Responsible disclosure

Læs her hvordan du kan komme white hat hackers i møde

Gør ”responsible disclosure” let for white hat hackerne så de ansvarligt kan rapportere fundne sårbarheder.

Ransomware, website defacement, denial of service (DoS) og andre former for afpresning er dagligdags nyheder og noget, vi alle frygter, sker for os.
Men det er faktisk muligt at arbejde med nogle af de kræfter, der ellers ville arbejde mod os. Ved at definere, hvordan vi gerne vil have at white hat hackers håndterer en funden sårbarhed og samtidig tilbyde dem en gulerod, kan vi håbe at få det bedste frem i mennesker – især dem, der er nysgerrige nok til at finde fejlkonfigurationer i vores systemer. Denne vej har vi valgt at gå ved Conscia, og dermed kommer vi et skridt nærmere ansvarlig hacking.

Men for at imødekomme dine modstandere, skal der sættes en proces op for, hvordan I skal handle og varetage kommunikationen. Derfor vil jeg nu tage jer igennem denne proces og vise hvordan den gode handlingsplan og dialog skabes:

Du fik en e-mail om en sårbarhed i din infrastruktur – hvad nu?
Hvis du har en sektion på din hjemmeside, der tydeligt forklarer, hvad white hat hackeren skal gøre, hvis de identificerer en sårbarhed, og hvordan du vil håndtere anmodningen, er du kommet langt. For i stedet for at lukke af, åbner du op for venlige angreb, og dermed får du nu en vigtig rolle.

Hold deadlines
Jeg ved godt, at du har en travl hverdag- men hold altid de frister, der er fastsat af din politik. Dette er den respektfulde måde at behandle din white hat hacker på, og det er sådan, du bedst hjælper dig selv. Hvis du hænger i bremsen, risikerer du, at din white hat hacker deler din sårbarhed offentligt – og dermed agerer som en black hat hacker. Og så står du pludseligt et meget dårligt sted.

Forklar, hvad det næste trin er
Tænk altid på det næste trin i processen og kommuniker dette tydeligt i e-mailkorrespondancen med din white hat hacker. Forventningsafstemningen er vital for at holde den gode tone og respekt for hinanden.

Vær åben omkring akkreditering og den forventede resolutionsdato
Vær ærlig om mulighederne for både akkreditering for at finde denne sårbarhed samt det forventede løsningstidspunkt. Ikke alle sårbarheder har den højeste prioritet, og det er helt ok at melde klart ud.

Vær tydelig på de løbende forventninger
Sørg for at definere det etablerede forhold. Det skal være klart, at white hat hackeren ikke forventes at blive ved med at teste infrastrukturen og tjenesterne, og at der ikke tildeles særlige privilegier fremover.

Samlet set
Vær respektfuld. Du har at gøre med mennesker, der respekterer din virksomhed eller dit brand nok til at afsløre sårbarheder på dine vilkår – i stedet for at råbe det fra internettets hustage. Dette bør du væres taknemmelig for. Hvis du halter med respekten, ender du sandsynligvis med at betale modstanderne på deres vilkår i stedet for dine.

Ekstra tip til den flittige læser
Hvis du vil gøre arbejdet med ”responsible disclosure” lettere for dig selv, vil jeg personligt anbefale at oprette en tekstfil, der skal kaldes “security.txt”. Læs mere om det her.

FAKTA

”Du bliver, hvad du spiser”…. Så hvad gør vi selv?

Hos Conscia har vi defineret en oplysningspolitik, så hovedparten af vores modstandere ikke fristes til at udnytte vores sårbarheder for at få en økonomisk gevinst. I stedet tilskynder vi til en ansvarlig offentliggørelse, så vi (forhåbentlig) får en chance for at løse offentligt udnyttelige sårbarheder, før der sker brud hos os.
Vi er en del af ”responsible disclosure”

Du kan finde vores skriftlige politik her.