Achtergrondartikel


Een jaar lang lekken melden, aflevering 2

De eerste oogst

Vorige maand berichtte ik jullie al over het bijzondere initiatief van de stichting GDI Foundation: een jaar lang lekken opsporen, melden bij de betrokkenen en discreet afhandelen. Responsible disclosure noemen we dat. Het draait met name om de visie en droom van ethisch hacker Victor Gevers, alias @0xDUDE.

Door Chris van ‘t Hof

Gevers wil voorkomen dat er misbruik wordt gemaakt van informatie die wij met z'n allen op het internet achterlaten. Vaak blijken degenen die onze informatie beheren daar onzorgvuldig mee om te gaan: ze zijn te makkelijk te hacken, of laten zelfs hele databases gewoon open online staan. Als hij dat ziet, meldt hij dat direct, compleet met instructies hoe het lek te dichten.

Gevers is hier sinds 1 januari vijftien uur per dag mee bezig. Dat wil hij het hele jaar gaan doen, alle 366 dagen. Samen met Vincent Toms heeft hij de stichting GDI opgezet. Vooralsnog krijgen zij veel positieve reacties van zowel de security-wereld als van hun vrienden. Verschillende organisaties hebben hun infrastructuur en tools ter beschikking gesteld. Deze week ontvingen ze daarbovenop ook nog de Surf Security Award. Enkele individuen hebben een donatie in het fonds gedaan – niet genoeg om van te leven, maar wel een bemoedigend begin. Ook hebben zich een paar ervaren hackers gemeld om te gaan helpen bij het vinden, melden en afhandelen van kwetsbaarheden. 28 januari sprak ik met Gevers en Toms. Wat waren de reacties van de mensen bij wie ze de lekken hebb en gemeld?

Laks reageren

Op hun site is te lezen dat ze 119 meldingen hebben gedaan van kwetsbaarheden, verspreid over 110 bedrijven in 32 landen: in totaal 9,5 TeraByte aan open databronnen. 65 procent van de kwetsbaarheden is inmiddels gefixed, 35 procent dus nog niet. Volgens Gevers is het opvallend dat juist grote multinationals nogal eens laks reageren, terwijl kleinere organisaties wel snel actie ondernemen. Toms kan zich behoorlijk opwinden als organisaties niet eens de moeite nemen om te reageren op hun meldingen. ''Vooral als je dan ziet dat iedereen gewoon bij patiëntgegevens kan. Het gaat hier over gevoelige persoonlijke dossiers. Ik snap niet waarom die organisaties niet direct actie ondernemen om het lek te dichten.''

Victor kijkt gelaten. Na 4.680-meldingen in de afgelopen zeventien jaar weet hij dat er nog veel te winnen valt voor responsible disclosure. Nederland is volgens hem daarin al wel wat verder dan andere landen. Hier wordt steeds beter gereageerd op meldingen en krijgt hij op zijn minst een bedankje voor het advies. Uit landen als Rusland en Oekraïne hoort hij in de regel nooit wat terug, zelfs als het een grote target zou kunnen zijn zoals een bank of energiecentrale. Wel ziet hij dan dat het lek stilletjes gedicht wordt. Geen credits of bedankje, maar het helpt wel.

Een keer zag hij ook vele Terabytes aan data naar een IP-adres in China gaan. ''Iemand in China was allerlei open databases van over de hele wereld aan het leegtrekken, maar had zelf ook zijn beveiliging niet op orde. Dat heb ik gemeld bij het Chinese CERT, maar ook daar werd niet op gereageerd.'' Bij hoge uitzondering meldde hij dit wel op Twitter. IP-adres 118.192.48.33 kreeg er op Twitter flink van langs van @0xDUDE. Als kanttekening geeft Victor wel aan dat iemand anders gebruik heeft kunnen maken van de computer van de Chinees om de data binnen te halen. Met andere woorden: waar de gekopieerde data daadwerkelijk heen is gegaan en wie hiervoor verantwoordelijk is, weten we niet.

Keten aan kwetsbaarheden

Het is verleidelijk om uit deze eerste gevallen al een soort landenoverzicht te maken, maar voor een statistische analyse is hun dataset nu nog te klein. Bovendien zien ze vaak niet een enkele partij achter het lek, maar een keten aan kwetsbaarheden: een eigenaar van de data gebruikt een applicatie van een leverancier, die het weer heeft gehost bij een provider in een ander land, etc. Gevers: ''Interessant is wel, dat zodra er een Nederlandse partij in die keten zit, dat die vaak wel reageert op onze meldingen. Ik denk dat we dan ook best trots mogen zijn op hoe Nederland het doet.''

Gevers maakt zich vooral zorgen om andere melders die minder discreet te werk gaan. Zo was er een recent voorbeeld van een chemische installatie die hij vond via de beruchte zoekmachine Shodan. De link en het nummer van de open poort werd door een 'journalist' op Twitter gezet met de vraag: ''What could possibly go wrong!? Dit is niet om te helpen, maar gewoon een 'full disclosure' om mensen mee af te zeiken.

Hetzelfde overkwam het gebruikers van babycams. Van sommige zijn namelijk de inloggegevens gewoon op internet te vinden, zowel die van de service-provider waar de data wordt gehost als die van de camera zelf. Terwijl iemand hier vrolijk linkjes aan het posten was, waren de heren van GDI al langer bezig de leveranciers te waarschuwen voor dit ernstige lek. Een enkeling gaf nog wel een reactie, maar geen van de leveranciers nam de moeite om hun klanten te informeren dat zij hun wachtwoord moesten wijzigen. Uiteindelijk heeft de media het opgepakt. Hopelijk zien de ouders nu zelf in hoe kwetsbaar ze zijn...

Onopgeloste zaken

Een melding van GDI betrof de media zelf. De redactie van magazine Wired - dat zich nota bene profileert als voorloper in de digitale wereld - had hun database al een tijdje open staan. Zo kon je bijvoorbeeld zelf artikelen aanpassen en publiceren. GDI mailde hun Heads of Operations, maar die reageerde niet. Ze besloten het daarom ludiek op te lossen: via een Twitter poll. De uitslag: 32 procent ''Keep trying'', 24 procent, ''Tell the press'', 42 procent, ''Do a full disclosure'' en slechts 2 procent koos voor ''Do nothing''. Na het plaatsen reageerde er wel iemand vanuit Wired. @kathleencodes, de Director of Engineering van Wired, beloofde via Twitter de verantwoordelijke aan te spreken en waardeerde ''the heads up''. Dat is het laatste wat GDI van Wired hierover heeft vernomen, al is het lek wel gedicht.

De meesten reageren dus gelukkig wel positief en aan de onopgeloste zaken wordt nu gewerkt. Daarover meer in de volgende afleveringen, hier bij SecurityVandaag, elke eerste week van de maand.


Links

Video: @0xDUDE en @cvthof te gast bij Stadsleven van TracyMetz:
http://www.stadslevenamsterdam.nl/2016/01/20/video-chris-van-t-hof-en-0xdude/

Meer:Vorige afleveringen van "Een jaar lang lekken melden":
''Aflevering 1: Easy to get & High Risk''

 

Lees meer over