image

EU looft 200.000 euro uit voor melden van kwetsbaarheden in open source

zaterdag 22 januari 2022, 15:26 door Redactie, 14 reacties

De Europese Commissie is een nieuw bugbountyprogramma gestart waarbij het in totaal 200.000 euro uitlooft voor het vinden en melden van kwetsbaarheden in opensourcesoftware zoals LibreOffice en Mastodon. Wanneer bughunters ook meteen een oplossing aandragen krijgen ze een bonus van twintig procent.

Met het beloningsprogramma wil de EU onder andere de veiligheid van opensourcesoftware versterken. Het gaat dan specifiek om opensource-oplossingen waar publieke diensten in de Europese Unie van gebruikmaken. Naast LibreOffice en Mastodon zijn ook ERP-oplossing Odoo, samenwerkplatform Cryptpad en wetgevingstool LEOS onderdeel van het bugbountyprogramma. Buitengewone kwetsbaarheden in deze programma's komen in aanmerking voor een beloning van maximaal vijfduizend euro.

Voor het coördineren van de bugmeldingen wordt gebruikgemaakt van het Intigriti-bugbountyplatform. Het is niet voor het eerst dat de EU onderzoekers beloont voor het melden van kwetsbaarheden in opensourcesoftware. Jaren geleden werd dit onder andere gedaan voor VLC Media Player, Filezilla, Notepad++, PuTTY, KeePass, 7-Zip, Drupal en Apache Tomcat. Dankzij het geld van de EU werden in VLC tientallen beveiligingslekken gevonden en verholpen.

Reacties (14)
22-01-2022, 16:12 door karma4 - Bijgewerkt: 22-01-2022, 16:13
Verkapte overheidssteun aan de grote commercielen.
Wordt die sofware commercieel doorgeleverd dan hoort er een vergoeding voor de makers / bouwers veriest te worden.
Met arbeid is dat via ketenbeding opgelost, Moet eveneens op die wijze op te lossen zijn voor sotware als arbeidsresultaat. Auteursrecht betekent wel openbaar maar vrijheid van willekeurig kopieren.
22-01-2022, 16:45 door [Account Verwijderd]
Met het beloningsprogramma wil de EU onder andere de veiligheid van opensourcesoftware versterken.

Geweldig dat de EU de superioriteit van open source software erkent en wil bijdragen de veiligheid te verbeteren! Hulde en driewerf hoera, hoera, hoera!
22-01-2022, 18:59 door Anoniem
Lees: de EU heeft een zero-day procurement afdeling opgezet.
23-01-2022, 01:46 door Anoniem
Door Toje Fos:
Met het beloningsprogramma wil de EU onder andere de veiligheid van opensourcesoftware versterken.

Geweldig dat de EU de superioriteit van open source software erkent en wil bijdragen de veiligheid te verbeteren! Hulde en driewerf hoera, hoera, hoera!
Dankzij de superieure kwaliteit van de open source software kost dit beloningsprogramma de EU geen cent. Dat weet iedere serieuze ICT'er.
23-01-2022, 10:10 door Anoniem
Fijn te zien dat de EC geld besteed aan zo een initiatief wat erg tastbaar is voor de bevolking/gebruikers! En Intigriti is een leuk platform die correct omgaat met hun community!
23-01-2022, 11:05 door Anoniem
mooi! als die zeikerds hierboven... dit is nu vooruitgang!
23-01-2022, 11:23 door Anoniem
Erg jammer dat het weer eens gaat over bug bounties met een NDA. Als je een lek in zowel LibreOffice als OpenOffice vind zal je dus moeten kiezen tussen beide waarschuwen of een beloning krijgen als je alleen LibreOffice waarschuwt.
23-01-2022, 13:35 door Anoniem
Door Anoniem: Erg jammer dat het weer eens gaat over bug bounties met een NDA. Als je een lek in zowel LibreOffice als OpenOffice vind zal je dus moeten kiezen tussen beide waarschuwen of een beloning krijgen als je alleen LibreOffice waarschuwt.
Openoffice wordt al jaren niet meer ontwikkeld. Code is gedoneerd aan LibreOffice: https://www.office.org/en/openoffice/
23-01-2022, 20:08 door Anoniem
Door Anoniem: Openoffice wordt al jaren niet meer ontwikkeld.
Toch eigenaardig dat ze dan op 6 oktober vorig jaar nog een release hebben gedaan:
https://www.openoffice.org/
Code is gedoneerd aan LibreOffice: https://www.office.org/en/openoffice/
De website van LibreOffice is https://www.libreoffice.org/

