Google luidt noodklok over Wassenaar-akkoord
Een groot aantal landen, waaronder Nederland, heeft een akkoord getekend over de export van goederen en technologieën, maar de beperkingen van het akkoord belemmeren beveiligingsonderzoek en zorgen ervoor dat zowel internetgebruikers als het web onveiliger worden, aldus Google.
Het Wassenaar-akkoord stelt regels aan goederen, software en informatie die landen mogen exporteren, waaronder technologieën die als "intrusion software" (pdf) worden omschreven. Het gaat om zogeheten "dual use" goederen, die voor meerdere doeleinden zijn te gebruiken. Zo staan surveillancesystemen op de lijst, maar ook wapens als landmijnen en kernmateriaal. Het is een vrijwillig akkoord en het is aan landen hoe ze het akkoord binnen hun eigen wetgeving toepassen.
Gevolgen
De manier waarop de Amerikaanse overheid de regels mogelijk gaat implementeren kan vergaande gevolgen hebben, waarschuwt Google. "We vinden dat de voorgestelde regels grote gevolgen op de open gemeenschap van beveiligingsonderzoekers zal hebben. Ze hinderen ook onze mogelijkheid om onszelf en onze gebruikers te beschermen en het web veiliger te maken", zegt Neil Martin van Google. "Het zou een verschrikkelijke uitkomst zijn als een exportbeperking bedoeld om mensen veiliger te maken, ervoor zorgt dat miljarden gebruikers wereldwijd permanent onveiliger worden."
Volgens Martin zijn de regels "gevaarlijk" breed en vaag en zouden inhouden dat Google tienduizenden licenties moet aanvragen. Daarnaast zouden onderzoekers geen licentie nodig moeten hebben om bugs te rapporteren, terwijl dat straks mogelijk wel het geval wordt. Verder zouden multinationals informatie wereldwijd moeten kunnen delen. Google heeft wereldwijd engineers en het bedrijf zou informatie over "intrusion software" dan niet mogen delen met engineers in bepaalde landen. De regels moeten dan ook zo snel als mogelijk worden veranderd, stelt Martin.
Naast dat intrusion tools veel gebruikt worden voor (nuttig) onderzoek, wordt het voor AV bedrijven ook bijna onmogelijk om via hun klanten mallware samples te vergaren.
Resultaat: wederom wordt de digitale wereld onveiliger gemaakt.
Als Google engineers in mensenrechten-schendende dictaturen e.d. heeft, dan vind ik het niet meer dan normaal dat dezelfde exportbeperkingen naar dat land die voor de rest van de wereld gelden, ook voor Google gelden. Wat voor fysieke oorlogs- en surveillancetechnologie geldt zou net zo goed voor de cyber-tegenhangers moeten gelden.
Dat multinationals zich steeds meer buiten de internationale rechtsorde proberen te plaatsen is een buitengewoon kwalijke zaak voor de rechtspositie van de gewone burger en daar doen al die mierzoete verhaaltjes van de multinationals niets aan af.
Waar men helemaal aan voorbij gaat is dat de beste manier om bugs te vinden, is door veel ogen erna te laten kijken. Die interesse lok je alleen maar door informatie over beveiligingsgaten zoveel mogelijk vrij te verspreiden. Zo kunnen andere beveiligingsonderzoekers kennis oppikken, daarmee nieuwe lekken identificeren en ook weer rapporteren/publiceren. Zo'n `beveiligingsonderzoeker` kan ook een amateur op een zolderkamertje zijn die hengelt naar de bonus die veel bedrijven uitloten voor het rapporteren van lekken. Dat alles is gewoon onderdeel van `responsible disclosure`.
Responsible disclosure houd wat mij betreft in dat je geen zero-day lekken openbaar maakt (uiteraard), maar bijv. wel na 30, 60, 90 dagen het lek publiceert om een stok achter de hand te houden als bedrijven weigeren te reageren. Vanuit bedrijven is het ook verstandig om een leuke bonus te verbinden aan een goed rapport, immers verhoogt dat de inzet van de beveiligingsgemeenschap, en verkleint het de kans dat de zwarte markt eerder aan de haal gaat met het probleem. Niet dat die onderzoeker die het lek rapporteert maar meteen dat lek aan de hoogste bieder geeft, wel dat als een iemand het kan vinden, iedereen het kan, en het een kwestie van tijd is voordat dat gebeurd.
En denk nou maar niet dat ook maar één cybercrimineel gaat denken 'oh, handelen in exploits is illegaal, ik zal er maar mee ophouden'. En dat terwijl de legitieme beveiligingsgemeenschap grote nadelen ondervind van dergelijke regels.
Waar nucleaire geheimen vooral gevaarlijk worden als ze in de verkeerde handen vallen, en het dus zaak is zo min mogelijk experts te hebben, worden cyber-lekken juist minder gevaarlijk als meer mensen er van weten: Hoe meer kennis, hoe sneller ze gepatched worden en niet meer bestaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.