Il governo olandese mira a definire le pratiche di divulgazione degli hacker etici

Il centro di sicurezza informatica del governo olandese ha pubblicato linee guida che spera di incoraggiare gli hacker etici a divulgare le vulnerabilità della sicurezza in modo responsabile.

"Le persone che segnalano una vulnerabilità IT hanno un'importanza responsabilità sociale ", ha detto il ministero olandese della Sicurezza e della Giustizia, annunciando le linee guida per l'hacking etico che sono state pubblicate dal National Cyber ​​Security Center (NCSC) del paese.

Gli hacker white-hat e i ricercatori di sicurezza svolgono un ruolo importante nel garantire Sistemi IT individuando vulnerabilità, ha detto il NCSC. Tuttavia, il centro ha affermato che i ricercatori di sicurezza sono a volte riluttanti a rivelare vulnerabilità alle aziende, invece di utilizzare i media per annunciare vulnerabilità, che è una pratica indesiderabile perché espone un buco prima che venga risolto. (Vedi anche "Gli" attivisti audaci "fanno dichiarazioni sociali, afferma Scholar.))

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Con la guida, il governo vuole fornire alle organizzazioni un quadro per creare le proprie politiche sulla divulgazione responsabile. Ivo Opstelten, ministro della sicurezza e della giustizia, intende incoraggiare un ampio uso degli orientamenti di divulgazione responsabili all'interno del governo, ha detto in una lettera inviata al parlamento.

Mentre la guida pubblicata non influisce sul quadro giuridico esistente, incoraggia le parti a collaborare per rendere i sistemi IT più sicuri, ha detto il NCSC. Ad esempio, aziende e amministrazioni pubbliche potrebbero offrire un modulo online standardizzato che può essere utilizzato dai ricercatori di sicurezza per notificare a un'organizzazione se riscontrano una vulnerabilità.

L'azienda e il ricercatore possono anche accettare di rivelare la vulnerabilità entro un determinato periodo telaio. Un periodo accettabile per la divulgazione delle vulnerabilità del software è di 60 giorni, mentre un periodo ragionevole per divulgare le vulnerabilità hardware più difficili da risolvere è di sei mesi, ha detto il NCSC. Quando un'organizzazione decide di seguire queste linee guida, dovrebbe includere nella sua politica che non intraprenderà azioni legali contro hacker etici che rispettano le regole, ha aggiunto.

Il Pubblico Ministero olandese manterrà comunque l'opzione di perseguire quando sospetta che siano stati commessi crimini, ha detto il ministero della Sicurezza e della Giustizia.

Procedura raccomandata

La persona che scopre la vulnerabilità dovrebbe segnalarlo direttamente e il più presto possibile al proprietario del sistema in modo confidenziale, quindi la perdita non può essere sfruttata da altri. Inoltre, l'hacker etico non utilizzerà tecniche di ingegneria sociale, né installerà una backdoor o copierà, modificherà o cancellerà dati dal sistema, specificando il NCSC. In alternativa, un hacker potrebbe creare un elenco di directory nel sistema, hanno detto le linee guida.

Gli hacker dovrebbero inoltre astenersi dal modificare il sistema e non accedere ripetutamente al sistema. Anche l'utilizzo di tecniche a forza bruta per accedere a un sistema è scoraggiato, ha detto il NCSC. L'hacker etico deve inoltre concordare che le vulnerabilità verranno divulgate solo dopo essere state fissate e solo con il consenso dell'organizzazione coinvolta. Le parti possono anche decidere di informare la più ampia comunità IT se la vulnerabilità è nuova o si sospetta che più sistemi abbiano la stessa vulnerabilità, ha detto il NCSC.

Mentre la procedura di divulgazione responsabile è in linea di massima una questione per il rilevatore e il organizzazione, il NCSC può fungere da intermediario se viene segnalato direttamente a una vulnerabilità.

"Penso che questa sia una cosa molto buona, specialmente quando il NCSC funge da intermediario", ha dichiarato Ronald Prins, CEO della sicurezza olandese ditta Fox-IT. Uno dei problemi che gli hacker etici devono affrontare è che hanno difficoltà a prendere sul serio se denunciano una vulnerabilità a una società, e hanno difficoltà a raggiungere la persona giusta, ha detto.

Se un'organizzazione viene contattata in merito a una vulnerabilità di sicurezza di un'organizzazione governativa ufficiale come il NCSC, probabilmente prenderà più seriamente l'avvertimento, ha aggiunto. I moduli online utilizzati per segnalare la vulnerabilità direttamente alla persona giusta all'interno di un'organizzazione potrebbero anche aiutare questo processo, ha aggiunto.

Mentre c'è poca flessibilità data agli hacker etici all'interno delle linee guida, Prins ha detto di aver capito perché il governo ha fatto ciò. Impedisce agli hacker etici di superare la linea, ha detto.

"Vedo che alcune persone sono deluse" perché al Pubblico Ministero è ancora permesso di perseguire quando lo ritengono necessario, ha detto Prins. Ma è impossibile non farlo, ha aggiunto. "Sarei molto contento se qualcuno segnalasse un problema che ha trovato", ha detto. Ma se quella persona trascorre giorni a martellare i suoi sistemi per entrare, Prins prenderebbe sicuramente in considerazione la possibilità di presentare un reclamo legale, ha detto.

Loek è il corrispondente di Amsterdam e copre la privacy online, la proprietà intellettuale, i problemi di pagamento online e open-source per l'IDG Servizio di notizie. Seguilo su Twitter a @loekessers o invia suggerimenti e commenti via email a [email protected]