image

NCSC bedankt onderzoekers met beste bugmeldingen via Wall of Fame

zaterdag 28 januari 2023, 15:24 door Redactie, 10 reacties

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid gaat beveiligingsonderzoekers die kwetsbaarheden rapporteren voortaan bedanken via een Wall of Fame. Vanaf dit jaar zal de overheidsinstantie ieder jaar een Wall of Fame publiceren waarin het onderzoekers met de beste bugmeldingen van het voorgaande jaar bijzonder wil bedanken.

Bij de beoordeling wordt onder andere gekeken naar de impact van de melding op de digitale veiligheid van Nederland, het percentage goede en kwalitatieve meldingen als een melder meerdere meldingen doet en of de rapportages waarin de kwetsbaarheid wordt omschreven van goede kwaliteit zijn. Op de Wall of Fame van 2022 staan in totaal zes onderzoekers bij naam genoemd en is ook het Dutch Institute of Vulnerability Disclosure (DIVD) opgenomen. Deze Nederlandse vrijwilligersorganisatie houdt zich bezig met het scannen naar kwetsbare systemen op internet om vervolgens betrokken organisaties te waarschuwen.

Wie een kwetsbaarheid in systemen van de Rijksoverheid vindt kan die rapporteren bij het NCSC. Ook kunnen onderzoekers bij de overheidsinstantie terecht wanneer ze kwetsbaarheden hebben gevonden die meerdere systemen of leveranciers raken. Daarbij hanteert het NCSC een Coordinated Vulnerability Disclosure (CVD) beleid. Melders mogen details dan niet openbaar maken totdat het is opgelost. Het NCSC zal dan geen "juridische consequenties" aan de melding verbinden, tenzij dit wettelijk of door de rechter is verplicht.

Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding worden onderzoekers door het NCSC beloond. De beloning kan variëren van een T-shirt tot cadeaubonnen. Vorig jaar ontving de overheidsinstantie ruim 2500 meldingen.

Image

Reacties (10)
28-01-2023, 16:02 door Anoniem
Zo moet het. Je hebt ook vele wetenschappers die gewoon de rit uitzitten tot hun pensioen. Maar je hebt er ook die Nobelprijzen winnen. Iets bedenken op dat vlak voor security in positieve zin, heel goed idee. Er zullen vast wel wat bedrijven en organisaties zijn die met het werk van goeie melders een hoop ellende bespaard is geweest en die dus ook wat extra leuke kadobonnen kunnen uitreiken. En dat de staat dan even een wetje maakt dat dat altijd belastingvrij zal zijn, het loopt tenslotte tot staatsveiligeheid aan toe en dat lijkt me geen onsterk argument daarvoor. Dat lijkt me nòg positiever! De techniek zit niet stil. Vandaag 1 zeroday, volgende maand mischien wel 10 tegelijk. Dan zit je met zoveel gebakken peren dat je ze zelf niet meer op krijgt. Heel goed om nu al goeie security mensen flink in het zonnetje te zetten. Want ik zie de bui al hangen.
28-01-2023, 17:33 door Anoniem
Een groot verschil met die bedrijven die dreigen advocaten achter je aan te sturen als je iets vertelt over een kwetsbaarheid in hun producten op een conferentie.Of die zelfs geen CVE willen. Nee geen klein bedrijf, echt een grote jongen.
28-01-2023, 18:16 door Anoniem
Zo moet het niet. Nu gaat er nog verdiend worden ook aan die rommel.
29-01-2023, 13:10 door Anoniem
Wat doet dit verborgen iframe op die site?
Re:
<iframe src="//statistiek.rijksoverheid.nl/containers/9523ffd3-87c5-41bb-9f98-8278d8f79be2/noscript.html" height="0" width="0" style="display:none;visibility:hidden"></iframe>

#obserwator
29-01-2023, 16:02 door Anoniem
Door Anoniem: Wat doet dit verborgen iframe op die site?
Re:
<iframe src="//statistiek.rijksoverheid.nl/containers/9523ffd3-87c5-41bb-9f98-8278d8f79be2/noscript.html" height="0" width="0" style="display:none;visibility:hidden"></iframe>

#obserwator
Waar doet het woord statistiek in statistiek.rijksoverheid.nl je aan denken? Mij doet het denken aan statistiek. Ik denk dat het iets met het verzamelen van statistieken over het websitegebruik te maken heeft. Het woord noscript in noscript.html, evenals het feit dat de hele iframe-tag in een noscript-tag staat, doet vermoeden dat het hier gaat om het tellen hoeveel bezoekers JavaScript uit hebben staan.

Dat zo'n frame verborgen is is makkelijk te verklaren uit de functie: het staat er niet om de gebruiker iets te laten zien, dus laten ze het de layout niet verstoren met ingenomen ruimte die geen doel dient.

