目录:
”报告IT漏洞的人有重要意义社会责任“,荷兰安全与司法部周四表示,宣布国家网络安全中心(NCSC)发布的道德黑客攻击准则。
白帽黑客和安全研究人员在确保安全方面发挥重要作用IT系统通过发现漏洞,NCSC说。然而,该中心认为,安全研究人员有时不愿意向公司披露漏洞,而是利用媒体宣布漏洞,这是一种不受欢迎的做法,因为它在修复之前暴露了一个漏洞。 (另见“'Audacious'Hactivists使社会声明,学者说。”)
[更多阅读:如何从您的Windows PC中删除恶意软件]
该公司和研究人员也可以同意在一定时间内披露该漏洞帧。 NCSC表示,披露软件漏洞的可接受期限为60天,而难以披露硬件漏洞的合理期限为六个月。当一个组织决定遵循这些指导方针时,它应该在其政策中包括它不会对遵守规则的道德黑客采取法律行动,但它补充说。
然而,荷兰检察机关将在选择何时起诉它怀疑犯罪已经发生,安全与司法部表示
建议的程序
发现漏洞的人应该以保密的方式直接向系统所有者尽快报告,所以泄漏不会被他人滥用。此外,道德黑客不会使用社会工程技术,也不会使用NCSC指定的系统安装后门或复制,修改或删除数据。另外,黑客可以在系统中列出目录,黑客应该避免改变系统,不要重复访问系统。 NCSC称,使用强力技术来访问系统也是不受欢迎的。道德黑客进一步必须同意,漏洞只有在得到解决后才会被披露,并且只有在相关组织的同意下才能披露。 NCSC称,各方还可以决定向更广泛的IT社区通报该漏洞是新的还是怀疑更多的系统具有相同的漏洞。尽管负责任的披露程序原则上是探测器和如果一个漏洞被直接报告给NCSC,那么NCSC就可以充当中间人。“
”我认为这是一件非常好的事情,特别是当非公务员协会扮演中间人的角色时,“荷兰安全首席执行官Ronald Prins说道。公司Fox-IT。道德黑客面临的一个问题是,如果他们向公司报告漏洞,他们很难被认真对待,他们很难找到合适的人,“他说。他补充说,如果一个组织与像NCSC这样的官方政府组织联系了一个安全漏洞,它可能会更加严肃地对待这个警告。他补充说,用于直接向组织内适当人员报告漏洞的在线表单也可以帮助这一过程,但Prins表示,他明白为什么政府会这样做。他说,这可以防止道德黑客穿过线路,“我发现有些人感到失望”,因为公诉机关在他们认为必要时仍然被允许起诉,Prins说。但他补充说,不可能不这样做。 “如果有人报告他发现了一个问题,我会很高兴,”他说。但是,如果这个人花了几天时间敲响他的系统进入,Prins肯定会考虑提起法律诉讼,他说。
Loek是阿姆斯特丹记者,涵盖了IDG的在线隐私,知识产权,开源和在线支付问题。通讯社。在@loekessers的Twitter上关注他,或通过电子邮件向[email protected]发送提示和评论