NCSC gaat aangedragen zerodays 'in de regel' melden aan softwaremakers

Het Nationaal Cyber Security Centrum meldt onbekende kwetsbaarheden die het krijgt aangereikt van ethische hackers of andere partijen, bij de betreffende softwarefabrikant, meldt minister Grapperhaus van Justitie en Veiligheid, maar er zijn uitzonderingen.

Als uitzondering noemt de minister de situatie dat het belang van de nationale veiligheid eraan in de weg staat om de zerodaykwetsbaarheid te melden bij de maker. Daarnaast wijst hij erop dat zo'n melding ook niet hoeft te volgen 'als de maker kwade intenties heeft'. Verder zegt hij dat het NCSC in goed overleg met de melder zal handelen. Het gaat om zerodays die worden gemeld. Inlichtingendiensten en de politie mogen onbekende kwetsbaarheden wel verzwijgen als die onderdeel zijn van bijvoorbeeld gekochte hacktools die ze gebruiken.

Grapperhaus reageert hiermee op vragen van de leden van de PvdA- en de SP-fracties, die een bevestiging wilden dat informatie over onbekende kwetsbaarheden die door onderzoekers, ethische hackers of anderen aan het NCSC wordt gemeld, altijd wordt doorgegeven aan de maker van de software waarin de onbekende kwetsbaarheid is gevonden.

De vragen zijn onderdeel van de Memorie van Antwoord bij het voorstel Wet beveiliging netwerk- en informatiesystemen, voorheen de Cybersecuritywet, die de minister naar de Eerste Kamer stuurt. De Tweede Kamer ging eind mei akkoord met het voorstel.

Met de Wet beveiliging netwerk- en informatiesystemen implementeert de overheid de Netwerk- en Informatiebeveiligingsrichtlijn, oftewel de NIB-richtlijn van de Europese Unie. Die richtlijn moet ervoor zorgen dat lidstaten hun kritieke infrastructuur beter beveiligen en samenwerken op het gebied van ict-beveiliging. De richtlijn moest eigenlijk al uiterlijk op 9 mei 2018 geïmplementeerd zijn.

De Wet beveiliging netwerk- en informatiesystemen verplicht dat aanbieders van essentiële diensten en digitaledienstverleners hun beveiliging op orde houden en ernstige ict-incidenten melden bij de autoriteiten. Zo moeten onlinemarktplaatsen, zoekmachines en clouddiensten dergelijke incidenten melden bij de minister van Economische Zaken. De regering ziet zorgaanbieders vooralsnog niet als aanbieder van essentiële diensten, maar in de toekomst kan dit volgens Grapperhaus veranderen. Drinkwaterbedrijven, banken en beheerders van gas- en elektriciteitsleidingen vallen er wel onder.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 24-08-2018 11:53 21

24-08-2018 • 11:53

21

Lees meer

NCSC: Nog veel bedrijven maken gebruik van kwetsbare vpn's
NCSC: Nog veel bedrijven maken gebruik van kwetsbare vpn's Nieuws van 18 oktober 2019
Steam patcht in bèta-update zeroday die privilege escalation mogelijk maakte
Steam patcht in bèta-update zeroday die privilege escalation mogelijk maakte Nieuws van 11 augustus 2019
Rekenkamer: Nederlandse waterwerken zijn onvoldoende beschermd tegen cyberaanval
Rekenkamer: Nederlandse waterwerken zijn onvoldoende beschermd tegen cyberaanval Nieuws van 28 maart 2019
Overheid gaat gebruik zero-days door AIVD en MIVD toetsen
Overheid gaat gebruik zero-days door AIVD en MIVD toetsen Nieuws van 15 maart 2018
Minister dient voorstel voor Cybersecuritywet bij Tweede Kamer in
Minister dient voorstel voor Cybersecuritywet bij Tweede Kamer in Nieuws van 15 februari 2018
Staatssecretaris: politie mag hacktools kopen die gebruikmaken van zero days
Staatssecretaris: politie mag hacktools kopen die gebruikmaken van zero days Nieuws van 13 december 2016
Politie mag zero-days voor terughacken onder de pet houden - update
Politie mag zero-days voor terughacken onder de pet houden - update Nieuws van 8 november 2016
Meer producten en artikelen
Beveiliging en antivirus Overheid

