Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Minister wil bugbountyprogramma opzetten voor Nederlandse corona-app

Het ministerie van Volksgezondheid koppelt binnenkort een bugbountyprogramma aan de Nederlandse corona-app. Zelfstandige beveiligingsonderzoekers die een kwetsbaarheid vinden in CoronaMelder, krijgen dan een beloning. Wat die beloning inhoudt, is nog niet bekend.

Minister Hugo de Jonge van Volksgezondheid zei dat in een debat in de Eerste Kamer. Daar werd, in navolging van een eerder debat in de Tweede Kamer over dat onderwerp, gesproken over het ontwikkeltraject van de corona-app. De Jonge reageert op vragen van ChristenUnie-lid Maarten Verkerk. Die legde vragen voor die hij eerder van een basisschoolklas had gekregen, waaronder de vraag of het 'absoluut zeker is dat de app helemaal werkt'.

De Jonge reageert dat de app in vijf regio's door meer dan een miljoen gebruikers is getest en dat hij 'echt wel durft te zeggen dat de app helemaal werkt'. Toch komt er daarnaast een bugbountyprogramma. "Als jullie dus een technische fout ontdekken in de app, dan gaan we je daarvoor belonen", zegt de Jonge. Het is nog niet bekend om wat voor beloning het gaat en als het om een geldbedrag gaat, hoe hoog dat zal zijn. De Rijksoverheid verwijst normaal gesproken naar het responsible-disclosurebeleid dat wordt uitgevoerd door het Nationaal Cyber Security Centrum. Dat deelt meestal beloningen uit in de vorm van T-shirts of cadeaubonnen en in zeldzame gevallen een geldbedrag van maximaal driehonderd euro. Het idee van een bugbounty werd eerder al geopperd in een openbare Slack-groep met de ontwikkelaars. Toen werd voorgesteld om, vanwege het open karakter van het ontwikkeltraject, een betaling in natura uit te keren.

De Jonge zegt in het debat verder ook dat het bugbountyprogramma alleen van toepassing zal zijn op kwetsbaarheden in de app zelf. Dat is 'hetgeen waar we zelf invloed op hebben', zegt hij. Voor kwetsbaarheden in de GAEN-api van Google en Apple hebben die bedrijven zelf al standaard bugbountyprogramma's. Wanneer het programma voor CoronaMelder van start moet gaan, is niet bekend. Wel zegt De Jonge dat hij onderzoekers nu al 'oproept kritisch te kijken' naar de app.

Door Tijs Hofmans

Redacteur privacy & security

15-10-2020 • 10:17

175 Linkedin

Reacties (175)

Wijzig sortering
Met de nieuwste iOS 14 zit het direct in settings onder “blootsellingsmeldingen”.

Als je dus via privacy moet zit er misschien ergens een bug. Misschien goed die even te melden.
Of dat aanzienlijk is, hangt af van de andere 76% verbruik.

Bij mij verbruiken de exposure notifications momenteel 5% (iPhone Pro 11), maar dat is bij een laag totaal verbruik van ongeveer 30% van de batterij capaciteit per dag (ik werk momenteel thuis). Als ik volgende week naar kantoor ga, zal mijn verbruik stijgen tot ongeveer 60% van de totale batterij capaciteit en zal de exposure notifications functie dus ongetwijfeld terugvallen tot ongeveer de helft (2.5%).

Ik vind in elk geval het verbruik van de exposure notifications op mijn iPhone 11 Pro zeer beperkt.
Ik denk dat het komt omdat je voor de rest bijna geen gebruik maakt van je telefoon? Voor mij is het aandeel vrij klein, omdat ik bijvoorbeeld veel YouTube kijk tijdens het koken etc.
Uiteraard is percentage wat lastig uitgedrukt als je de rest van het gebruik niet kent. In de uur-statistieken van de batterij zijn er ook uren dat het verbruik van de Coronamelding 100% is van het totaal verbruik dat uur.
Maar tijdens 20 minuten in een uur actief browsen in safari is het aandeel nog steeds 5% in dat uur (en safari in dat uur 60%).

