image

Beveiligingsexperts bezorgd over Europese meldplicht voor zerodaylekken

woensdag 11 oktober 2023, 10:05 door Redactie, 14 reacties

Een brede coalitie van beveiligings- en privacyexperts die werkzaam zijn voor securitybedrijven, antivirusleveranciers en burgerrechtenbewegingen, maken zich zorgen over de voorgestelde Europese Cyber Resilience Act (CRA), die softwareleveranciers verplicht om actief aangevallen zerodaylekken binnen 24 uur na ontdekking bij overheidsinstanties te melden. Die zouden deze informatie voor surveillance en inlichtingendoeleinden kunnen misbruiken.

De CRA moet voor veiligere soft- en hardware zorgen. Artikel 11 van het wetsvoorstel introduceert een meldplicht voor zerodays, die bij de autoriteiten moeten worden gerapporteerd. De experts zijn bang dat dit allerlei risico's met zich meebrengt, omdat de betreffende kwetsbaarheden dan nog niet zijn verholpen. "Dit houdt in dat tientallen overheidsinstanties toegang krijgen tot een database met software die ongepatchte kwetsbaarheden bevat", aldus de experts in een open brief (pdf).

Dit brengt allerlei risico's met zich mee, zoals het gebruik van deze zerodays door overheden voor surveillance en het verkrijgen van inlichtingen. Daarnaast wordt de database een doelwit voor aanvallers. Verder vrezen de experts dat het voortijdig openbaar maken van kwetsbaarheden de samenwerking tussen beveiligingsonderzoekers en softwareleveranciers verstoort en er zelfs voor kan zorgen dat onderzoekers geen kwetsbaarheden meer zullen melden.

De experts die de open brief ondertekenden vinden dat artikel 11 volledig moet worden verwijderd, of dat die zo wordt aangepast dat overheidsinstanties gerapporteerde zerodays niet voor inlichtingen, surveillance of andere offensieve doeleinden mogen gebruiken. Verder moeten de kwetsbaarheden alleen worden gemeld als er updates beschikbaar zijn. Daarnaast moet de meldplicht niet gaan gelden voor beveiligingslekken die door onderzoekers in het kader van 'good faith security research' zijn gemeld.

De brief is onder andere ondertekend door medewerkers van ESET, Rapid7, Bitdefender, Electronic Frontier Foundation, Trend Micro, Google, Citizen Lab, TomTom, HackerOne, Panasonic, KU Leuven, Black Hat en DEF CON en het Stanford University Cyber Policy Center.

Reacties (14)
11-10-2023, 10:36 door Anoniem
We mogen eens beginnen om niet meer over zerodays te spreken maar over productfouten.
11-10-2023, 10:57 door Anoniem
Overheden hebben ondertussen al zoveel op hun kerfstok, dat zelfs beveiligingsexperts hen niet meer op hun blauwe ogen vertrouwen.

Misschien is de "beste" oplossing als deze meldplicht er toch komt, om de lekken dan maar volledig te publiceren.
Dan kunnen de overheden er in ieder geval niet in het geniep misbruik van maken.

Door wie willen we het liefst gebeten worden: door de hond of de kat?
Gebeten worden we blijkbaar toch wel.

De burger als speelbal (honden- en kattenvoer) van overheden/EC.
Je wordt er moedeloos van.

Waar is Diogenes met zijn lamp op zoek naar een waarachtig en oprecht mens.
Ze zijn zeldzaam aan het worden in de bestuurslagen.
11-10-2023, 11:46 door Anoniem
Door Anoniem: We mogen eens beginnen om niet meer over zerodays te spreken maar over productfouten.

Hoezo?
Gezien het aantal patches en updates werken we allemaal toch standaard met alpha en beta versies van de software. (ook al noemen leveranciers het een volwaardig afgerond product)
11-10-2023, 12:39 door Anoniem
Met open source heb je toch al dat een zeroday lek meteen bekend is, omdat de code open is.
Het niet melden staat ook wel bekend als 'security through obscurity', en is een slechte praktijk, omdat software leveranciers daarmee eindeloos lang bekende fouten kunnen verzwijgen.
Dit voorstel legt meer druk bij leveranciers om dergelijke fouten te voorkomen en meer urgentie om de verantwoordelijkheid te nemen deze fouten op te lossen.
Het zou daarbij fijn zijn als consumenten en bedrijven de database mogen raadplegen zodat ze bekend raken met de deugdelijkheid van het product.
Nogmaals, het is al gangbare praktijk voor open source, dat al overal in de IT-sector wordt gebruikt.
11-10-2023, 13:00 door Anoniem
Misschien moeten we het volgende in de wet opnemen:

Bij gebleken gebreken in de software, wordt het aanschafbedrag aan de klanten geretourneerd.
11-10-2023, 13:08 door Anoniem
Het lijkt me inderdaad een gevaarlijke zaak wanneer overheden als eerste exploit kunnen inzetten zonder enige vorm van transparantie naar de burger, dat leidt veelal tot machtsmisbruik.
En al helemaal in combinatie met een knevelorder. (Dat diegene die de exploits rapporteert er volgens de "wet" niet over mag praten)
11-10-2023, 13:15 door Anoniem
DIVD heeft niet mee-ondertekend, opvallend,
11-10-2023, 13:35 door Anoniem
Zo blijft client-side-scanning altijd on top.
De custodians hebben dan als eerste de verste zero-days.