Reacties (21)

-Moderatie-faq
21
20
15
2
0
5
Wijzig sortering

Sorteer op:

Weergave:
dehardstyler 24 augustus 2018 12:03
Ik geloof er niks van, maar leuk geprobeerd dat wel. :)
Als uitzondering noemt de minister de situatie dat het belang van de nationale veiligheid eraan in de weg staat om de zerodaykwetsbaarheid te melden bij de maker.
En zo is dit dus een wassen neus. :)
Het Nationaal Cyber Security Centrum meldt onbekende kwetsbaarheden die het krijgt aangereikt van ethische hackers of andere partijen bij de betreffende softwarefabrikant
En waarom zou een "ethische hacker" het aan een overheidspartij geven?
De regering ziet zorgaanbieders vooralsnog niet als aanbieder van essentiële diensten
Maar zoekmachines wel, ook erg mooi. 8)7

edit: typo

[Reactie gewijzigd door dehardstyler op 26 juli 2024 01:36]

Brainscrewer @dehardstyler24 augustus 2018 12:41
[...]

En waarom zou een "ethische hacker" het aan een overheidspartij geven?
Die vraag is makkelijk te beantwoorden: het NCSC wordt gezien als de default ingang voor het melden van een Reponsible Disclosure. Plus, als het NCSC het vervolgens bij een andere overheidspartij belegd houdt het zelf een vinger aan de pols waardoor je als overheidsorganisatie eigenlijk wel wordt gedwongen het op te pakken en te fiksen.
The Zep Man
@Brainscrewer24 augustus 2018 12:45
Die vraag is makkelijk te beantwoorden: het NCSC wordt gezien als de default ingang voor het melden van een Reponsible Disclosure.
Door wie?

Ik kan verklappen dat noemenswaardige bedrijven zelf een responsible disclosure procedure hebben, en ook de voorkeur hebben dat het eerst direct bij hun wordt gemeld. Vaak staat hier zelfs een beloning tegenover.

Een ethische hacker heeft er weinig aan om dit aan een overheidspartij te geven, wetende dat de overheid het ook voor kwaadaardige doelen kan gebruiken.

[Reactie gewijzigd door The Zep Man op 26 juli 2024 01:36]

Brainscrewer @The Zep Man24 augustus 2018 12:53
[...]
Door wie?

Ik kan verklappen dat noemenswaardige bedrijven zelf een responsible disclosure procedure hebben, en ook de voorkeur hebben dat het eerst direct bij hun wordt gemeld. Vaak staat hier zelfs een beloning tegenover.

Een ethische hacker heeft er weinig aan om dit aan een overheidspartij te geven, wetende dat de overheid het ook voor kwaadaardige doelen kan gebruiken.
Veel ethische hackers van buiten Europa gebruiken het NCSC om kwetsbaarheden te melden bij de Belastingdienst/het OM/verschillende Ministeries en zelfs bij semi-overheidspartijen. Het maakt eigenlijk weinig uit of deze bedrijven zelf een RD-procedure hebben of niet.

Het bedrijf waar ik voor werk (semi overheid) heeft ook een RD-procedure , en die staat ook op onze website, maar het gebeurt nog regelmatig dat er via het NCSC iets wordt gemeld bij ons. En ja, bij ons krijg je ook een vergoeding als je een terecht issue meldt. Volgens mij is het zelfs zo dat je dan van zowel het NCSC als de betreffende toko een beloning krijgt.

