Column


Een jaar lang lekken melden, aflevering 4

Going global

Verslag doen van iemand die een jaar lang 15 uur per dag beveiligingslekken zoekt en meldt, is soms net als een interview doen met een iemand die continu marathons loopt. Je wilt zoveel mogelijk te weten komen, maar hem ook niet te lang ophouden. Het was daarom extra bijzonder om 0xDUDE van de GDI Foundation naar Budapest te volgen en hem daar te zien vertellen hoe belangrijk responsible disclosure is.

Door Chris van ’t Hof

We hebben het hier over het Global Forum on Cyber Expertise van 23 maart 2016. Nederland was als GFCE secretariaat en voorzitter van de EU, ruim vertegenwoordigd. Naast Europeanen waren er ook enkele Amerikanen en Aziaten. In totaal ongeveer honderd deelnemers, met name CERT’s en CISO’s van overheden en grote bedrijven. Zelf gaf ik ook een presentatie, over de Engelstalige versie van mijn boek: “Helpful Hackers. How the Dutch do Responsible Disclosure”. Net als het boek eindigde ik de presentatie met het bijzondere verhaal over 0xDUDE.

Manifest
De stemming was optimistisch. Responsible disclosure is immers een positieve boodschap: er zijn mensen die gratis helpen de beveiliging te verbeteren. Maar, net als in Nederland kampen veel landen met het feit dat helpende hackers ook wel eens de wet overtreden: computervredebreuk om te laten zien dat je ergens in kunt. Wellicht een groter probleem is dat veel softwarefabrikanten zich liever doof houden voor goedbedoelde adviezen, de verantwoordelijkheid voor beveiligingslekken afschuiven of zelfs gaan dreigen met rechtszaken uit angst voor bedrijfsschade. Alle landen hebben ditzelfde probleem, maar bleken elk ermee om te gaan vanuit hun eigen culturele context.

Nederland ziet zich graag als voorloper in responsible disclosure en dat is in zekere zin ook zo. Hans de Vries, directeur NCSC vertelde trots over onze leidraad, hoe die tot stand kwam met vele stakeholders en nu succesvol wordt toegepast. Steeds meer bedrijven en het grootste deel van de Nederlandse overheid heeft nu RD beleid en een meldpunt. De wet aanpassen om helpende hackers tegemoet te komen gaat volgens hem echter te ver. Met goed overleg komen we er ook wel. De bottom line is volgens hem: “don’t go to far”, wat hij illustreerde met de zaak Henk Krol die inderdaad net wat te ver ging toen hij medische data openbaarde om aan te tonen dat Diagnostiek voor U lek was. De publiek-private samenwerking werd bezegeld door Paul Samwel die daar namens zowel CIO Platform als Rabobank kwam met een Manifest voor responsible disclosure.

For the greater good
Baiba Kaškina, hoofd van het Latvian Computer Emergency Response Team liet zien dat Letland zeker niet voor ons onder doet. Ook daar gingen helpende hackers los op hun OV-chipkaart, eID en bankieren-apps, terwijl haar CERT de onthullingen van kwetsbaarheden coördineerde. Baiba is dan wel geen juriste, maar ze begrijpt goed dat de technische oplossingen die ze zoekt wel op allerlei wetten stuiten. Niettemin werd ook daar in verschillende zaken computervredebreuk afgetroefd door het van vrijheid op meningsuiting en nieuwsgaring, of beter gezegd: “hacking is allowed if it’s for the greater good.” Helpende hackers komen daarom hun gevonden kwetsbaarheden steeds vaker bij haar CERT melden, waar medewerkers beoordelen hoe en wanneer die gepubliceerd worden.

Illes Solt, Technical Lead of the Hungarian National Cyber Security Center, liet zien dat gastland Hongarije zelfs een stap verder gaat. Daar hebben ze een pool van hackers die in opdracht van de overheid software testen, bijvoorbeeld veel-gebruikte cryptografische technieken. Als ze een kwetsbaarheid vinden, rapporteren ze aan het CERT, die de bevindingen meldt bij de vendor in kwestie. Reageert die daar niet of onvoldoende op, dan maakt het CERT niet alleen de kwetsbaarheid openbaar, maar ook het feit dat de vendor niet mee werkt met het oplossen ervan: een soort naming en shaming. Deze aanpak komt op ons Nederlanders wellicht wat hard over, maar het werkt wel.

Allan Friedman sprak namens de VS. Zijn verhaal kwam erop neer dat de overheid het overlaat aan de bedrijven. Zelfregulering noemen we dat, maar wij weten inmiddels dat dat niet genoeg is.

Ontbijtend hacken
En toen kwam 0xDUDE. Na de net-geklede vertegenwoordigers met diplomatiek gewogen woorden, zat daar ineens iemand in zwart Zerocopter T-shirt van alles uit zijn laptop te toveren. Zoals het betaalsysteem van het hotel waar iedereen die nacht had verbleven. Nee, hij had het niet gehackt, hij kon er gewoon in. Een andere open bron aan de ontbijttafel was in het Hongaars, dus vroeg hij het publiek: “Anyone knows what this is?” Na wat rumoer in de zaal blijkt het hier te gaan om een groot farmaceutisch bedrijf dat naast het hotel zit. Hier zou je dus kunnen zien wie wanneer welke medicatie heeft aanschaft. Die ochtend was het me bij het ontbijt in het hotel al opgevallen dat, terwijl iedereen vooral aan het kennis maken was met elkaar, hij alleen maar met zijn laptop bezig was. Dit was hij dus aan het doen. En ja, de lekken zijn die ochtend nog gedicht.

Dit was nog maar het begin. De zaal keek aandachtig toe hoe 0xDUDE de ene na de andere open bron tevoorschijn toverde, vele duizenden per land. De top tien van werd die ochtend aangevoerd door de VS met 14.406 hosts waarbij je zo een zoekopdracht in hun database kunt loslaten. Iemand van het Roemeense CERT vroeg nog voorzichtig: “So, you do brute forcing to enter?” 0xDUDE: “No, these are just open”, en hij klikte door naar de volgende slide: “Also, in Europe alone, there are still 227,279 devices vulnerable for Heartbleed and 5,893 for Shellshock. If we, as CERTs, take a month or so, we can clean all this up.”

Leren vissen
De bezoekers waren er stil van. Niemand durfde meer wat te vragen, maar na afloop van de presentatie, tijdens de lunchpauze des te meer. Diverse CERT’s willen graag meer weten over de open bronnen, trainingen krijgen en samen de kwetsbaarheden oplossen.

Ik vroeg 0xDUDE of dit soort uitjes niet teveel ten koste gaan van zijn hacksabbatical. Nee, dit hoort er inmiddels bij. Want in plaats van elke melding zelf af te handelen, ziet hij nu mogelijkheden ze in bulk door te zetten naar de CERT’s: “Je komt vis brengen en wil aan het einde van de dag dat ze zelf kunnen vissen. Daarvoor moest ik wel echt hier naartoe. Meer dan in Nederland baseert men vertrouwen hier op fysieke aanwezigheid.” In de volgende aflevering gaat hij naar Senegal, om de CERT’s van West-Afrika te ontmoeten.


Lees meer over