Hoef je ook niet meer te wachten op Tel-Aviv en Beer-sheva,
of een shekel eraan uit te geven.

Je eist zero-days gewoon op vanuit de security-community.

Autoriteiten worden wel een tikkeltje te arrogant de laatste tijd,
komt doordat hen geen strobreed meer in de weg wordt gelegd.

Men regeert als bij volmacht over de digi-schaapjes.
"Slaap kindje, slaap, enz.".

#webproxy
11-10-2023, 13:58 door Anoniem
Als voormalig veiligheidsonderzoeker zou dit zeker een brug te ver zijn.
Mocht deze wet er door komen, en ik kom een zeroday tegen, dan meld ik helemaal niets!
11-10-2023, 14:49 door Anoniem
Door Anoniem: Als voormalig veiligheidsonderzoeker zou dit zeker een brug te ver zijn.
Mocht deze wet er door komen, en ik kom een zeroday tegen, dan meld ik helemaal niets!
Ja, precies, ik ook niet nee, althans niet nadat ik een kant en klare patch heb klaarliggen en deze heb geimplementeerd in systemen wanneer dat van toepassing is, daarna mogen ze mijn rapport hebben, zodra alles al veilig is, niemand moet alleenrecht op een ongepatchte exploit hebben, dat is vragen om problemen.
Daarnaast zou ik permanent met een proxy werken zodat ik (hopelijk) om deze wet heen kan werken, mijn eigen werkplek incognito houden is daarbij zeer belangrijk.
11-10-2023, 15:19 door Anoniem
Door Anoniem:
Door Anoniem: Als voormalig veiligheidsonderzoeker zou dit zeker een brug te ver zijn.
Mocht deze wet er door komen, en ik kom een zeroday tegen, dan meld ik helemaal niets!
Ja, precies, ik ook niet nee, althans niet nadat ik een kant en klare patch heb klaarliggen en deze heb geimplementeerd in systemen wanneer dat van toepassing is, daarna mogen ze mijn rapport hebben, zodra alles al veilig is, niemand moet alleenrecht op een ongepatchte exploit hebben, dat is vragen om problemen.
Daarnaast zou ik permanent met een proxy werken zodat ik (hopelijk) om deze wet heen kan werken, mijn eigen werkplek incognito houden is daarbij zeer belangrijk.
Precies, jij hebt het begrepen!
11-10-2023, 15:28 door Anoniem
Door Anoniem: Met open source heb je toch al dat een zeroday lek meteen bekend is, omdat de code open is.
Het niet melden staat ook wel bekend als 'security through obscurity', en is een slechte praktijk, omdat software leveranciers daarmee eindeloos lang bekende fouten kunnen verzwijgen.
Dit voorstel legt meer druk bij leveranciers om dergelijke fouten te voorkomen en meer urgentie om de verantwoordelijkheid te nemen deze fouten op te lossen.
Het zou daarbij fijn zijn als consumenten en bedrijven de database mogen raadplegen zodat ze bekend raken met de deugdelijkheid van het product.
Nogmaals, het is al gangbare praktijk voor open source, dat al overal in de IT-sector wordt gebruikt.

zeroday lek is bij opensource pas bekend als er patch is. want dan wordt de nieuwe code gepubliceerd. daar voor weet je ook niet dat er een zeroday is. dus nee. en het is geen obscurity, het is de ontwikkelaar de tijd geven om een fatsoenlijke patch te maken zodat er geen misbruik van het lek gemaakt kan worden voor er een patch is. Het is hoe dan ook zaak om deze dan zsm te installeren, maar dat is veelal aan de eindgebruiker zelf.
Dit voorstel maakt het onmogelijk om fouten in een fatsoenlijke tijd te repareren, fouten kun je niet voorkomen, Alleen God maakt geen fouten (al hoewel dat kun je zelfs betwisten)
Je weet blijkbaar niets af van Software security en lekken want er is een publieke database de gevonden lekken.
11-10-2023, 15:49 door Anoniem
Die zouden deze informatie voor surveillance en inlichtingendoeleinden kunnen misbruiken.
Oh, dat was niet vanaf het begin af het doel?

Conclusie: mond houden. Als je wat gemeld wordt, dan ga je het eerst onderzoeken. Tegen de tijd dat het onderzoek klaar is, is de patch er ook en DAN kun je melden: jooohhhh, we hebben een lek!
12-10-2023, 10:18 door Anoniem
Aangezien de overheid het belangrijker vindt dat ze terug kunnen hacken in plaats de zeroleak direct te melden bij de leverancier/software-fabrikant is het van de gekke met een dikke laag arrogantie dit te eisen van je burgers.
Wie weet, verkopen ze het aan nso en krijgen dan een hacktool met extra korting voor terug, beter om dan de mitm er uit te laten en zelf naar nso een mailtje te sturen !
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.