SlideShare a Scribd company logo

Responsible Disclosure - For Dutch ISACA chapter

Download as PPTX, PDF
Frank Breedijk
Frank Breedijk

Als iemand een kwetsbaarheid in software of een infrastructuur ontdekt dan heeft hij een aantal mogelijkheden. Niets doen, zelf ‘gebruiken’, doorverkopen, openbaar maken of melden aan de organisatie verantwoordelijk. Vrijwel iedereen geeft de voorkeur aan het laatste, dit laatste heet Resposible Disclosure. In deze sessie zal ik, vanuit onze ervaring met RD proberen een aantal vragen rond het onderwerp te beantwoorden, zoals: • Werkt het? (Hint: onze policy stamt uit 2012) • Wat zijn de valkuilen? • Waarom beperken jullie de tester? • Wat is de relatie met de meldplicht datalekken? • Crowd sourced testing en RD hetzelfde of anders?

Technology
1 of 31
ISACA ISACA Round Table Februari 2016 RESPONSIBLE DISCLOSURE
ISACA WHOAMI Frank Breedijk • Security Officer at Schuberg Philis • Author of Seccubus • Blogger for CupFigther.net Email fbreedijk@schubergphilis.com Twitter @Seccubus Blog http://cupfighter.net Project http://www.seccubus.com Company http://www.schubergphilis.com photograph by Arthur van Schendel
ISACA Wat zou u willen dat u buurman doet? a) Bij u binnenstappen en uw huis leeghalen b) Een afdruk maakt van uw sleutels a) Voor eigen gebruik b) Om door te verkopen aan een crimineel c) Niets d) Bij u binnenstappen om te kijken of u thuis bent en u te attenderen op uw vergeten sleutels Formeel is alleen optie c (en mogelijk b) legaal IS DIT U OOIT OVERKOMEN?
ISACA Een ‘hacker’ vind een (mogelijke) kwetsbaarheid in uw website, wat wilt u dat hij doet? a) Uw database leeghalen of wissen? b) De kwetsbaarheid noteren en a) Later zelf gebruiken b) Door verkopen aan een crimineel c) Niets d) U op de hoogte stelt van het lek Formeel is het zoeken naar kwetsbaarheden mogelijk al strafbaar COMPUTERVREDEBREUK
ISACA Wij kozen in 2012 voor optie D. OPTIE D
ISACA Als we willen dat mensen naar ons toe komen om kwetsbaarheden te melden, zullen we ze een veilige omgeving moeten bieden Doel • Kwetsbaarheden verantwoord melden • Meldingen zorgvuldig af te handelen • Schade voorkomen of beperken • Voldoende tijd beschikbaar voor herstel tussen melding en publicatie LEIDRAAD RESPONSIBLE DISCLOSURE Volcano Parking a CC NC SA 2.0 image by Kirk Biglione https://www.flickr.com/photos/51035690166@N01/77310845/
ISACA Zo hoort het inderdaad niet… Alle “blurring” is gedaan door de spreker VERANTWOORD MELDEN
ISACA Wat verwachten we van de melder? Niet publiek, maar prive Aan de partij die verantwoordelijk is Bij voorkeur versleuteld Met voldoende informatie Veilig Waar moeten wij voor zorgen? Maak duidelijk waar een kwetsbaarheid gemeld kan worden Maak duidelijk waarvoor je rapportages accepteert Maak duidelijk dat je complete meldingen verwacht Geef de melder de mogelijkheid te versleutelen Geef de melder de mogelijkheid anoniem te blijven Beloof eventueel geen aangifte te doen VERANTWOORDE MELDING
ISACA Waar moeten wij voor zorgen? Maak duidelijk waar een kwetsbaarheid gemeld kan worden Maak duidelijk waarvoor je rapportages accepteert Maak duidelijk dat je complete meldingen verwacht Geef de melder de mogelijkheid te versleutelen Geef de melder de mogelijkheid anoniem te blijven Beloof eventueel geen aangifte te doen VOORBEELD: HTTPS://NCSC.NL/SECURITY