[Reactie gewijzigd door Brainscrewer op 26 juli 2024 01:36]

CAPSLOCK2000
@The Zep Man24 augustus 2018 13:09
Ik kan verklappen dat noemenswaardige bedrijven zelf een responsible disclosure procedure hebben, en ook de voorkeur hebben dat het eerst direct bij hun wordt gemeld. Vaak staat hier zelfs een beloning tegenover.
Als die er is dan heeft die procedure de voorkeur. Helaas zijn er nog altijd veel bedrijven die het niet willen weten, of die er niet goed mee om gaan. Wat als een bedrijf niet (goed genoeg) reageert op een melding? Ik kan een hoop gevallen bedenken waar ik graag heb dat iemand ingrijpt. In sommige gevallen kun je naar de rechter om een fix te eisen, maar in een hoop gevallen ook niet. Dat moeten we echter voor de meest extreme gevallen bewaren.
Een ethische hacker heeft er weinig aan om dit aan een overheidspartij te geven, wetende dat de overheid het ook voor kwaadaardige doelen kan gebruiken.
Aan wie dan? Als het bedrijf zelf er niks mee wil doen heb je niet zo veel mogelijkheden. Je kan klagen op twitter, een brief aan de krant sturen, of aangifte doen bij de politie. Dat zijn ook geen fijne middelen, de meeste whitehats zullen het laten bij een korte tweet of mail. Je moet nog oppassen ook, want als zo'n bedrijf er geen zin in heeft loop je het risico dat ze jouw aanklagen.

Ik zou liever hebben dat de software-industrie z'n zaakjes zelf regelt maar dusver stelt dat weinig voor. Sommige bedrijven doen vrijwillig het juiste, maar er is niemand die afrekent met bedrijven die nalatig zijn.

Dan maar de overheid. Ik ben ook bang dat een deel van de gevonden gaten een "alternatieve bestemming" gaat krijgen en ik hoop dat whitehats daar rekening mee houden, maar het idee dat de overheid wat ambtenaren in zet om fouten netjes te melden en aan te dringen op een oplossing vind ik op zich prima. Het zou niet nodig moeten zijn, maar dat is de realiteit nu eenmaal.

Een simpele oplossing is overigens om de gaten niet bij één overheid te melden, maar bij álle overheden. Dan kunnen ze die gaten niet tegen elkaar gebruiken en is de kans groot dat tenminste één overheid zorgt dat het probleem opgelost of gepubliceerd wordt.
The Zep Man
@dehardstyler24 augustus 2018 12:44
En waarom zou een "ethische hacker" het aan een overheidspartij geven?
Dat is wel een goede vraag. Combineer dat met:
Daarnaast wijst hij erop dat zo'n melding ook niet hoeft te volgen 'als de maker kwade intenties heeft'.
Dus zo'n melding hoeft nooit te volgen. Immers kan je niet echt van ethisch spreken als je het eerst bij een overheidspartij neerlegt voordat je het meldt bij een partij die het wel oplost voor de mensen die erdoor betrokken worden (de fabrikant van het product, de pers, gebruikers zelf...).
ACM Software Architect @The Zep Man24 augustus 2018 15:04
Met 'maker' wordt de eigenaar/maker van de software bedoeld. Niet de maker van de melding.

Dus software(makers) met kwade bedoelingen gaan ze niet helpen om te verbeteren. Dan gaan ze vast liever de exploit gebruiken om de software onklaar te maken ;)
totaalgeenhard @dehardstyler24 augustus 2018 14:27
Ze krijgen geen zerodays.

Niemand gaat op commerciële basis een zeroday aan een partij ter beschikking stellen die deze gaat melden. Die lopen daarmee miljoenen aan omzet mis.

Zelfs iemand in loondienst van overheid zou bedingen dat commerciële exploitatie van zerodays buiten arbeidsbetrekking valt. Als.ook intellectueel eigendom.

