EFF wil toezicht op gebruik zero day-lekken NSA
De Amerikaanse burgerrechtenbeweging EFF wil dat er meer toezicht komt op het gebruik van zogeheten zero day-lekken door de NSA en andere inlichtingen- en opsporingsdiensten. Zero day-lekken zijn kwetsbaarheden waar nog geen beveiligingsupdate van de fabrikant voor beschikbaar is.
In augustus lekte een grote verzameling tools, kwetsbaarheden en exploits van de NSA op internet, waaronder enkele zero day-lekken. Volgens bronnen wist de NSA al drie jaar geleden dat de gegevens per ongeluk waren gelekt en vervolgens gestolen, maar werd er besloten getroffen fabrikanten niet te waarschuwen. Die konden daardoor geen update ontwikkelen, waardoor hun klanten kwetsbaar bleven.
Eén van de gelekte kwetsbaarheden leidde tot de ontdekking van een nieuw beveiligingslek in de apparatuur van Cisco. Meer dan 850.000 apparaten van de netwerkfabrikant kunnen door dit beveiligingslek worden aangevallen, waarvan meer dan 18.000 in Nederland. Een update van Cisco is nog in ontwikkeling. Volgens de EFF laat dit incident zien hoe belangrijk het is dat er toezicht op het gebruik van zero day-lekken door de Amerikaanse overheid komt.
De NSA had in dit geval namelijk wel melding moeten maken, zeker gezien het feit dat het wist dat de exploits en beveiligingslekken door anderen waren gestolen, zo stelt de burgerrechtenbeweging. De Amerikaanse overheid beschikt wel over een Vulnerabilities Equities Process (VEP) waarmee het bepaalt of het kwetsbaarheden met de betrokken leverancier of leveranciers zal delen of dit voor eigen doeleinden geheimhoudt. Het VEP is echter niet bindend. Daarnaast is ook niet duidelijk wat de overwegingen zijn om kwetsbaarheden te openbaren of te verzwijgen.
"We denken dat beleidsmakers zich zorgen over dit incident moeten maken en moedigen hen aan om de NSA te vragen wat er precies is gebeurd", zegt Andrew Crocker van de NSA. "De overheid moet veel transparanter over het beveiligingslekkenbeleid zijn." Om te beginnen zou de Amerikaanse overheid de meest recente versie van het VEP kunnen publiceren, zonder het beslissingsproces, de diensten die er gebruik van maken en het aantal kwetsbaarheden dat de overheid geheimhoudt en hoe lang, te censureren. Daarnaast moet er een debat volgen over het openbaren en verzwijgen van kwetsbaarheden.
Het argument dat bekende vulnerabilities ook door anderen gebruikt kunnen worden is valide. Het betekent dat je apparatuur selectief moet inzetten. Rond huwaei is er zo'n verhaal van een ingebakken iets op chips.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.