ISACA Zie ook: http://pastebin.com/zzi2WYK6 Miscommunicatie tussen Facebooks security team en ’hacker’ Khalil zorgt ervoor dat Khalil besluit zijn kwetsbaarheid te demonstreren. Zo moet het dus niet… MELDINGEN ZORGVULDIG AFHANDELEN
ISACA Wat verwachten we van de melder? Voldoende informatie om de kwetsbaarheid te kunnen lokaliseren en valideren Mogelijkheid om vragen te stellen Geduld! Waar moeten wij voor zorgen? Geef helder weer wat u verwacht Geef aan hoeveel tijd u nodig heeft en waarom Neem elke melding serieus Houd de melder op de hoogte van de voortgang Beloon en bedankt MELDINGEN ZORGVULDIG AFHANDELEN
ISACA Waar moeten wij voor zorgen? Geef helder weer wat u verwacht Geef aan hoeveel tijd u nodig heeft en waarom Neem elke melding serieus Houd de melder op de hoogte van de voortgang Beloon en bedank VOORBEELD: HTTPS://NCSC.NL/SECURITY
ISACA Zelf weten en oplossen is beter dan publiek aan de schandpaal genageld worden Qua tijdlijnen ben je zelf de baas, maar het moet ook in de ogen van de melder redelijk zijn VOORKOM/BEPERK SCHADE VOLDOENDE TIJD Very broken Mustang Mach1 a CC SA 2.0 image by Vetatur Fumare https://www.flickr.com/photos/10047629@N04/14640401305/
ISACA Er is in de meeste gevallen spraken van een beveiligingslek Is er ook spraken van een incident? • Is de melder netjes geweest, of heeft hij persoonsgegevens gezien? • Is er al eerder misbruik gemaakt van de kwetsbaarheid? Gegevens verloren of onrechtmatig verwerkt? • Logging is heel belangrijk om dit uit te sluiten DE MELDPLICHT EN RESPONSIBLE DISCLOSURE Uit: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf
ISACA Logging en monitoring is dus cruciaal DE MELDPLICHT EN RESPONSIBLE DISCLOSURE Uit: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf
ISACA Wij geven geen geld voor meldingen maar wel: Of: • T-shirt naar keuze • € 100,- donatie aan Room to Read • Fles champagne (wel zelf ophalen) En: • Vermelding in onze hall of fame WEL OF GEEN BELONING They are Prada a CC NC ND 2.0 image by Vaguely Artistic https://www.flickr.com/photos/86819618@N00/422353644/
ISACA Veel rapportages uit “time rich/money poor” landen Responsible Disclosure wordt gebruikt een CV op te bouwen Vaak wordt er gemeld uit overtuiging OOK EEN KLEINE BELONING WERKT
ISACA In je Responsible Disclosure policy kun je het type meldingen beperken Bekende uitsluitingen zijn: • Denial of Service attacks • Brute Force Password guessing • Social engineering Dit om schade te voorkomen Mijn buurman mag best voelen of mijn deur goed dicht zit, maar niet mijn huis aansteken om te kijken of het brand BEPERKINGEN Shackled to the floor CC ND 2.0 image by Jason Ilagan https://www.flickr.com/photos/30033419@N00/428014152/
ISACA Ik zie een verschil tussen Responsible Disclosure en Crowd-source bug hunting Responsible disclosure : open staan voor meldingen en hier verantwoord mee omgaan Bug hunting: een beloning uitloven om zoveel mogelijk mensen naar bugs te laten zoeken Anderen (ook melders) zien dit verschil soms niet CROWD-SOURCED BUG HUNTING Multitud a CC NC ND 2.0 image by Hersson Piratoba https://www.flickr.com/photos/36612932@N02/5759051721/
