»leidraad» van NCSC

In januari 2013 kwam het Nationaal Cyber Security Centrum met een "Leidraad om te komen tot een praktijk van Responsible Disclosure" (pdf). Dit is een suggestie voor organisaties om een beleid op te stellen, met daarin spelregels voor hackers. Houdt een hacker zich strikt aan die regels, dan zal de organisatie geen juridische vervolgstappen ondernemen. Het is echter geen wet, dus het Openbaar Ministerie kan los van deze afspraak toch overgaan tot vervolging. Wij waarderen de positieve benadering van goedwillende hackers, maar vinden dat deze leidraad een onverantwoorde onbalans oplevert: veel speelruimte voor organisaties, tegenover grote beperkingen voor hackers, en dat zonder juridische zekerheid. Anonimiteit biedt betere waarborgen en werkt ook als een organisatie de leidraad niet wil volgen.

Slachtoffers

Het Hackmeldpunt is voor hackers met goede bedoelingen, niet voor slachtoffers van computercriminaliteit. Helaas zijn niet alle hackers lief. Wie te maken heeft gehad met kwaadaardige hackers, kan aangifte doen bij de Politie of contact opnemen met Meld Misdaad Anoniem.

Hackmeldpunt

Via dit meldpunt kunnen hackers anoniem melding doen van de beveiligingsgaten die zij hebben gevonden. Sommige organisaties zien niet in dat hackers die keurig melding doen, daarmee juist willen helpen. Zulke organisaties grijpen meteen naar "stank voor dank" en doen aangifte van computervredebreuk.

Bij Revelation Space bleek dat meerdere hackers om deze reden alleen anoniem melding durven te doen. Het Hackmeldpunt kan hierin een rol spelen als doorgeefluik. De hacker meldt bij ons wat ie heeft gevonden, en wij mailen het vanaf ons adres naar de betreffende organisatie. Krijgen we geen reactie, dan nemen we telefonisch contact op. Wij doen dat onder onze eigen naam en kunnen ook worden teruggemaild en teruggebeld. Hebben ze vragen, dan kunnen wij die wellicht beantwoorden.

Het doel is dat het lek of beveiligingsgat gedicht wordt, zodat er geen misbruik van gemaakt kan worden. In principe publiceren we de gehackte targets niet als het lek snel gedicht wordt. Ziet men de ernst van de situatie niet in, en krijgt het oplossen van het probleem niet de prioriteit die het verdient, dan gaan we wel over tot bekendmaking. Op die manier voorkomen we dat organisaties de melding naast zich neer leggen, maar in principe zul je dus in het nieuws weinig lezen over de gaten die via dit meldpunt zijn gemeld.

Op dit moment is het Hackmeldpunt nog in ontwikkeling. Wel kunnen hacks alvast worden aangemeld via meldanoniem @@@ revspace.nl

Verzeker je eigen anonimiteit door de melding te doen via Tor! Wij hebben geen wettelijke geheimhoudingsplicht en in theorie kan onze verbinding worden getapt, en kunnen onze archieven doorzocht worden. Doe je melding dus vanaf een tijdelijk (web)mailaccount, via Tor.