O governo holandês pretende moldar as práticas de divulgação de hackers éticos

O centro de segurança cibernética do governo holandês publicou diretrizes que espera incentivar os hackers éticos a divulgar as vulnerabilidades de segurança de forma responsável.

"Pessoas que denunciam uma vulnerabilidade de TI têm um importante responsabilidade social ", disse na quinta-feira o Ministério de Segurança e Justiça holandês, anunciando diretrizes para hacking ético publicadas pelo Centro Nacional de Segurança Cibernética (NCSC) do país.

Hackers de chapéu branco e pesquisadores de segurança desempenham um papel importante na garantia Sistemas de TI, encontrando vulnerabilidades, disse o NCSC. No entanto, o centro afirmou que os pesquisadores de segurança às vezes relutam em divulgar vulnerabilidades para as empresas, em vez de usar meios de comunicação para anunciar vulnerabilidades, o que é uma prática indesejável porque expõe um buraco antes de ser corrigido. (Veja também "'Hativistas' Auditivos fazem declarações sociais, diz o acadêmico.")

[Leia mais: Como remover malware do seu PC com Windows]

Com o guia, o governo quer fornecer às organizações uma estrutura para criar suas próprias políticas sobre divulgação responsável. Ivo Opstelten, Ministro da Segurança e Justiça, planeja encorajar um amplo uso das diretrizes de divulgação responsáveis ​​dentro do governo, disse ele em uma carta enviada ao parlamento.

Embora a orientação divulgada não afete o arcabouço legal existente, incentiva as partes a trabalharem juntas para tornar os sistemas de TI mais seguros, disse o NCSC. Empresas e governos poderiam, por exemplo, oferecer um formulário on-line padronizado que pode ser usado por pesquisadores de segurança para notificar uma organização se eles descobrissem uma vulnerabilidade.

A empresa e o pesquisador também podem concordar em divulgar a vulnerabilidade dentro de um certo tempo. quadro, Armação. Um período aceitável para a divulgação de vulnerabilidades de software é de 60 dias, enquanto um período razoável para divulgar mais difícil de corrigir vulnerabilidades de hardware é de seis meses, disse o NCSC. Quando uma organização decide seguir essas diretrizes, deve incluir em sua política que não irá tomar medidas legais contra hackers éticos que cumprem as regras, acrescentou.

O Ministério Público holandês, no entanto, manterá a opção de processar quando Suspeita que crimes foram cometidos, disse o Ministério da Segurança e Justiça.

Procedimento recomendado

A pessoa que descobrir a vulnerabilidade deve comunicá-la diretamente e o mais cedo possível ao proprietário do sistema de maneira confidencial, então o vazamento não pode ser abusado por outros. Além disso, o hacker ético não usará técnicas de engenharia social, nem instalará um backdoor ou copiará, modificará ou excluirá dados do sistema, o NCSC especificado. Alternativamente, um hacker poderia criar uma lista de diretórios no sistema, segundo as diretrizes.

Os hackers também devem evitar alterar o sistema e não acessar repetidamente o sistema. Usando técnicas de força bruta para acessar um sistema também é desencorajado, disse o NCSC. O hacker ético ainda tem que concordar que as vulnerabilidades só serão divulgadas após serem corrigidas e somente com o consentimento da organização envolvida. As partes também podem decidir informar a ampla comunidade de TI se a vulnerabilidade é nova ou se suspeitar que mais sistemas têm a mesma vulnerabilidade, disse o NCSC.

Embora o procedimento de divulgação responsável seja, em princípio, uma questão para o detector e O NCSC pode atuar como um intermediário se uma vulnerabilidade for reportada diretamente a ele.

"Eu acho que isso é uma coisa muito boa, especialmente quando o NCSC age como um intermediário", disse Ronald Prins, CEO da segurança holandesa. firma Fox-IT. Um dos problemas que os hackers éticos enfrentam é que eles têm dificuldade em serem levados a sério se denunciarem uma vulnerabilidade a uma empresa, e têm dificuldade em alcançar a pessoa certa, disse ele.Se uma organização for contatada sobre uma vulnerabilidade de segurança por uma organização oficial do governo, como o NCSC, provavelmente levará o alerta mais a sério, acrescentou. Formulários on-line usados ​​para denunciar a vulnerabilidade diretamente à pessoa certa dentro de uma organização também poderiam ajudar nesse processo, acrescentou ele.

Embora haja pouca flexibilidade dada aos hackers éticos dentro das diretrizes, Prins disse que entendeu por que o governo fez isso. Isso impede que hackers éticos cruzem a linha, disse ele. "Eu vejo que algumas pessoas estão desapontadas", porque o Ministério Público ainda pode processar quando julgar necessário, disse Prins. Mas é impossível não fazer isso, acrescentou ele. "Ficaria muito satisfeito se alguém relatasse um problema que encontrou", disse ele. Mas se essa pessoa passa dias batendo em seus sistemas para entrar, Prins definitivamente consideraria uma queixa legal, disse ele.

Loek é Correspondente de Amsterdã e cobre privacidade online, propriedade intelectual, código aberto e questões de pagamento online para o IDG Serviço de notícias. Siga-o no Twitter em @loekessers ou envie dicas e comentários por e-mail para [email protected]