ISACA Bugcrowd https://bugcrowd.com/ HackerOne https://hackerone.com/ Google https://www.google.com/about/appsecurity/reward- program/ The Internet Bug Bounty (Facebook & Microsoft) https://internetbugbounty.org/ Zero Day Initiative http://zerodayinitiative.com/ Geven allemaal (cash) rewards voor vulnerabilities Kunnen helpen een RD programma in te richten BUG BOUNTY PROGRAMS
ISACA In 2013 + 2014 208 meldingen, waarvan 68 geldig In 2015 64 RD meldingen, waarvan 8 geldig Van de 410 tickets totaal, 131 spam (32%) IN DE PRAKTIJK
ISACA Populairste onderwerpen van 2015 • Mail/SPF/DKMI - 23 meldingen • TLS – 6 meldingen • Information disclosure – 4 meldingen • Cross Site Scripting – 4 meldingen • Cross Site Request Forgery – 3 meldingen • Host header manipulation – 3 meldingen • Wildccard domain – 2 meldingen • Clickjacking – 2 meldingen • DoS – 2 meldingen • Verkeerde website – 2 meldingen Terechte meldingen • TLS – 3 meldingen • Cross Site Scripting – 1 melding • Host header manipulation – 1 melding • Clickjacking – 1 melding • Melding over 3e partij – 1 melding • CRLF injection – 1 melding IN DE PRAKTIJK
ISACA Doe het niet (zelf) als je de beveiliging niet op orde hebt • Bijna 500 meldingen in 3 haar waarvan 76 terecht PRAKTIJKLESSEN England - Pub Sidewalk Sign 2 a CC ND 2.0 image by Roger W https://www.flickr.com/photos/24736216@N07/19925163296/
ISACA Nederland loopt voorop In andere landen is me nog niet zo ”liberaal” Kan moeilijk zijn dit door legal heen te krijgen PRAKTIJKLESSEN Amsterdam 2008 a CC NC SA 2.0 image by Martin Wippel https://www.flickr.com/photos/25535162@N02/2657770215/
ISACA Geen aangifte doen is niet hetzelfde als onschendbaarheid De beheerder is niet de enige partij de aangifte kan doen: • In geval van persoonsgegeven kan iedere benadeelde aangifte doen • De beheerder is niet altijd de eigenaar van de site Ook zonder aangifte kan het OM vervolging instellen PRAKTIJKLESSEN What can you go to jail for? a CC NC 2.0 image by Christian Handley https://www.flickr.com/photos/94975149@N00/388489848/
ISACA Een fles champagne opsturen naar b.v. Saoedi Arabië is geen goed idee DRANK VERSTUREN IS NIET ALTIJD EEN GOED IDEE Sektnase III a CC 2.0 image by Mark Strobl https://www.flickr.com/photos/47259373@N02/13944240690/
ISACA ZO MOET HET DUS NIET… Mom face planting, Keiran having a ball a CC NC 2.0 image by Six intheworld https://www.flickr.com/photos/40668062@N00/316582070/
ISACA Geen vermelding van welke website het gaat, of welke techniek er is gebruikt om de kwetsbaarheid vast te stellen ZO MOET HET DUS NIET
ISACA Dit is dual factor inlog scherm… ZO MOET HET DUS NIET
ISACA Antwoord op een melding van een stored cross site scripting kwetsbaarheid. Vrij vertaald: “Dat veld is niet ontworpen voor javascript, daar moet je alleen letters en cijfers invoeren” ZO MOET HET DUS NIET
ISACA Rapportage aan grote telco Q: Herbben jully een PGP key? A: Nee, kun je: • De file op een SFTP server zetten (SMS mij het wachtwoord) • Het bestand met 7zip en wachtwoord inpakken (stuur me die ook via SMS) • Mijn nummver is 06-xxxxxxxx ZO MOET HET DUS NIET