In een leven ga je geen 10 remote root/Admin zerodays vinden dus elke die je vind wil je op elk vlak uitmelken. Alleen al met presentaties kan per presentatie meer krijgen dan een maandsalaris in loondienst bij overheid (hooguit 6000 bruto)
Pinkys Brain @totaalgeenhard24 augustus 2018 16:19
Niet elke kwetsbaarheid is commercieel interessant voor iemand die niet meteen vol crimineel aan de gang wil. Een kwetsbaarheid in zeg een Nederlands ERP systeem zal niet zoveel op brengen als je het probeert te leuren aan inlichtingendiensten van westers geallieerden landen.
totaalgeenhard @Pinkys Brain25 augustus 2018 00:11
Niet elke kwetsbaarheid is commercieel interessant voor iemand die niet meteen vol crimineel aan de gang wil. Een kwetsbaarheid in zeg een Nederlands ERP systeem zal niet zoveel op brengen als je het probeert te leuren aan inlichtingendiensten van westers geallieerden landen.
Niet elke kwetsbaarheid is commercieel interessant voor iemand die niet meteen vol crimineel aan de gang wil. Een kwetsbaarheid in zeg een Nederlands ERP systeem zal niet zoveel op brengen als je het probeert te leuren aan inlichtingendiensten van westers geallieerden landen.
Als een overheid bij je komt shoppen moeten ze diepe zakken hebben als ze alle rechten van een zeroday willen hebben.

Ipv dat je aan meerdere partijen voor X bedrag voor je zeroday kunt vangen en dan een paar jaar later van maker via beloningsprogramma of via commerciële bug buyers bedrijf.

Na openbaring kun je ook in Nederland sprekers circuit in.

Tweakers heeft eens een artikel geschreven.
reviews: Krack, Venom, Ghost en Shellshock: de zin en onzin van 'branded bugs'

wat er niet ver naast zit.

Criminele exploitatie is een ander verhaal die "branche" heeft er geen baat bij om overheden te informeren.
Pinkys Brain @totaalgeenhard25 augustus 2018 13:51
Misschien als je toegang krijgt tot privé/medische gegevens van een heleboel personen kan je genoeg publiciteit krijgen om er wat mee te verdienen op een praatje. Voor systemen die alleen maar bedrijfseconomisch interessant zijn en dan alleen maar op lokaal niveau ... ik zie het niet.
Indir 24 augustus 2018 12:12
"Het Nationaal Cyber Security Centrum meldt onbekende kwetsbaarheden die het krijgt aangereikt van ethische hackers of andere partijen bij de betreffende softwarefabrikant, meldt minister Grapperhaus van Justitie en Veiligheid, maar er zijn uitzonderingen.

Als uitzondering noemt de minister de situatie dat het belang van de nationale veiligheid eraan in de weg staat om de zerodaykwetsbaarheid te melden bij de maker. Daarnaast wijst hij erop dat zo'n melding ook niet hoeft te volgen 'als de maker kwade intenties heeft'."

Waarom zou ik als (onethische) hacker met kwade intenties, überhaupt een zero-day willen melden bij een instantie als de NCSC? Ik acht de kans dat iemand met onethische intenties een zero-day zou willen verspelen aan een instantie als de NCSC als zeer gering. Dus het komt op mij nogal over als een drogredenering.

Tevens zou ik als ethisch hacker met het soort uitspraken van minister Grapperhaus zoals "Als uitzondering noemt de minister de situatie dat het belang van de nationale veiligheid eraan in de weg staat om de zerodaykwetsbaarheid te melden bij de maker.", ook even twee keer nadenken voordat ik overga tot het inlichten van de NCSC. Blijkbaar wegen soms de belangen van dit soort instanties zwaarder dan die van de potentiële slachtoffers.

