Wetsvoorstel VS verplicht NSA om lekken bij raad te melden
Verschillende Amerikaanse senatoren hebben een wetsvoorstel gepresenteerd dat de NSA, CIA en andere overheidsdiensten verplicht om zerodaylekken in software en systemen aan een speciale raad te melden. Deze raad zal vervolgens beslissen of het lek aan de leverancier moet worden gemeld.
De Protecting our Ability To Counter Hacking (PATCH) Act wordt zowel door Democraten als Republikeinen gesteund, alsmede door McAfee, Mozilla en burgerrechtenbewegingen en moet voor meer transparantie en aansprakelijkheid in het huidige beleid zorgen. De Amerikaanse regering heeft op dit moment het zogeheten Vulnerabilities Equities Process (VEP) dat beschrijft hoe er met zerodaylekken moet worden omgegaan.
Volgens tegenstanders van het VEP is het gehuld in geheimzinnigheid en moet het worden aangepast om transparantie, aansprakelijkheid en toezicht mogelijk te maken. Via de PATCH Act zal een speciale raad, met afgevaardigden van verschillende overheidsdiensten en onder aanvoering van het ministerie van Homeland Security, een besluit over gevonden zerodaylekken nemen. Ook zal het wetsvoorstel voor nieuwe mechanismes zorgen om de transparantie en aansprakelijkheid te verbeteren.
"Zoals we de afgelopen dagen met de wereldwijde ransomware-aanval hebben gezien, houdt de continue dreiging van cyberaanvallen in dat we publieke en private inzet moeten combineren om de veiligheid van Amerikaanse netwerken en informatie te beschermen. Het is essentieel dat overheidsinstanties zerodaylekken waar mogelijk aan de leverancier melden, en de PATCH Act verplicht de overheid om de balans te vinden tussen het melden van lekken en andere nationale veiligheidsbelangen, terwijl transparantie en aansprakelijkheid worden vergroot om zo het vertrouwen van het publiek in het proces te behouden", aldus Ron Johnson.
Met alle respect, men heeft niet van de fout geleerd, want men heeft niet begrepen wat de fout is. Die is dat NOBUS (https://en.wikipedia.org/wiki/NOBUS) tot het rijk van de fantasie behoort. Kwetsbaarheden gehoorzamen aan natuurkundige wetten en zijn dus voor iedereen te ontdekken. Wat daarin tot nu toe nog onderbelicht is, is dat je er van uit moet gaan dat georganiseerde groepen ook toegang hebben tot middelen van forensische analyse, die immers ook aan natuurkundige wetten gehoorzamen. Middels die technieken bestaat er een kans als je een exploit gebruikt, dat de criminelen de gebruikte exploit weer in elkaar kunnen puzzelen en vervolgens zelf inzetten of verkopen (ik neem even aan dat ze die niet netjes zullen melden bij de leverancier).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
