FBI bedreigde beveiligingsonderzoekers
De FBI heeft beveiligingsonderzoekers bedreigd die een presentatie over kwetsbaarheden in de producten van een Amerikaanse IDS/IPS leverancier wilde geven, zo is nu bekend geworden. Robert Graham deed de onthulling naar aanleiding van Verisign's antwoord op het MD5-SSL debacle. De SSL-uitgever beweerde dat het als white-hat organisatie de onderzoekers begrijpt en het onderzoek verantwoordelijk zou hebben behandeld. Die besloten uit angst voor een gerechtelijke procedure de SSL-uitgevers niet te waarschuwen.
En dat is terecht, aldus Graham, die niet over het antwoord van Verisign is te spreken. "Een white-hat organisatie gedraagt zich niet verantwoordelijker dan elk ander bedrijf." De beveiligingsonderzoeker was tijdens het Cisco-schandaal een collega van Michael Lynn. Lynn zou tijdens de Black Hat conferentie van 2005 een presentatie over beveiligingslekken in Cisco's Internetwork Operating System (IOS) geven, maar zijn werkgever verbood dat, waarop Lynn ontslag nam en de presentatie uiteindelijk toch gaf. Cisco diende zelfs een aanklacht tegen de onderzoeker in. "Je neemt aan dat Cisco een 'white-hat" bedrijf is dat Lynn niet zou bedreigen, maar toch deden ze het."
FBI
Graham heeft het zelf ook meegemaakt hoe het is om vanwege beveiligingsonderzoek bedreigd te worden, alleen was het dit keer de FBI die voor de deur stond. Het beveiligingsbedrijf waar de onderzoeker werkt had lekken in de IDS/IPS systemen van TippingPoint ontdekt. Wederom zou je denken dat dit soort bedrijven onderzoekers niet proberen te onderdrukken, toch was dat precies wat er gebeurde. "We werden zwaar onder druk gezet om de presentatie te annuleren, zelfs de FBI verscheen op het kantoor en bedreigde ons."
Het probleem zit hem volgens de onderzoeker niet in de bedrijven, maar in de individuen die deze beslissingen nemen. In het geval van Cisco was de CSO op vakantie. Was hij wel ter plekke geweest, dan had het drama mogelijk nooit plaatsgevonden, gaat Graham verder.
Verisign blundert
Hetzelfde probleem doet zich nu voor met de blogposting van Verisign's Tim Callan. "Dit is de grootste fout die Verisign kan maken, op het publiceren van hun private keys na." Het bericht van Callan laat zien dat Verisign de ernst van de situatie niet snapt. "Hij draait de situatie om, en laat Verisign goed en de onderzoekers slecht voor de dag komen. Hij gedraagt zich niet zoals een white-hat organisatie zich zou moeten gedragen." Graham merkt op dat de onderzoekers juist wel prima gehandeld hebben en dat hun angst om onderdrukt te worden gerechtvaardigd was.
dus de FBI was bang voor de waarheid...
Een dergelijk lek melden bij het verantwoordelijke bedrijf (schrijver of uitgever van de software), en bij een onafhankelijke organisatie b.v. via een advokaat of notaris voor anonimiteit.
Stel een termijn waarbinnen de schrijver of uitgever van de software met een reactie moet komen en laat daarna de boel maar openbaar worden.
En..... regel een goede vergoeding voor het opsporen van lekken.
Klaar ;)
Een dergelijk lek melden bij het verantwoordelijke bedrijf (schrijver of uitgever van de software), en bij een onafhankelijke organisatie b.v. via een advokaat of notaris voor anonimiteit.
Stel een termijn waarbinnen de schrijver of uitgever van de software met een reactie moet komen en laat daarna de boel maar openbaar worden.
En..... regel een goede vergoeding voor het opsporen van lekken.
Klaar ;)
Eensch, dit geldt overigens voor alle vormen van klokkenluiders.
het FBI bedreigd onderzoekers refereert naar onderzoek van een aantal jaar geleden naar Tippingpoints IDS/IPS.
dus de FBI was bang voor de waarheid...
Weinigen geven een juist beeld van de situatie en dat is kwalijk vooral naar de schrijver van dit artikel toe.