Recommended

Digitaal jong en alert blijven najaar 2016
Digitaal jong en alert blijven najaar 2016Digitaal jong en alert blijven najaar 2016
Digitaal jong en alert blijven najaar 2016Jan de Waal
 
Digitale werkelijkheid: Feit? Fake? of Filter?
Digitale werkelijkheid: Feit? Fake? of Filter?Digitale werkelijkheid: Feit? Fake? of Filter?
Digitale werkelijkheid: Feit? Fake? of Filter?Jan de Waal
 
Digitale veiligheid 2016
Digitale veiligheid 2016Digitale veiligheid 2016
Digitale veiligheid 2016Jan de Waal
 
Gic2011 aula7-ingles-theory
Gic2011 aula7-ingles-theoryGic2011 aula7-ingles-theory
Gic2011 aula7-ingles-theoryMarielba-Mayeya Zacarias
 
2015 Halifax Index Presentation
2015 Halifax Index Presentation2015 Halifax Index Presentation
2015 Halifax Index PresentationHalifax Partnership
 
Jupiter1
Jupiter1Jupiter1
Jupiter1Lisa Baird
 
Destination pluto
Destination plutoDestination pluto
Destination plutoLisa Baird
 
Flat plans
Flat plansFlat plans
Flat plansBecca McPartland
 

Recommended

Digitaal jong en alert blijven najaar 2016
Digitaal jong en alert blijven najaar 2016Digitaal jong en alert blijven najaar 2016
Digitaal jong en alert blijven najaar 2016Jan de Waal
 
Digitale werkelijkheid: Feit? Fake? of Filter?
Digitale werkelijkheid: Feit? Fake? of Filter?Digitale werkelijkheid: Feit? Fake? of Filter?
Digitale werkelijkheid: Feit? Fake? of Filter?Jan de Waal
 
Digitale veiligheid 2016
Digitale veiligheid 2016Digitale veiligheid 2016
Digitale veiligheid 2016Jan de Waal
 
Gic2011 aula7-ingles-theory
Gic2011 aula7-ingles-theoryGic2011 aula7-ingles-theory
Gic2011 aula7-ingles-theoryMarielba-Mayeya Zacarias
 
2015 Halifax Index Presentation
2015 Halifax Index Presentation2015 Halifax Index Presentation
2015 Halifax Index PresentationHalifax Partnership
 
Jupiter1
Jupiter1Jupiter1
Jupiter1Lisa Baird
 
Destination pluto
Destination plutoDestination pluto
Destination plutoLisa Baird
 
Flat plans
Flat plansFlat plans
Flat plansBecca McPartland
 
Ch3, sec 1 matter
Ch3, sec 1 matterCh3, sec 1 matter
Ch3, sec 1 mattermshenry
 
Gic2011 aula8-ingles
Gic2011 aula8-inglesGic2011 aula8-ingles
Gic2011 aula8-inglesMarielba-Mayeya Zacarias
 
Pres
PresPres
PresAndrey L
 
Entity Linking via Graph-Distance Minimization
Entity Linking via Graph-Distance MinimizationEntity Linking via Graph-Distance Minimization
Entity Linking via Graph-Distance MinimizationRoi Blanco
 
G48 53011810075
G48 53011810075G48 53011810075
G48 53011810075BenjamasS
 
#ForoEGovAR | Bases para las Políticas para las Sociedades del Conocimiento
#ForoEGovAR | Bases para las Políticas para las Sociedades del Conocimiento#ForoEGovAR | Bases para las Políticas para las Sociedades del Conocimiento
#ForoEGovAR | Bases para las Políticas para las Sociedades del ConocimientoCESSI ArgenTIna
 
Dissertation lyn woodward cwm jan 2010
Dissertation lyn woodward cwm jan 2010Dissertation lyn woodward cwm jan 2010
Dissertation lyn woodward cwm jan 2010Francis Alamina
 
Gic2011 aula3-ingles
Gic2011 aula3-inglesGic2011 aula3-ingles
Gic2011 aula3-inglesMarielba-Mayeya Zacarias
 
All YWCA Docs
All YWCA DocsAll YWCA Docs
All YWCA Docsjmingma
 
Gic2012 aula2-ingles
Gic2012 aula2-inglesGic2012 aula2-ingles
Gic2012 aula2-inglesMarielba-Mayeya Zacarias
 
Destination pluto
Destination plutoDestination pluto
Destination plutoLisa Baird
 
Glaciers
GlaciersGlaciers
Glacierscomputersineduc
 
Shipbuilding in Halifax
Shipbuilding in HalifaxShipbuilding in Halifax
Shipbuilding in HalifaxHalifax Partnership
 
The health benefits of walking and playing paskins
The health benefits of walking and playing paskinsThe health benefits of walking and playing paskins
The health benefits of walking and playing paskinsUCL
 
How to use spagepark billing
How to use spagepark billingHow to use spagepark billing
How to use spagepark billingAmiel Pangilinan
 
GREEN DIWALI
GREEN DIWALIGREEN DIWALI
GREEN DIWALISelva Rajan
 
Englishtestunit73 eso d-2
Englishtestunit73 eso d-2Englishtestunit73 eso d-2
Englishtestunit73 eso d-2Vicky
 
здравствуйте!
здравствуйте!здравствуйте!
здравствуйте!Елена
 
Reported statements
Reported statementsReported statements
Reported statementsVicky
 
Integrating customary and legal systems for forest product governance, Cameroon
Integrating customary and legal systems for forest product governance, Cameroon Integrating customary and legal systems for forest product governance, Cameroon
Integrating customary and legal systems for forest product governance, Cameroon Verina Ingram
 

More Related Content

Viewers also liked

Ch3, sec 1 matter
Ch3, sec 1 matterCh3, sec 1 matter
Ch3, sec 1 mattermshenry
 
Entity Linking via Graph-Distance Minimization
Entity Linking via Graph-Distance MinimizationEntity Linking via Graph-Distance Minimization
Entity Linking via Graph-Distance MinimizationRoi Blanco
 
G48 53011810075
G48 53011810075G48 53011810075
G48 53011810075BenjamasS
 
#ForoEGovAR | Bases para las Políticas para las Sociedades del Conocimiento
#ForoEGovAR | Bases para las Políticas para las Sociedades del Conocimiento#ForoEGovAR | Bases para las Políticas para las Sociedades del Conocimiento
#ForoEGovAR | Bases para las Políticas para las Sociedades del ConocimientoCESSI ArgenTIna
 
Dissertation lyn woodward cwm jan 2010
Dissertation lyn woodward cwm jan 2010Dissertation lyn woodward cwm jan 2010
Dissertation lyn woodward cwm jan 2010Francis Alamina
 
All YWCA Docs
All YWCA DocsAll YWCA Docs
All YWCA Docsjmingma
 
Destination pluto
Destination plutoDestination pluto
Destination plutoLisa Baird
 
The health benefits of walking and playing paskins
The health benefits of walking and playing paskinsThe health benefits of walking and playing paskins
The health benefits of walking and playing paskinsUCL
 
How to use spagepark billing
How to use spagepark billingHow to use spagepark billing
How to use spagepark billingAmiel Pangilinan
 
Englishtestunit73 eso d-2
Englishtestunit73 eso d-2Englishtestunit73 eso d-2
Englishtestunit73 eso d-2Vicky
 
здравствуйте!
здравствуйте!здравствуйте!
здравствуйте!Елена
 
Reported statements
Reported statementsReported statements
Reported statementsVicky
 
Integrating customary and legal systems for forest product governance, Cameroon
Integrating customary and legal systems for forest product governance, Cameroon Integrating customary and legal systems for forest product governance, Cameroon
Integrating customary and legal systems for forest product governance, Cameroon Verina Ingram
 

Viewers also liked (20)

Ch3, sec 1 matter
Ch3, sec 1 matterCh3, sec 1 matter
Ch3, sec 1 matter
 
Gic2011 aula8-ingles
Gic2011 aula8-inglesGic2011 aula8-ingles
Gic2011 aula8-ingles
 
Pres
PresPres
Pres
 
Entity Linking via Graph-Distance Minimization
Entity Linking via Graph-Distance MinimizationEntity Linking via Graph-Distance Minimization
Entity Linking via Graph-Distance Minimization
 
G48 53011810075
G48 53011810075G48 53011810075
G48 53011810075
 
#ForoEGovAR | Bases para las Políticas para las Sociedades del Conocimiento
#ForoEGovAR | Bases para las Políticas para las Sociedades del Conocimiento#ForoEGovAR | Bases para las Políticas para las Sociedades del Conocimiento
#ForoEGovAR | Bases para las Políticas para las Sociedades del Conocimiento
 
Dissertation lyn woodward cwm jan 2010
Dissertation lyn woodward cwm jan 2010Dissertation lyn woodward cwm jan 2010
Dissertation lyn woodward cwm jan 2010
 
Gic2011 aula3-ingles
Gic2011 aula3-inglesGic2011 aula3-ingles
Gic2011 aula3-ingles
 
All YWCA Docs
All YWCA DocsAll YWCA Docs
All YWCA Docs
 
Gic2012 aula2-ingles
Gic2012 aula2-inglesGic2012 aula2-ingles
Gic2012 aula2-ingles
 
Destination pluto
Destination plutoDestination pluto
Destination pluto
 
Glaciers
GlaciersGlaciers
Glaciers
 
Shipbuilding in Halifax
Shipbuilding in HalifaxShipbuilding in Halifax
Shipbuilding in Halifax
 
The health benefits of walking and playing paskins
The health benefits of walking and playing paskinsThe health benefits of walking and playing paskins
The health benefits of walking and playing paskins
 
How to use spagepark billing
How to use spagepark billingHow to use spagepark billing
How to use spagepark billing
 
GREEN DIWALI
GREEN DIWALIGREEN DIWALI
GREEN DIWALI
 
Englishtestunit73 eso d-2
Englishtestunit73 eso d-2Englishtestunit73 eso d-2
Englishtestunit73 eso d-2
 
здравствуйте!
здравствуйте!здравствуйте!
здравствуйте!
 
Reported statements
Reported statementsReported statements
Reported statements
 
Integrating customary and legal systems for forest product governance, Cameroon
Integrating customary and legal systems for forest product governance, Cameroon Integrating customary and legal systems for forest product governance, Cameroon
Integrating customary and legal systems for forest product governance, Cameroon
 