LibreOffice is een fork van OpenOffice. De laatste was overgenomen door Sun Microsystems, dat werd weer overgenomen door Oracle, en daar was niet iedereen blij mee. Oracle is op een gegeven moment gestopt met OpenOffice en heeft de code ervan gedoneerd aan de Apache Foundation. Die beheert OpenOffice nu. De code is niet gedoneerd aan LibreOffice, dat is een fork. Beide worden naast elkaar verder ontwikkeld.

Het is mij niet duidelijk van wie die website www.office.org precies is, maar het is van geen van beide de officiële website. Misschien moet je er maar niet meer naar verwijzen.
24-01-2022, 09:31 door Anoniem
Door Anoniem:
Door Toje Fos:
Met het beloningsprogramma wil de EU onder andere de veiligheid van opensourcesoftware versterken.

Geweldig dat de EU de superioriteit van open source software erkent en wil bijdragen de veiligheid te verbeteren! Hulde en driewerf hoera, hoera, hoera!
Dankzij de superieure kwaliteit van de open source software kost dit beloningsprogramma de EU geen cent. Dat weet iedere serieuze ICT'er.
???
Waar gewerkt wordt, maakt men fouten. En ook al kan iedereen die fouten vinden in Open Source, dan nog moet iemand dat ook doen. Dat is niet standaard het geval, dus dit helpt juist om mensen daar toe te bewegen.
24-01-2022, 09:35 door Anoniem
Mja hebben ze al eens eerder gedaan en ik heb er geen goede ervaring aan over gehouden. Een lek in VLC player gevonden en gerapporteerd. Men was toevallig net op de hoogte dus helaas keren ze geen bounty uit. Nergens was een bugtracker te vinden met mijn issue, het was ook geen duplicate report.

Die bugbounties zijn leuk als je ergens toevallig tegen aan loopt of je moet je richten op Zerodium en aanverwanten. De lat ligt daar hoog maar ze betalen goed. Of je werkt met een zwarte hoed, ransomware lijkt het goed te doen hehe
24-01-2022, 14:36 door Anoniem
Niet helemaal terechte feedback volgens mij rond VLC. Bij Intigriti geven ze bij een duplicate finding altijd mee wie de originele reporter was, wanneer gemeld etc.

Jij verwijst met VLC naar een programma bij een ander bug bounty platform, namelijk HackerOne. Ik weet niet hoe het daar werkt maar als ik het zo lees is het daar minder transparant.
25-01-2022, 19:00 door Anoniem
Door Anoniem:
Door Anoniem: Openoffice wordt al jaren niet meer ontwikkeld.
Toch eigenaardig dat ze dan op 6 oktober vorig jaar nog een release hebben gedaan:
https://www.openoffice.org/
Code is gedoneerd aan LibreOffice: https://www.office.org/en/openoffice/
De website van LibreOffice is https://www.libreoffice.org/

LibreOffice is een fork van OpenOffice. De laatste was overgenomen door Sun Microsystems, dat werd weer overgenomen door Oracle, en daar was niet iedereen blij mee. Oracle is op een gegeven moment gestopt met OpenOffice en heeft de code ervan gedoneerd aan de Apache Foundation. Die beheert OpenOffice nu. De code is niet gedoneerd aan LibreOffice, dat is een fork. Beide worden naast elkaar verder ontwikkeld.

Het is mij niet duidelijk van wie die website www.office.org precies is, maar het is van geen van beide de officiële website. Misschien moet je er maar niet meer naar verwijzen.