Het bekend maken van een kwetsbaarheid, is in de ogen van de Amerikaanse wetgeving strafbaar. Dat mag daar gewoon niet. En dan maakt het niet uit of je White of Black Hat bent. Doe je het toch, dan levert dat inderdaad een federaal bezoek af, aangezien het hier Federale misdrijven betreft die door de FBI moeten worden opgepakt.
Met angst heeft het al helemaal niets te maken Spatieman.
Ach kerel stop dat reactionaire gelul waar de zon niet schijnt, jouw rechtspositivisme is ten hemelSCHRIJEND.
Dat iets bij wet 'verboden' is maakt het nog niet ethisch onjuist, de wet dien een afspiegeling van ethiek te zijn, niet andersom zoals bij blerende schaapjes zoals jij.
Security researchers who behave ethically have no reason to fear legal action from VeriSign. Since its inception VeriSign has been one of the world's leading forces for online security, and the company has consistently used its resources and expertise to assist online security's progress. In fact, VeriSign is itself a white-hat security research firm …, and we understand the concept of "ethical hacking." We're disappointed that these researchers did not share their results with us earlier, but we're happy to report that we have completely mitigated this attack.
- De definitie van ethically is al niet gedefinieerd. Eigenlijk staat er: zolang u zich maar naar onze wensen gedraagt heeft u geen legal action te verwachten.
- Verisign zet hij neer als world leading force, maar dat betekent niet dat ze goed met beveiliging en vertrouwen omspringen. Hun gedrag om MD5 te blijven gebruiken zegt al genoeg, maar er zijn meer zaken waarbij gesteld kan worden dat ze zich misdragen op die gebieden.
- Verisign noemt zichzelf whitehat, maar ze zwijgen in alle vormen waarom ze MD5 bleven hanteren terwijl het al zwak bleek te zijn. Men legt niet uit waarom men risico heeft genomen en al helemaal niet waarom ze dus risico bij hun klanten hebben neergelegd.
- Ze zijn teleurgesteld over de onderzoekers omdat ze niet eerder op de hoogte zijn gebracht. In andere woorden: wij hebben niets fout gedaan, we wisten dat er een zwakte was maar dat is niet ons probleem tot blijkt dat het daadwerkelijk misbruikt kan worden en dan is het de berichtgever die eerder actie had moeten ondernemen naar ons. Hoe verantwoordelijk noemt Verisign zichzelf? Totaal niet! Ze tonen geen spijt, proberen zichzelf neer te zetten als een onschuldig en betrouwbaar bedrijf terwijl ze geen barst verantwoordelijkheid wensen te nemen naar hun klanten.
Bedenkt: Verisign en al die andere CA verdienen honderdenmiljoenen per jaar aan het ondertekenen van wat digitale informatie. Hun enige noodzaak is zich zo onaantastbaar op te stellen door zich te gedragen als god in een ivoren toren die met wat papiertjes naar het volk zwaait waarmee ze wettelijk aan wat eisen voldoen. De rest, daar hebben ze geen boodschap aan zolang ze hun positie maar behouden en het geld blijft binnenstromen. Na bankiers zijn het volgens mij de grootste graaiers in de wereld.
Zouden ze wel willen.
Het internet is wel ontstaan in Amerika, zie bv http://nl.wikipedia.org/wiki/ARPANET
Verder lijkt het alsof het Amerikaanse rechts systeem het belang van geld en macht groter is dan wat ethisch is.
Zo valt het uitvoeren van crypto techniek daar onder de vuurwapenwet voor zover ik weet.
Maar goed ik ben geen Jurist en al helemaal geen Amerikaan.
Neej ... en je hebt ook niet uitgezocht waar b.v. de root-servers staan..... JA de USA is uiteindelijk dus de baas over het Inet.
(Ik kan niet goed zien of de 4e net in Canada staat of net in de USA op het plaatje).
http://public-root.com/root-server-locations.htm <-- dit plaatje.
Dat wil niet zeggen dat de controle van veel belangrijke componenten niet in de VS ligt, maar volledige controle hebben ze nu ook weer niet. Ik durf me niet uit te laten over andere kernfuncties zoals grote Exchanges en de diverse routing protocollen, vraag dat maar een een netwerk guru. ;-)
Dan nog (Hoewel een technische formaliteit) is beheer over DNS niet hetzelfde als de baas zijn over het internet. Maar ik moet zeggen dat 123.456.678.901 uit je hoofd leren voor elke site minder makkelijk werkt dan met naampjes werken. (Vandaar de uitvinding van DNS.)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