[Reactie gewijzigd door Indir op 26 juli 2024 01:36]

phjk @Indir24 augustus 2018 12:47
Volgens mij gaat het hier om het geval wanneer de maker van de software waar de zero day in gevonden is 'kwade intenties' zou hebben, niet de hacker die de zero day gevonden heeft.
Skit3000 @phjk24 augustus 2018 14:13
Dat zou bijvoorbeeld dus zijn wanneer het NCSC beschikt over een backdoor in hackingsoftware die door anderen wordt gebruikt?
CAPSLOCK2000
@Indir24 augustus 2018 13:17
Als uitzondering noemt de minister de situatie dat het belang van de nationale veiligheid eraan in de weg staat om de zerodaykwetsbaarheid te melden bij de maker. Daarnaast wijst hij erop dat zo'n melding ook niet hoeft te volgen 'als de maker kwade intenties heeft'."

Waarom zou ik als (onethische) hacker met kwade intenties, überhaupt een zero-day willen melden bij een instantie als de NCSC? Ik acht de kans dat iemand met onethische intenties een zero-day zou willen verspelen aan een instantie als de NCSC als zeer gering. Dus het komt op mij nogal over als een drogredenering.
Ik denk aan twee situaties:
1. de concurrentie pesten. Een soort "swatten" voor softwarebedrijven.
2. de overheid/NCSC pesten. Een soort DOS.

Ik heb wel eens een "responsible disclosure" gehad van een "hacker" die meldde dat het versienummer van Apache zichtbaar was, en vervolgens voor iedere pagina op de website een nieuwe melding deed (om daarna te bedelen voor een plek je in de Hall-of-Fame). Gelukkig kon ik die meldingen gewoon weggooien en was ik niet wettelijk verplicht om een paar duizend dossiers te openen.
ajolla @Indir24 augustus 2018 16:37
Hoe is het mogelijk dat de melding van een bug aan de softwaremaker de 'nationale veiligheid' in gevaar kan brengen?
Ik kan maar één reden bedenken: de hack is té mooi om bekend te laten worden, en gaat uiteraard rechtstreeks naar de NSA en de BVD. Waarbij de NSA dan tegen het NCSC zegt: "Sorry chaps, we already knew that for a loong time, our man in the field put that in the software."
DieterKoblenz 24 augustus 2018 12:02
De regering ziet zorgaanbieders vooralsnog niet als aanbieder van essentiële diensten, maar in de toekomst kan dit volgens Grapperhaus veranderen.

Kansloos. Zorg is natuurlijk op de eerste plaats een grote vervelende kostenpost. Zorgaanbieders leveren ook helemaal geen essentiele diensten....
ACM Software Architect @DieterKoblenz24 augustus 2018 15:10
Dit soort opmerkingen moet je natuurlijk wel in de context van de specifieke wet en deze uitspraak daarover lezen. Ik kan me voorstellen dat je van een zorginstelling accepteert dat het er een paar dagen uit kan liggen door beveiligingsproblemen. En dat het in die zin dus niet essentieel is.

Overigens is de term 'zorginstelling' erg breed. Zo vallen fysiotherapeuten, tandartsen, etc er ook onder (er zijn blijkbaar ruim 126.000 zorginstellingen). Wellicht zouden ziekenhuizen en andere grote zorginstellingen wel al onder die noemer 'essentieel' moeten vallen. Of ze dat doen weet ik niet.

[edit]
Zo te lezen wordt vooralsnog geen enkele zorgaanbieder aangewezen, dus ook geen ziekenhuizen.

[Reactie gewijzigd door ACM op 26 juli 2024 01:36]

alexiooo @ACM24 augustus 2018 16:49
"Zo moeten onlinemarktplaatsen, zoekmachines en clouddiensten dergelijke incidenten melden bij de minister van Economische Zaken."

Dat zorg niet zo essentieel is als drinkwater kan ik me wel in vinden. Maar als zoekmachines essentiëler zijn dan zorg weet ik het ook niet meer...
ajolla @bussie6624 augustus 2018 16:38
Ja, dat zou ironisch zijn.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq