Wanneer mag ik als ethisch hacker een kwetsbaarheid openbaar maken?
14/05
Het gebeurt wel eens dat je als ethical hacker een kwetsbaarheid van dusdanige aard ontdekt dat het ernstige maatschappelijke gevolgen zou kunnen hebben als er misbruik van gemaakt wordt. Als ethisch hacker heb ik in principe een geheimhoudingsplicht, en dat wringt hier behoorlijk. Zijn er uitzonderingen waarin dat wel zou mogen of misschien zelfs zou moeten?
Er zijn vele definities van “ethisch hacker”. Een mooie neutrale is die van Wikipedia: een hacker die fouten wil opsporen, om ze vervolgens te melden aan de betreffende, `gehackte’ bedrijven of instanties. Die kunnen deze dan herstellen.
Het ethische hieraan is met name dat je zo’n melding in vertrouwen doet, en er geen misbruik van maakt of deze voor eigen gewin exploiteert. Je motivatie is dat het bedrijf het oplost, meer niet.
Een al heel lang bekend probleem bij het melden van fouten of gaten in de beveiliging is dat je melding wordt genegeerd of onder het tapijt wordt geveegd. De oplossing staat bekend als responsible disclosure. Je geeft de organisatie een redelijke termijn om het op te lossen, maar je bent vrij om daarna te publiceren.
Dit werkt echter niet als je een afspraak hebt met de organisatie over geheimhouding. Dat kan zijn omdat je via een betaalde opdracht (zoals een pentest) werd ingehuurd, of omdat je meedeed aan een bug bounty. Als je de bijbehorende voorwaarden accepteert en daar staat geheimhouding in, dan gaat die afspraak boven de normale regels.
Alleen in zéér uitzonderlijke situaties kun je zo’n afspraak doorbreken. Je komt dan op het niveau van noodweer, je kunt als mens in deze maatschappij écht niet anders dan je afspraak tot geheimhouding schenden om dit aan de kaak te stellen. Er is in Nederland geen algemene regel dat je geheimhouding mag negeren als je in een klokkenluidersituatie zit als leverancier.
(Je kúnt natuurlijk een anonieme tip aan het NCSC doen en uitleggen dat je contractueel klem zit, maar of de tip dan opgepakt wordt, weet ik niet. Bovendien is het dan nog steeds jouw probleem als uitkomt dat jij de melding deed.)
Arnoud
Het bericht Wanneer mag ik als ethisch hacker een kwetsbaarheid openbaar maken? verscheen eerst op Ius Mentis.
Datum: dinsdag 14 mei 2024, 08:19
Bron: Iusmentis Blog
Categorie: Internet en ICT
Gerelateerde berichten:
- Ethische hackers mogen dankzij nieuwe wet Belgische bedrijven hacken zonder toestemming (17/02/23 08:22)
- Hacker maakt Flash beschikbaar op iPhone 4 (09/08/10 12:50)
- John van den Heuvel ontmaskert Ponticorvo’s hacker (17/04/18 07:56)
- Website DigiNotar gekraakt vanwege Srebrenica (06/09/11 13:47)
- Website DigiNotar gekraakt `vanwege Srebrenica` (06/09/11 13:47)
Reacties:
Er zijn nog geen reacties op dit bericht.