Beveiligingsexperts bezorgd over Europese meldplicht voor zerodaylekken
Een brede coalitie van beveiligings- en privacyexperts die werkzaam zijn voor securitybedrijven, antivirusleveranciers en burgerrechtenbewegingen, maken zich zorgen over de voorgestelde Europese Cyber Resilience Act (CRA), die softwareleveranciers verplicht om actief aangevallen zerodaylekken binnen 24 uur na ontdekking bij overheidsinstanties te melden. Die zouden deze informatie voor surveillance en inlichtingendoeleinden kunnen misbruiken.
De CRA moet voor veiligere soft- en hardware zorgen. Artikel 11 van het wetsvoorstel introduceert een meldplicht voor zerodays, die bij de autoriteiten moeten worden gerapporteerd. De experts zijn bang dat dit allerlei risico's met zich meebrengt, omdat de betreffende kwetsbaarheden dan nog niet zijn verholpen. "Dit houdt in dat tientallen overheidsinstanties toegang krijgen tot een database met software die ongepatchte kwetsbaarheden bevat", aldus de experts in een open brief (pdf).
Dit brengt allerlei risico's met zich mee, zoals het gebruik van deze zerodays door overheden voor surveillance en het verkrijgen van inlichtingen. Daarnaast wordt de database een doelwit voor aanvallers. Verder vrezen de experts dat het voortijdig openbaar maken van kwetsbaarheden de samenwerking tussen beveiligingsonderzoekers en softwareleveranciers verstoort en er zelfs voor kan zorgen dat onderzoekers geen kwetsbaarheden meer zullen melden.
De experts die de open brief ondertekenden vinden dat artikel 11 volledig moet worden verwijderd, of dat die zo wordt aangepast dat overheidsinstanties gerapporteerde zerodays niet voor inlichtingen, surveillance of andere offensieve doeleinden mogen gebruiken. Verder moeten de kwetsbaarheden alleen worden gemeld als er updates beschikbaar zijn. Daarnaast moet de meldplicht niet gaan gelden voor beveiligingslekken die door onderzoekers in het kader van 'good faith security research' zijn gemeld.
De brief is onder andere ondertekend door medewerkers van ESET, Rapid7, Bitdefender, Electronic Frontier Foundation, Trend Micro, Google, Citizen Lab, TomTom, HackerOne, Panasonic, KU Leuven, Black Hat en DEF CON en het Stanford University Cyber Policy Center.
Misschien is de "beste" oplossing als deze meldplicht er toch komt, om de lekken dan maar volledig te publiceren.
Dan kunnen de overheden er in ieder geval niet in het geniep misbruik van maken.
Door wie willen we het liefst gebeten worden: door de hond of de kat?
Gebeten worden we blijkbaar toch wel.
De burger als speelbal (honden- en kattenvoer) van overheden/EC.
Je wordt er moedeloos van.
Waar is Diogenes met zijn lamp op zoek naar een waarachtig en oprecht mens.
Ze zijn zeldzaam aan het worden in de bestuurslagen.
Hoezo?
Gezien het aantal patches en updates werken we allemaal toch standaard met alpha en beta versies van de software. (ook al noemen leveranciers het een volwaardig afgerond product)
Het niet melden staat ook wel bekend als 'security through obscurity', en is een slechte praktijk, omdat software leveranciers daarmee eindeloos lang bekende fouten kunnen verzwijgen.
Dit voorstel legt meer druk bij leveranciers om dergelijke fouten te voorkomen en meer urgentie om de verantwoordelijkheid te nemen deze fouten op te lossen.
Het zou daarbij fijn zijn als consumenten en bedrijven de database mogen raadplegen zodat ze bekend raken met de deugdelijkheid van het product.
Nogmaals, het is al gangbare praktijk voor open source, dat al overal in de IT-sector wordt gebruikt.
Bij gebleken gebreken in de software, wordt het aanschafbedrag aan de klanten geretourneerd.
En al helemaal in combinatie met een knevelorder. (Dat diegene die de exploits rapporteert er volgens de "wet" niet over mag praten)
De custodians hebben dan als eerste de verste zero-days.
Hoef je ook niet meer te wachten op Tel-Aviv en Beer-sheva,
of een shekel eraan uit te geven.
Je eist zero-days gewoon op vanuit de security-community.
Autoriteiten worden wel een tikkeltje te arrogant de laatste tijd,
komt doordat hen geen strobreed meer in de weg wordt gelegd.
Men regeert als bij volmacht over de digi-schaapjes.
"Slaap kindje, slaap, enz.".
#webproxy
Mocht deze wet er door komen, en ik kom een zeroday tegen, dan meld ik helemaal niets!
Mocht deze wet er door komen, en ik kom een zeroday tegen, dan meld ik helemaal niets!
Daarnaast zou ik permanent met een proxy werken zodat ik (hopelijk) om deze wet heen kan werken, mijn eigen werkplek incognito houden is daarbij zeer belangrijk.
Mocht deze wet er door komen, en ik kom een zeroday tegen, dan meld ik helemaal niets!
Daarnaast zou ik permanent met een proxy werken zodat ik (hopelijk) om deze wet heen kan werken, mijn eigen werkplek incognito houden is daarbij zeer belangrijk.
Het niet melden staat ook wel bekend als 'security through obscurity', en is een slechte praktijk, omdat software leveranciers daarmee eindeloos lang bekende fouten kunnen verzwijgen.
Dit voorstel legt meer druk bij leveranciers om dergelijke fouten te voorkomen en meer urgentie om de verantwoordelijkheid te nemen deze fouten op te lossen.
Het zou daarbij fijn zijn als consumenten en bedrijven de database mogen raadplegen zodat ze bekend raken met de deugdelijkheid van het product.
Nogmaals, het is al gangbare praktijk voor open source, dat al overal in de IT-sector wordt gebruikt.
zeroday lek is bij opensource pas bekend als er patch is. want dan wordt de nieuwe code gepubliceerd. daar voor weet je ook niet dat er een zeroday is. dus nee. en het is geen obscurity, het is de ontwikkelaar de tijd geven om een fatsoenlijke patch te maken zodat er geen misbruik van het lek gemaakt kan worden voor er een patch is. Het is hoe dan ook zaak om deze dan zsm te installeren, maar dat is veelal aan de eindgebruiker zelf.
Dit voorstel maakt het onmogelijk om fouten in een fatsoenlijke tijd te repareren, fouten kun je niet voorkomen, Alleen God maakt geen fouten (al hoewel dat kun je zelfs betwisten)
Je weet blijkbaar niets af van Software security en lekken want er is een publieke database de gevonden lekken.
Conclusie: mond houden. Als je wat gemeld wordt, dan ga je het eerst onderzoeken. Tegen de tijd dat het onderzoek klaar is, is de patch er ook en DAN kun je melden: jooohhhh, we hebben een lek!
Wie weet, verkopen ze het aan nso en krijgen dan een hacktool met extra korting voor terug, beter om dan de mitm er uit te laten en zelf naar nso een mailtje te sturen !
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.