Kleine toevoeging voor het nageslacht;
StarOffice kwam in handen van Sun toen ze de Star Devision overnamen, dat werd onder Sun OpenOffice en dat liet Orace doodgaan na de overname van Sun.
26-01-2022, 08:02 door Anoniem
Door Anoniem: Erg jammer dat het weer eens gaat over bug bounties met een NDA. Als je een lek in zowel LibreOffice als OpenOffice vind zal je dus moeten kiezen tussen beide waarschuwen of een beloning krijgen als je alleen LibreOffice waarschuwt.
Ik zie in de "researcher terms & conditions"[1] en de "community code of conduct"[2] staan dat bedrijven ("companies") legitieme redenen kunnen hebben om kwetsbaarheden niet publiek te maken en dat een onderzoeker daarom instemt met het niet delen ervan met anderen, tenzij de onderzoeker en het bedrijf overeenkomen dat dat wel kan.

Dat is niet alleen op open source gericht maar ook op lekken bij commerciële bedrijven en in propriëtaire software. Bij open source blijven lekken niet lang onder de pet. LibreOffice heeft bijvoorbeeld als beleid dat meldingen na dertig dagen publiek gemaakt worden[3]. Met zo'n termijn geven ze zichzelf een maand ruimte om zero-day lekken op te lossen zonder dat de hel meteen losbarst, maar daar zijn naar mijn mening ook goede argumenten voor, er is werkelijk een reden om openheid even uit te stellen als direct open zijn tot grote problemen leidt.

Open source-projecten kunnen reparaties van kwetsbaarheden (of andere bugs) helemaal niet meer dan kortstondig geheim houden, omdat de broncode, en de geschiedenis van de wijzigingen daarin, openbaar zijn. Ze zouden hun eigen licentie en hun eigen doelstellingen schenden door een fix uit te rollen zonder ook de broncode openbaar te maken. Het kan niet anders dan zeer tijdelijk zijn.

LibreOffice is van OpenOffice.org afgesplitst toen Sun was overgenomen door Oracle en daarmee OpenOffice.org onder de vleugels van Oracle belandde. Er is een flinke dosis wantrouwen tegen Oracle, en daarom werd de afsplitsing gemaakt. En die afsplitsing was succesvol, mede vanwege datzelfde wantrouwen jegens Oracle. LibreOffice werd snel populairder dan OpenOffice.org. Oracle zag er vervolgens geen brood meer in en heeft de code gedoneerd aan de Apache Foundation. Die beheert het nu.

LibreOffice als OpenOffice.org worden nu allebei beheerd door een stichting, non-profits die er niet op uit zijn om anderen kapot te concurreren maar om software goed te beheren. Omdat door de afsplitsing beide code-bases onder verschillende licenties zijn beland kan niet zomaar elke wijziging op code-niveau in het andere project worden overgenomen. Maar de reden van de afsplitsing is allang achterhaald (mede dankzij de afsplitsing), en ik heb geen enkele reden om aan te nemen dat de organisaties elkaar naar het leven staan. Mij zou het niets verbazen als informatie over kwetsbaarheden tussen beide projecten gedeeld wordt, net zoals Linux-distro's kwetsbaarheden met elkaar en met de upstream-ontwikkelaars delen. Ik zou eerder raar staan te kijken als dat niet zou gebeuren.

De basis van de Intigriti-voorwaarden is dat bedrijven de gevonden kwetsbaarheden mogelijk niet willen openbaren. De voorwaarde wordt niet gesteld omdat het Intigriti-platform zelf als doel heeft om geheimhouding op te leggen, maar om ook voor commerciële partijen een acceptabel platform te zijn. Open source-projecten zouden wel uitkijken om zich zich geheimhouding voor te laten schrijven, omdat dat het publiceren van de broncode onmogelijk zou maken, wat simpelweg niet te verenigen is met open source.

[1] https://kb.intigriti.com/en/articles/5466165-researcher-terms-conditions
[2] https://kb.intigriti.com/en/articles/5247238-community-code-of-conduct
[3] https://www.libreoffice.org/about-us/security/
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.