Het Nationaal Cyber Security Centrum (NCSC) heeft besloten om de bekendmaking van verschillende kwetsbaarheden in RPKI-validators na overleg met ontwikkelaars uit te stellen. Oorspronkelijk was het plan dat de beveiligingslekken in deze belangrijke internetsoftware vandaag zouden worden aangekondigd.

Het routeren van internetverkeer vindt plaats via allerlei netwerken wat op basis van wederzijds vertrouwen gebeurt. Elke partij vertrouwt dat de route die wordt gebruikt voor het versturen van informatie veilig is, klopt en niet voor malafide doeleinden wordt aangepast. Dit model is echter kwetsbaar voor misbruik en aanvallen. Met cryptografisch verifieerbare statements zorgt RPKI ervoor dat netwerkproviders deze keten kunnen valideren.

Met RPKI kunnen Border Gateway Protocol (BGP) route-aankondigingen die afkomstig zijn van een router worden gevalideerd zodat zeker is dat de route afkomstig is van de juiste partij en het een geldige route is. Het Border Gateway Protocol (BGP) wordt gebruikt om verkeer tussen autonomous systems (AS) te routeren en essentieel is voor de werking van het internet. Met een RPKI-validator kunnen netwerkproviders RPKI-data downloaden en verifiëren en het resultaat aan hun routers toevoegen of het op andere plekken binnen het BGP-beslissingsproces gebruiken. De software speelt dan ook een belangrijke rol.

Het NCSC werd eerder dit jaar benaderd door onderzoekers die in verschillende RPKI-validators kwetsbaarheden hebben gevonden met het verzoek om hen bij te staan bij het informeren van ontwikkelaars en publicatie van de kwetsbaarheden. Dat zou op maandag 1 november moeten plaatsvinden. "Het NCSC coördineert op dit moment een multi-party CVD-proces. Zoals wellicht bekend vraagt een multi party CVD-proces een brede, meervoudige afstemming met veel internationale partijen. Rond dit proces is dit keer een verschil van inzicht met enkele ontwikkelaars van RPKI-client software ontstaan", meldt het NCSC op de eigen website.

Een ontwikkelaar van RPKI-validators had afgelopen donderdag op de mailinglist van Stichting NLNOG, de Nederlandse Network Operators Group, uitgehaald naar het NCSC. "Het NCSC wilde enkel concrete informatie verstrekken als ik akkoord zou gaan met een full disclosure-publicatie aanstaande maandag. Maar de boel loopt vast als het NCSC niet vertelt wat het probleem is, waardoor ik niet kan beoordelen hoeveel tijd nodig is, en dus geen idee heb of we voor maandag überhaupt een oplossing hebben voor onze gebruikers", stelt Job Snijders, internet-engineer en BGP- en RPKI-operator bij internetbedrijf Fastly. Volgens Snijders lijkt het NCSC in dit geval onzorgvuldig gehandeld te hebben met mogelijk gevoelige informatie over vitale Internetinfrastructuur. "Wat mij betreft niet voor herhaling vatbaar", aldus de internet-engineer.

Afgelopen vrijdag meldde het NCSC dat het de kwetsbaarheden vandaag zou aankondigen en dat erin dit proces een afweging was gemaakt om enkele ontwikkelaars van RPKI-validators pas later te informeren. Daar is het nu, mede na kritiek van ontwikkelaars, op teruggekomen. "Gelukkig zijn er sinds 30 oktober constructieve gesprekken met de betrokken partijen. Daarom zal het NCSC inhoudelijke details over deze kwetsbaarheid niet op maandag 1 november vrijgeven, zoals eerder aangekondigd, maar op een later moment (in overleg met de betrokken partijen)", laat de overheidsinstantie nu weten.

Snijders is blij met de beslissing van het NCSC. "In goed overleg is er besloten de tijdlijnen aan te passen om meerdere belanghebbenden de mogelijkheid te geven analyses te maken. Ik wil mijn dank uitspreken naar alle mensen die on-list, off-list, en via appjes de wens uitspraken voor koerswijzigingen binnen deze casus. Weinig is mooier dan samen met de lijnen volledig open het Internet veiliger te maken!"