Als security-onderzoeker kan het zomaar gebeuren dat je vingers jeuken om de beveiliging van een product te onderzoeken. Dat is niet zonder risico’s: je kan last krijgen met bedrijven en mogelijk zelfs met het Openbaar Ministerie, zeker als de belangen groot zijn. Hoe doe je security-onderzoek naar producten zo veilig mogelijk? Een aantal tips.

(Deze tips gaan over het (semi-)offline hacken van hardware dus niet over het op afstand onderzoeken van online systemen. Aan dat laatste kleven andere risico’s en die verdienen aparte behandeling.)

Tip 1 – Documenteer het onderzoek goed

Centraal bij al deze tips is de gedachte dat je sterker staat als je kan aantonen dat je serieus, relevant onderzoek hebt gedaan. Het helpt enorm als je het onderzoek bij iedere stap goed beschrijft: de voorbereiding, de aankoop, het onderzoek, de communicatie met de producent en de publicatie. Beschrijf dit bij voorkeur op een manier dat ook een ander het kan begrijpen.

Tip 2 – Koop het product tweedehands

Producten worden soms verkocht onder de voorwaarde dat het verboden is de interne werking te onderzoeken. Als je zo een product reverse engineert, kan je in strijd handelen met de algemene voorwaarden. Als het even kan is het dus handiger om het product te kopen op plekken als Marktplaats, zodat je makkelijker kan zeggen dat de algemene voorwaarden niet op jou van toepassing zijn. Laat anders iemand anders de spullen voor jou kopen, en vervolgens aan jou doorverkopen.

Tip 3 – Maak duidelijk wat het publiek belang is van het onderzoek

Probeer al van tevoren helder te krijgen waarom het publiek belang bij dit onderzoek gebaat is en documenteer dit.  Dit is handig als je vragen van de media krijgt: je kan laten zien met welke intenties je dit onderzoek doet. Het kan ook handig zijn in een eventuele rechtszaak.

De redenering over het publiek belang kan verschillen: soms is een product veel gebruikt, en kunnen door een kwetsbaarheid gebruiksgegevens op straat komen te liggen, soms zal het gaan over het mogelijk maken van legitiem, maar door de beveiliging beperkt gebruik, soms zal het onderzoek bedoeld zijn om interoperabiliteit tot stand te brengen, etc. Aan de andere kant: als een kwetsbaarheid al is ontdekt, en jouw onderzoek die kwetsbaarheid alleen repliceert – denk aan de OV-chipkaart – dan zal publicatie minder snel in het publiek belang zijn.

Als je onderzoek zich daarvoor leent is het ook goed een onderzoeksopzet te schrijven voordat je aan de slag gaat. Zo kan je duidelijk maken dat je het onderzoek serieus aanpakt.

Tip 4 – Bedenk wat je doet met de privé-informatie die je verzamelt

Het is niet uitgesloten dat je informatie verzamelt over privé-personen in het kader van je onderzoek (hoewel de kans daarop beperkt is als je onderzoek zich alleen richt op producten). Het is goed om te bedenken hoe je omgaat met die gegevens en alvast maatregelen te nemen om de verzameling en analyse daarvan tot het minimum te beperken. Vraag je daarbij af: hoeveel gegevens heb je nodig om aan te tonen dat iets lek is? De rest hoef je niet verzamelen. Zorg ook dat de verzamelde gegevens na afloop van het onderzoek veilig worden verwijderd.

Tip 5 – Geef de producent de mogelijkheid om kwetsbaarheden te dichten

Interessante onderzoeksresultaten wil je het liefst publiceren, maar het publiceren van kwetsbaarheden is niet zomaar toegestaan. Het is in veel gevallen belangrijk producenten de kans te geven een patch uit te brengen, zodat schade door publicatie zoveel mogelijk wordt vermeden. Vaak is het verstandig om het moment van publicatie met de producent af te stemmen. Een producent moet daar natuurlijk geen misbruik van maken door publicatie van jouw onderzoek te blokkeren, dus stel duidelijke en redelijke deadlines.

Tip 6 – Publiceer je resultaten op relevante media

De volgende vraag is: waar publiceer je jouw onderzoek? Om aan te tonen dat publicatie in het publiek belang is, helpt het als je de resultaten in een algemeen geaccepteerd forum publiceert – wetenschappelijke tijdschriften of blogs, en wellicht zelfs een responsible disclosure mailinglist. Ook helpt het als je de publicatie weet te combineren met aandacht van de media: blijkbaar is je onderzoek ‘nieuws’ en dus relevant.

Kies daarbij ook bewust hoeveel informatie je publiceert en beperk je tot het strikt noodzakelijke. Zo kan het kopiëren van code die je hebt achterhaald in het kader van reverse engineering onrechtmatig zijn. Dit vergt een nadere afweging per geval.

Ieder onderzoek is anders en de regels zijn complex. Het is daarom goed om nader advies in te winnen bij twijfel. Vragen? Neem contact op met Ot van Daalen, 06 5438 6680, ot.vandaalen@digitaldefence.net.