image

Witte Huis publiceert beleid voor bekendmaken zerodaylekken

woensdag 15 november 2017, 17:30 door Redactie, 2 reacties
Laatst bijgewerkt: 16-11-2017, 11:57

De Amerikaanse overheid heeft vandaag een nieuw handvest gepubliceerd over het proces dat komt kijken bij het bekendmaken van zerodaylekken aan softwarebedrijven. Het gaat in dit geval om kwetsbaarheden die nog niet bij de ontwikkelaar of leverancier bekend zijn en worden gebruikt om gebruikers mee aan te vallen.

Dergelijke beveiligingslekken en bijbehorende exploits kunnen zelf worden gevonden en ontwikkeld of worden ingekocht bij derde partijen. Via het Vulnerability Equities Process (VEP) bepaalt de Amerikaanse overheid of het een zerodaylek aan de leverancier in kwestie meldt, zodat die een beveiligingsupdate kan ontwikkelen, of dat het geheim gehouden wordt en bijvoorbeeld inlichtingendiensten de kwetsbaarheid kunnen inzetten.

Het Vulnerability Equities Process bestaat al enige jaren, maar het Witte Huis komt vandaag met een nieuw VEP-handvest dat naar eigen zeggen voor meer transparantie moet zorgen. Zo zijn er nu details over het beslissingsproces openbaar gemaakt. Daarin staat dat er met verschillende belangen rekening wordt gehouden. Er wordt bijvoorbeeld gekeken waar het product wordt gebruikt, wat de impact van de kwetsbaarheid is en welke oplossingen voorhanden zijn. Ook de belangen van opsporingsdiensten worden in het proces meegenomen, zoals de waarde van de kwetsbaarheid en of er andere mogelijkheden zijn om het beoogde doel te bereiken.

In het geval een Amerikaanse overheidsinstantie een zerodaylek voor het Vulnerability Equities Process aanmeldt zal er eerst binnen ministeries en diensten overleg plaatsvinden over het al dan niet openbaren. Komen de diensten er onderling niet uit, dan zal het Equities Review Board een beslissing nemen. Ministeries en diensten kunnen wel tegen de uitslag beroep aantekenen. Daarnaast is het openbaar maken van een zerodaylek ook afhankelijk van beperkingen in het geval het zerodaylek via een bedrijf of buitenlandse partner is verkregen. Het gaat dan bijvoorbeeld om non-disclosure agreements of memoranda van overeenstemming.

Image

Reacties (2)
16-11-2017, 11:33 door Anoniem
Jammer nu dat Putin ook internet heeft.
Proliferatiegevaar loert en nep zero days.
18-11-2017, 15:03 door Anoniem
Er komt een tijd dat het delen van security info met Vendors strafbaar wordt als niet eerst de staat is ingelicht.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.