met een opgelegde gedragscode: het verbieden van automatische tools voor het vinden van kwetsbaarheden, tenzij het niet anders kan. Ook wordt hier regelmatig afgesproken dat onderzoekers geen schade mogen toebrengen aan het bedrijf, klanten of derden. Mits goed aangepakt en onderhouden, kan een responsible disclosure programma fantastische zaken te weeg brengen: researchers worden gestimuleerd, krijgen waardering en een speelgrond om hun kunsten te bewijzen. Dit kan hen weg houden van de criminaliteit. Voor de bedrijven zijn er ook verschillende voordelen, in vergelijking met het inhuren van een security auditor:
Responsible Disclosure
Security auditor
Kan gratis Kan op regelmatige basis
Vaak duur Eenmalig: per keer een audit vastleggen en afhandelen Kennis van één enkele persoon
Kennis van verschillende mensen, met verschillende achtergronden uit verschillende culturen Biedt een juridisch kader voor klanten die een kwetsbaarheid ontdekken
Biedt geen juridisch kader voor klanten die een kwetsbaarheid ontdekken
Sommige bedrijven zijn dermate tevreden van hun samenwerking met sommige white hat hackers, dat ze riante beloningen – al dan niet in de vorm van geld - uitkeren aan de vinders van de kwetsbaarheden – ook wel bug bounties genoemd. Een impressie van Google’s prijslijst:
7 Responsible Disclosure – Samen safe, verantwoord & veilig
Toch doen de white hat hackers – noem ze moraalridders – dit vaak niet voor het geld. Sommige bedrijven eren hun helpers met een Security Hall of Fame, een lijst met namen van mensen die iets hebben toegedragen aan de veiligheid van een website of service. Het is een klein gebaar, gratis, maar volstaat voor vele security researchers. .
Er zijn sinds vorig jaar verscheidene platformen die Responsible Disclosure promoten en gratis middelen en tips aanbieden om dit in praktijk te brengen – voorbeelden hiervan zijn BugCrowd en HackerOne. Deze laatste wordt gebruikt door het allereerste bedrijf die het responsible disclosure principe hanteert: Mobile Vikings.
8 Responsible Disclosure – Samen safe, verantwoord & veilig
De federale regering kan vooruitstrevende en effectieve maatregelen treffen om de cybercriminaliteit te minderen
Bedrijven meer verantwoordelijkheid geven in databescherming o Datalekken streng bestraffen o Bedrijven verplichten zich te verantwoorden na een data lek o Bedrijven verplichten voorzorgen te nemen Algemene standaarden oprichten waaraan elk publiek systeem dat gegevens van derden verwerkt moet voldoen Verplichte encryptie wachtwoorden Publieke systemen moeten up-to-date zijn met een marge van een x-aantal jaar Bij grote websites: aparte databanken en servers voor gevoelige gegevens Afhankelijk van de context: verplichte periodieke security audits Bijvoorbeeld: overheid, banken, … Aanmoedigen van Responsible Disclosure programma’s Niet verplichten, wel goed informeren Opvolging van datalekken o Veiligheid moet verbeteren o Verplichte bijscholing webdevelopers o Binding aan periodieke verplichte security audits Security inbakken in het onderwijs o Verplichte lesuren security voor iedereen die digitale systemen bouwt. Evt. koppeling apart certificaat Aanmoedigen responsible disclosure o Responsible disclosure (met beloningen) voor overheidsinstanties (goede voorbeeld) Cfr. Nederland: belastingsdienst o Goed informeren o Anoniem meldpunt Hacken wordt een klachtmisdrijf o Biedt de bedrijven meer mogelijkheden en vertrouwen voor samenwerking Poging tot hacken is juridisch niet langer gelijk aan hacken o Moet meer naar context gekeken worden: wat waren de motieven? Is er ethisch te werk gegaan? Heeft het bedrijf, of derden, schade geleden? Was het maatschappelijk verantwoord? Klanten hebben tot op zekere hoogte het recht om beveiliging hun eigendommen (incl. accounts) te onderzoeken – mits regels en afspraken worden nageleefd en er geen schade wordt berokkend
9 Responsible Disclosure – Samen safe, verantwoord & veilig