Wat denk jij? Vind je dit plausibel? Had je er zelf op kunnen komen, op basis van "statistiek" en "noscript"?
29-01-2023, 18:51 door Anoniem
Door Anoniem:
Door Anoniem: Wat doet dit verborgen iframe op die site?
Re:
<iframe src="//statistiek.rijksoverheid.nl/containers/9523ffd3-87c5-41bb-9f98-8278d8f79be2/noscript.html" height="0" width="0" style="display:none;visibility:hidden"></iframe>

#obserwator
Waar doet het woord statistiek in statistiek.rijksoverheid.nl je aan denken? Mij doet het denken aan statistiek. Ik denk dat het iets met het verzamelen van statistieken over het websitegebruik te maken heeft. Het woord noscript in noscript.html, evenals het feit dat de hele iframe-tag in een noscript-tag staat, doet vermoeden dat het hier gaat om het tellen hoeveel bezoekers JavaScript uit hebben staan.

Inderdaad is het vragen wat een URL met statistiek erin doet vrij dom .

Of het is gewoon de passief-agressieve manier van klagen die veel nerds hebben als ze iets vinden maar niet het lef om gewoon direct hun mening te geven over wat ze zien , waarvoor ze denken het dat is - en waarom ze dat slecht vinden.

Inderdaad is de statistiek call met noscript.html de fallback voor een statistiek call met javascript en analytische cookies enabled erin, als je in de websource kijkt.

Netjes in eigen beheer , niet naar een externe statistiek provider.
29-01-2023, 22:27 door Anoniem
Dan toch maar even een tegengeluidje van 'een dommerd'.

In eigen beheer of niet, dit is een verborgen iFrame en de website bezoekers hebben er,
als ze er al niet naar scannen, merendeels en dat betekent heel vaak dus geen weet van
(want 'NoScript = no access).

Met javascript is er meer mee te doen voor de end-user,
maar dat zal wel niet de bedoeling zijn (geweest).

Vroeger kon je de enquete-ambtenaar van de statistiek wel of niet thuis ontvangen.
De uitnodigingsbriefjes hingen in het openbaar vervoer aan een koordje.
Met een online verborgen iFrame ligt dat toch wat anders (en ook m.i. heel wat onpersoonlijker).

Daarom is de analoge wereld snel vervangen met een digitale wereld
vaak zo ondoordacht idee, hoe de voorstanders dat ook willen bagatelliseren.

IT moet persoonlijke keuzen laten voor de eindgebruiker.
Wil ik niet meewerken aan tracking, statistiek of data vergaren moet dat mijn goed recht zijn.
Of het tegendeel moet in een wet verankerd liggen net als met een toonplicht,
dus een tracking verplichting in dat geval.

Maar hierover is behalve door een figuur als Schrems nog nooit een fundamentele discussie gevoerd.
Dat hebben ze meestal ook niet aangaande tracking en monitoren gedaan of hoe ze als product worden gebruikt.

iFrame kan ook gebruikt worden voor het domein forensisch instituut en info over de prikjes bijvoorbeeld
Quo Vadis dus, die dit zo script en die maakt het uit voor de overheid. Wederom commercie die bepaalt.

Zie https://www.shodan.io/search?query=.rijksoverheid.nl%2F
30-01-2023, 09:28 door Anoniem
Door Anoniem: Inderdaad is het vragen wat een URL met statistiek erin doet vrij dom .

Dus als jij een mapje tegen komt met de naam " DNP " vol met mp4 bestanden met teksten als 'teens' "MILF' of 'momma'... dan denk je ook 'er staat toch echt 'definately not porn'...' dus dat kan het niet zijn?

Ik denk niet dat ze het zouden aangeven als 'secret-script-to-infect-all-security-minded-people-in-the-netherlands.rijksoverheid.nl'... als het dat zou zijn...

Even los van of het daadwerkelijk stats zouden zijn.

Back on topic, ik zou persoonlijk nooit lekken melden wanneer het met naam en toenaam zou gebeuren in een hall-of-targets... want je tekent wel een groot doelwit op je hoofd en op het hoofd van je familie en vrienden enz...
Jij bent schijnbaar iemand die iets kan wat geld waard is.. dus jij bent geld waard, dus jij bent een commodity geworden en die kunnen gestolen (lees ontvoerd) en verhandeld worden (aan het werk in een donkere kelder voor een andere mogendheid)...
En ik zie heel veel security mensen toch narcistische trekjes hebben en kunnen het niet laten zich op internet te profileren waardoor ze iedereen die ze kennen in gevaar brengen.. mij niet gezien.. Ik heb geen behoefte om ineens wakker te worden met een zak over mijn hoofd in een donkere engelse, amerikaanse of russische kelder...
30-01-2023, 11:33 door Anoniem
Daarom zijn er al zoveel cybercrime rapportage sites verdwenen.

Men vraagt als het ware om constant te worden aangevallen.
31-01-2023, 12:31 door Anoniem
Maar kijk eens goed naar de echte veiligheid van een site met de RECX Security Analyser extension in de browser.

Hier alleen cache-control, acess-control en x-frame-options volgt de geprefereerde settings.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.