El gobierno holandés busca moldear las prácticas de divulgación de hackers éticos

El centro de seguridad cibernética del gobierno holandés ha publicado directrices que espera alentarán a los hackers éticos a revelar vulnerabilidades de seguridad de manera responsable.

"Las personas que reportan una vulnerabilidad de TI tienen un importante responsabilidad social ", dijo el jueves el ministerio holandés de Seguridad y Justicia, anunciando directrices para la piratería ética que fueron publicadas por el Centro Nacional de Seguridad Cibernética (NCSC).

Los hackers y los investigadores de seguridad de White-Hat juegan un papel importante en asegurar Sistemas de TI mediante la búsqueda de vulnerabilidades, dijo el NCSC. Sin embargo, el centro sostuvo que los investigadores de seguridad a veces son reacios a revelar vulnerabilidades a las empresas, en su lugar usan medios de comunicación para anunciar vulnerabilidades, lo cual es una práctica indeseable porque expone un agujero antes de que se solucione. (Ver también "Hactivistas 'audaces' hacen declaración social, dice Scholar.")

[Más información: cómo eliminar el malware de su PC con Windows]

Con la guía, el gobierno quiere proporcionar a las organizaciones un marco para crear sus propias políticas sobre divulgación responsable. Ivo Opstelten, ministro de Seguridad y Justicia, planea fomentar un amplio uso de las pautas de divulgación responsable dentro del gobierno, dijo en una carta enviada al parlamento.

Si bien la orientación publicada no afecta el marco legal existente, alienta a las partes a trabajar juntas para hacer que los sistemas de TI sean más seguros, dijo el NCSC. Las empresas y los gobiernos podrían, por ejemplo, ofrecer un formulario en línea estandarizado que los investigadores de seguridad puedan usar para notificar a una organización si encontraron una vulnerabilidad.

La compañía y el investigador también pueden aceptar divulgar la vulnerabilidad dentro de un tiempo determinado. marco. Un período aceptable para la divulgación de las vulnerabilidades del software es de 60 días, mientras que un período razonable para revelar más difícil de arreglar las vulnerabilidades del hardware es de seis meses, dijo el NCSC. Cuando una organización decida seguir estas pautas, debe incluir en su política que no emprenderá acciones legales contra hackers éticos que cumplan con las reglas, agregó.

Sin embargo, el Ministerio Público holandés tendrá la opción de enjuiciar cuando sospecha que se han cometido crímenes, dijo el ministerio de Seguridad y Justicia.

Procedimiento recomendado

La persona que descubre la vulnerabilidad debe informarlo de manera confidencial y lo antes posible al propietario del sistema de manera confidencial, por lo que la fuga no puede ser abusada por otros. Además, el hacker ético no utilizará técnicas de ingeniería social, ni instalará una puerta trasera ni copiará, modificará ni eliminará datos del sistema, según se especifica en el NCSC. Alternativamente, un hacker podría hacer una lista de directorios en el sistema, según las directrices.

Los piratas informáticos también deben abstenerse de alterar el sistema y no acceder repetidamente al sistema. El uso de técnicas de fuerza bruta para acceder a un sistema también se desaconseja, dijo el NCSC. El hacker ético además tiene que aceptar que las vulnerabilidades solo se divulgarán una vez que se hayan resuelto y solo con el consentimiento de la organización involucrada. Las partes también pueden decidir informar a la comunidad de TI más amplia si la vulnerabilidad es nueva o si se sospecha que más sistemas tienen la misma vulnerabilidad, dijo el NCSC.

Si bien el procedimiento de divulgación responsable es en principio una cuestión para el detector y el organización, el NCSC puede actuar como intermediario si se le informa directamente sobre una vulnerabilidad.

"Creo que esto es algo muy bueno, especialmente cuando el NCSC actúa como intermediario", dijo Ronald Prins, CEO de la seguridad holandesa. la firma Fox-IT. Uno de los problemas a los que se enfrentan los hackers éticos es que les resulta difícil tomarse en serio si denuncian una vulnerabilidad a una empresa, y les cuesta llegar a la persona adecuada, dijo.

Si una organización gubernamental oficial como el NCSC contacta a una organización acerca de una vulnerabilidad de seguridad, probablemente la tome más en serio, agregó. Los formularios en línea utilizados para reportar la vulnerabilidad directamente a la persona adecuada dentro de una organización también podrían ayudar en este proceso. Agregó.

Aunque se da poca flexibilidad a los hackers éticos dentro de las directrices, Prins dijo que entendía por qué el gobierno lo hizo. Impide que los hackers éticos crucen la línea, dijo.

"Veo que algunas personas están decepcionadas" porque el Ministerio Público aún puede procesar cuando lo considere necesario, dijo Prins. Pero es imposible no hacer esto, agregó. "Estaría muy contento si alguien informa un problema que encontró", dijo. Pero si esa persona pasa días golpeando sus sistemas para entrar, Prins definitivamente consideraría presentar una queja legal, dijo.

Loek es corresponsal en Amsterdam y cubre asuntos de privacidad en línea, propiedad intelectual, código abierto y pago en línea para IDG Servicio de noticias. Síguelo en Twitter en @loekessers o envía un correo electrónico con sugerencias y comentarios a [email protected]