Jah! We gaan het die fabrikant verplichten!
Zou die Chinees zich daar wat van aantrekken?

Het past in het rijtje van de oa door Kees Verhoeven van D66 aanbevolen DDOS aanvallen op hackers. Dit is een geval van security by obscurity. Gedoemd om een keer gigantisch in de fout te gaan en sterker
nog gedoemd om de overheid zelf er slachtoffer van te laten worden.

Wie het (terug-hack & censuur)-zwaard opneemt, zal er door vergaan. Een overheid die zich tegen de vrijheid van de eigen burger keert, verdient niet anders. Security through Open Disclosure. Not security through obscurity.
luntrus

Veel succes daarmee.

Vrijwel alle software gebruikt open source bibliotheken of componenten, daar is niemand om te verplichten. En als je de fabrikant verplicht die gebruikte open source bibliotheken ook maar te onderhouden, dan kan je net zo goed gelijk alle start-ups en MKB op het gebied van IT / software sluiten.

Natuurlijk, wanneer ze anders niet kunnen verkopen, en hun omzet geraakt wordt. En anders verkopen ze hier niet; ook goed.

Jouw voorkeur is om geen verplichtingen op te leggen ? Of heb je geen voorkeur/alternatief, buiten je cynische reactie ?

Indien het een commercieel pakket is, ligt de verantwoordelijkheid bij de leverancier. Ze kiezen er zelf voor zo'n component toe te voegen. Als ze daardoor niet compliant zijn aan deze verplichting, dan is dat hun probleem. Mochten ze daardoor hun produkt niet kunnen verkopen hier, dan accepteren ze dat maar. Of ze zorgen voor verbeteringen om dat te verhelpen.

Verplichtingen kunnen impliceren dat een produkt aangepast moet worden, om hier je produkt aan te mogen bieden. Niet het probleem van de wetgever.

Dat zijn vraagstukken waar die bedrijven over na mogen denken. Zonder verplichtingen op gebied van veiligheid bereik je niets.

En als ze daardoor moeten sluiten, dan hadden ze hun zaken kennelijk niet op orde; hun eigen probleem.

Even de burger buiten beschouwing gelaten, als je als overheid de 'verkeerde' hackt loop je het risico dat deze genadeloos hard terugslaat en je de stukjes IT gestuurde infrastructuur kan gaan oprapen. M.a.w. terug naar het stenen tijdperk.

Daarom kun je het ook omdraaien, als er geen zero days meer zijn kun je zelf dan wel niet meer zomaar overal meer in, maar de vijhand kan jou dan ook niet meer raken.

Die zero days bestaan al sinds de eerste computer. lol.

40 jaar later werd er een overheid wakker.

De grootse zero day is de overheid zelf. Ze staan los van de realiteit.

PRO:
- Militair/Inteligentie gezien krijg de overhand met zerodays. Dit kan leiden tot positieve interventies. Zoals als encrochat, mocht dat gehackt worden door de politie dan ben je toch wel heel blij zegmaar. Sommige doen slecht voor "zelf genoemd" goed. (Echter is dit altijd aanvallend dus "blackhat" met politieke en culturele gevolgen van dien.)

CONS:
- Als de target jou "zeroday vangt" met bvb een honeypot, dan kunnen ze in het ergste geval de zero day reproduceren en jou en andere aanvallen. Dit heb jij verzorgt en er is dus gedeelde schuld.
- Er is dus ergens lekke software niet gemeld, Goede zerodays zijn hoogst vermoedelijk ook op je eigen omgeving van toepassing aangezien iedereen gebruikt maakt van (ongeveer) de zelfde infra software en hardware.
- De CCC en overige ethische whiteknighthat ridders gaan je boycotten net zoals bij FOX-IT (sad).
- Je zerodays kunnen lekken door je eigen organisatie, denk maar aan de 5% corruptie bij bvb de politie of staats spionnen. (het is maar een voorbeeld niet zeuren).

- EXTRA:
- Software is nou eenmaal mensen werk. Niet alleen socialengineering is makkelijk, alleen de technische instap is iets hoger bij zerodays. Maar Zerodays zullen altijd bestaan.
- Ga je Zerodays kopen/verkopen? Want dat is wel behoooorlijke linke shit.
- Goed Fout, Enemy, Friendly, Ethisch, Niet Ethisch zijn vrij flexibele begrippen die per persoon anders zijn en liggen. Dit is een veels te complexe uitdaging om "ethiek en andere vage waardes" bij te betrekken. En als je het doet, denk dan "Doe no harm is altijd ethisch."

Heb ik iets bijgedragen aan dit probleem als student?

Dat is niet waar, ja ze kunnen je zero day analyseren "vangen" en tegen je gebruiken. Maar er zullen altijd ergens wel zerodays bestaan. Als jij ze niet vind vind een ander ze wel. Wel denk ik dat het heel link is om zerodays op te potten als een soort van stash aan "handgranaten" die elk moment af kunnen gaan.

Voordelen, en Nadelen. Dat mag de politiek lekker afwegen maar luister alstjeblieft wel naar de TECHNISCHE knowhow van hackers (negeer het jaren 70 ethiek soms een beetje, veel mesnen zijn vrij naive).

Ja, want immers niet doen, is niet meer verkopen. Moeten ze trouwens op Europees niveau regelen.