Responsible Disclosure - For Dutch ISACA chapter

  • 1. ISACA ISACA Round Table Februari 2016 RESPONSIBLE DISCLOSURE
  • 2. ISACA WHOAMI Frank Breedijk • Security Officer at Schuberg Philis • Author of Seccubus • Blogger for CupFigther.net Email fbreedijk@schubergphilis.com Twitter @Seccubus Blog http://cupfighter.net Project http://www.seccubus.com Company http://www.schubergphilis.com photograph by Arthur van Schendel
  • 3. ISACA Wat zou u willen dat u buurman doet? a) Bij u binnenstappen en uw huis leeghalen b) Een afdruk maakt van uw sleutels a) Voor eigen gebruik b) Om door te verkopen aan een crimineel c) Niets d) Bij u binnenstappen om te kijken of u thuis bent en u te attenderen op uw vergeten sleutels Formeel is alleen optie c (en mogelijk b) legaal IS DIT U OOIT OVERKOMEN?
  • 4. ISACA Een ‘hacker’ vind een (mogelijke) kwetsbaarheid in uw website, wat wilt u dat hij doet? a) Uw database leeghalen of wissen? b) De kwetsbaarheid noteren en a) Later zelf gebruiken b) Door verkopen aan een crimineel c) Niets d) U op de hoogte stelt van het lek Formeel is het zoeken naar kwetsbaarheden mogelijk al strafbaar COMPUTERVREDEBREUK
  • 5. ISACA Wij kozen in 2012 voor optie D. OPTIE D
  • 6. ISACA Als we willen dat mensen naar ons toe komen om kwetsbaarheden te melden, zullen we ze een veilige omgeving moeten bieden Doel • Kwetsbaarheden verantwoord melden • Meldingen zorgvuldig af te handelen • Schade voorkomen of beperken • Voldoende tijd beschikbaar voor herstel tussen melding en publicatie LEIDRAAD RESPONSIBLE DISCLOSURE Volcano Parking a CC NC SA 2.0 image by Kirk Biglione https://www.flickr.com/photos/51035690166@N01/77310845/
  • 7. ISACA Zo hoort het inderdaad niet… Alle “blurring” is gedaan door de spreker VERANTWOORD MELDEN
  • 8. ISACA Wat verwachten we van de melder? Niet publiek, maar prive Aan de partij die verantwoordelijk is Bij voorkeur versleuteld Met voldoende informatie Veilig Waar moeten wij voor zorgen? Maak duidelijk waar een kwetsbaarheid gemeld kan worden Maak duidelijk waarvoor je rapportages accepteert Maak duidelijk dat je complete meldingen verwacht Geef de melder de mogelijkheid te versleutelen Geef de melder de mogelijkheid anoniem te blijven Beloof eventueel geen aangifte te doen VERANTWOORDE MELDING
  • 9. ISACA Waar moeten wij voor zorgen? Maak duidelijk waar een kwetsbaarheid gemeld kan worden Maak duidelijk waarvoor je rapportages accepteert Maak duidelijk dat je complete meldingen verwacht Geef de melder de mogelijkheid te versleutelen Geef de melder de mogelijkheid anoniem te blijven Beloof eventueel geen aangifte te doen VOORBEELD: HTTPS://NCSC.NL/SECURITY
  • 10. ISACA Zie ook: http://pastebin.com/zzi2WYK6 Miscommunicatie tussen Facebooks security team en ’hacker’ Khalil zorgt ervoor dat Khalil besluit zijn kwetsbaarheid te demonstreren. Zo moet het dus niet… MELDINGEN ZORGVULDIG AFHANDELEN
  • 11. ISACA Wat verwachten we van de melder? Voldoende informatie om de kwetsbaarheid te kunnen lokaliseren en valideren Mogelijkheid om vragen te stellen Geduld! Waar moeten wij voor zorgen? Geef helder weer wat u verwacht Geef aan hoeveel tijd u nodig heeft en waarom Neem elke melding serieus Houd de melder op de hoogte van de voortgang Beloon en bedankt MELDINGEN ZORGVULDIG AFHANDELEN
  • 12. ISACA Waar moeten wij voor zorgen? Geef helder weer wat u verwacht Geef aan hoeveel tijd u nodig heeft en waarom Neem elke melding serieus Houd de melder op de hoogte van de voortgang Beloon en bedank VOORBEELD: HTTPS://NCSC.NL/SECURITY
  • 13. ISACA Zelf weten en oplossen is beter dan publiek aan de schandpaal genageld worden Qua tijdlijnen ben je zelf de baas, maar het moet ook in de ogen van de melder redelijk zijn VOORKOM/BEPERK SCHADE VOLDOENDE TIJD Very broken Mustang Mach1 a CC SA 2.0 image by Vetatur Fumare https://www.flickr.com/photos/10047629@N04/14640401305/
  • 14. ISACA Er is in de meeste gevallen spraken van een beveiligingslek Is er ook spraken van een incident? • Is de melder netjes geweest, of heeft hij persoonsgegevens gezien? • Is er al eerder misbruik gemaakt van de kwetsbaarheid? Gegevens verloren of onrechtmatig verwerkt? • Logging is heel belangrijk om dit uit te sluiten DE MELDPLICHT EN RESPONSIBLE DISCLOSURE Uit: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf
  • 15. ISACA Logging en monitoring is dus cruciaal DE MELDPLICHT EN RESPONSIBLE DISCLOSURE Uit: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf
  • 16. ISACA Wij geven geen geld voor meldingen maar wel: Of: • T-shirt naar keuze • € 100,- donatie aan Room to Read • Fles champagne (wel zelf ophalen) En: • Vermelding in onze hall of fame WEL OF GEEN BELONING They are Prada a CC NC ND 2.0 image by Vaguely Artistic https://www.flickr.com/photos/86819618@N00/422353644/
  • 17. ISACA Veel rapportages uit “time rich/money poor” landen Responsible Disclosure wordt gebruikt een CV op te bouwen Vaak wordt er gemeld uit overtuiging OOK EEN KLEINE BELONING WERKT
  • 18. ISACA In je Responsible Disclosure policy kun je het type meldingen beperken Bekende uitsluitingen zijn: • Denial of Service attacks • Brute Force Password guessing • Social engineering Dit om schade te voorkomen Mijn buurman mag best voelen of mijn deur goed dicht zit, maar niet mijn huis aansteken om te kijken of het brand BEPERKINGEN Shackled to the floor CC ND 2.0 image by Jason Ilagan https://www.flickr.com/photos/30033419@N00/428014152/
  • 19. ISACA Ik zie een verschil tussen Responsible Disclosure en Crowd-source bug hunting Responsible disclosure : open staan voor meldingen en hier verantwoord mee omgaan Bug hunting: een beloning uitloven om zoveel mogelijk mensen naar bugs te laten zoeken Anderen (ook melders) zien dit verschil soms niet CROWD-SOURCED BUG HUNTING Multitud a CC NC ND 2.0 image by Hersson Piratoba https://www.flickr.com/photos/36612932@N02/5759051721/
  • 20. ISACA Bugcrowd https://bugcrowd.com/ HackerOne https://hackerone.com/ Google https://www.google.com/about/appsecurity/reward- program/ The Internet Bug Bounty (Facebook & Microsoft) https://internetbugbounty.org/ Zero Day Initiative http://zerodayinitiative.com/ Geven allemaal (cash) rewards voor vulnerabilities Kunnen helpen een RD programma in te richten BUG BOUNTY PROGRAMS
  • 21. ISACA In 2013 + 2014 208 meldingen, waarvan 68 geldig In 2015 64 RD meldingen, waarvan 8 geldig Van de 410 tickets totaal, 131 spam (32%) IN DE PRAKTIJK
  • 22. ISACA Populairste onderwerpen van 2015 • Mail/SPF/DKMI - 23 meldingen • TLS – 6 meldingen • Information disclosure – 4 meldingen • Cross Site Scripting – 4 meldingen • Cross Site Request Forgery – 3 meldingen • Host header manipulation – 3 meldingen • Wildccard domain – 2 meldingen • Clickjacking – 2 meldingen • DoS – 2 meldingen • Verkeerde website – 2 meldingen Terechte meldingen • TLS – 3 meldingen • Cross Site Scripting – 1 melding • Host header manipulation – 1 melding • Clickjacking – 1 melding • Melding over 3e partij – 1 melding • CRLF injection – 1 melding IN DE PRAKTIJK
  • 23. ISACA Doe het niet (zelf) als je de beveiliging niet op orde hebt • Bijna 500 meldingen in 3 haar waarvan 76 terecht PRAKTIJKLESSEN England - Pub Sidewalk Sign 2 a CC ND 2.0 image by Roger W https://www.flickr.com/photos/24736216@N07/19925163296/
  • 24. ISACA Nederland loopt voorop In andere landen is me nog niet zo ”liberaal” Kan moeilijk zijn dit door legal heen te krijgen PRAKTIJKLESSEN Amsterdam 2008 a CC NC SA 2.0 image by Martin Wippel https://www.flickr.com/photos/25535162@N02/2657770215/
  • 25. ISACA Geen aangifte doen is niet hetzelfde als onschendbaarheid De beheerder is niet de enige partij de aangifte kan doen: • In geval van persoonsgegeven kan iedere benadeelde aangifte doen • De beheerder is niet altijd de eigenaar van de site Ook zonder aangifte kan het OM vervolging instellen PRAKTIJKLESSEN What can you go to jail for? a CC NC 2.0 image by Christian Handley https://www.flickr.com/photos/94975149@N00/388489848/
  • 26. ISACA Een fles champagne opsturen naar b.v. Saoedi Arabië is geen goed idee DRANK VERSTUREN IS NIET ALTIJD EEN GOED IDEE Sektnase III a CC 2.0 image by Mark Strobl https://www.flickr.com/photos/47259373@N02/13944240690/
  • 27. ISACA ZO MOET HET DUS NIET… Mom face planting, Keiran having a ball a CC NC 2.0 image by Six intheworld https://www.flickr.com/photos/40668062@N00/316582070/
  • 28. ISACA Geen vermelding van welke website het gaat, of welke techniek er is gebruikt om de kwetsbaarheid vast te stellen ZO MOET HET DUS NIET
  • 29. ISACA Dit is dual factor inlog scherm… ZO MOET HET DUS NIET
  • 30. ISACA Antwoord op een melding van een stored cross site scripting kwetsbaarheid. Vrij vertaald: “Dat veld is niet ontworpen voor javascript, daar moet je alleen letters en cijfers invoeren” ZO MOET HET DUS NIET
  • 31. ISACA Rapportage aan grote telco Q: Herbben jully een PGP key? A: Nee, kun je: • De file op een SFTP server zetten (SMS mij het wachtwoord) • Het bestand met 7zip en wachtwoord inpakken (stuur me die ook via SMS) • Mijn nummver is 06-xxxxxxxx ZO MOET HET DUS NIET