En bij 1,5 uur screentime afgelopen 24uur., vind ik 14% batterijverbruik door de Coronamelding best veel.
Op mijn S10+ wordt het niet eens gemeten. Geen bluetooth, exposure notifications of CoronaMelder batterijgebruik.
Mijn vrouw heeft de Xiaomi Redmi 8 en deze gaat aanzienlijk sneller leeg. Helaas heeft ze m daarom nu weer verwijderd. Ik heb de Redmi Note 7 en heb totaal geen last hiervan....????
De hoeveelheid stroom wat gebruikt wordt voor bluetooth is verwaarloosbaar. Het gaat waarschijnlijk gewoon om een bugje. Op android heb ik nergens last van.
Dat is vervelend maar dat maakt het geen bug.
Eigenlijk niet heel raar, als je de hele dag Bluetooth gebruikt.
De app verbruikt niks... XD. Sorry moest dit even doen op deze opmerking.
Dingen kunnen altijd fout gaan. Net als dat je een operatie en nazorg kan verbeteren met evidence based practise, kan je ook programmeerfouten bespeuren.

Programmeren is foutgevoelig, maar een programma kan tijdens het draaien echt zeer complexe situaties tegenkomen, welke je niet allemaal van te voren kan bedenken. Dat maakt het exploiteerbaar door hackers.

Zelfs het volgende bedrijf, wat echt héél goed kan programmeren, maakt zelfs dán nog fouten: https://www.fastcompany.com/28121/they-write-right-stuff
Ja, daar had ik het over.

Als je in een agile team gewerkt hebt, heb je misschien gezien dat een Product Owner zorg draagt voor de requirements en controleert of er adequaat getest wordt, zodat zeker is dat voldaan wordt aan de vereisten.
Die Product Owner hoeft niet Mark Rutte te zijn, maar iemand die namens de regering zorgt dat er een systeem / app / website / dienst wordt neergezet.
De Product Owner is de 'spoc' voor de requirements.
En de PO is altijd bij een Scrum-team betrokken, bij de meeste meetings, en is altijd bereikbaar voor het team.

De onwetendheid over agile werken zorgt vaak voor veel weerstand, maar het heeft werkelijk waar alleen maar voordelen.
Zelfs de tegenargumenten als: "maar we weten dan niet hoe lang het duurt en wat het gaat kosten" zijn erg gemakkelijk weerlegbaar (= laat een agile team één of twee sprints draaien, en je hebt je antwoord + er wordt geen afval gecreëerd) als een team maar de kans krijgt, en de agile werkwijze zuiver wordt gehanteerd (met daarbij een ervaren Scrum Master).

Oh, je hebt gelijk dat wetten veranderen, dat zien we nu wel met de steeds veranderende richtlijnen / regels rondom corona (hoewel dat nog geen wetswijzigingen zijn meen ik, waar wel aan wordt gewerkt).
Maar een agile team is veel beter in staat om om te gaan met een veranderende omgeving, dan een log project middels Prince2.

[Reactie gewijzigd door ByteDelight op 15 oktober 2020 14:58]

Het verwijzen naar anderen die het nog slechter doen is natuurlijk een drogreden.
Maar ik vergeet helemaal niet dat er ook zaken goed gaan, maar dat er nauwelijks controle is op goed resultaat is wel duidelijk. Dat blijkt ook telkens weer als er weer eens (tamelijk basale) fouten ontdekt worden in ontwikkelde software (zoals bijvoorbeeld dat dashboard van de RIVM).

Het is niet zo dat er alleen 'minuscule foutjes' gemaakt worden, het zijn complete projecten die verkeerd gaan. Denk maar aan de de nieuwe software voor het UWV, de politie, rechtbanken, belastingdienst en zo gaat het maar door. Het is werkelijk stuitend om te zien hoe slecht projecten worden gedaan en hoe bedrijven die de opdrachten krijgen ermee weg komen.
Ik zeg niet dat anderen het slechter doen.
Ik zeg dat het voor anderen veel makkelijker is om vergelijkbare fouten stil onder het tapijt te vegen.
De software die de overheid gebruikt is vele malen ingewikkelder dan de software die meeste andere bedrijven gebruiken en wijzigende wetgeving stelt weer veranderende eisen aan de software terwijl deze ontwikkeld wordt. Dat alleen al maakt dat grote softwareprojecten bij de overheid een grotere faalkans hebben.
Ik zeg niet dat anderen het slechter doen.
Ik zeg dat het voor anderen veel makkelijker is om vergelijkbare fouten stil onder het tapijt te vegen.
Dat lijkt mij slechter, dus vandaar een drogreden.
De software die de overheid gebruikt is vele malen ingewikkelder dan de software die meeste andere bedrijven gebruiken en wijzigende wetgeving stelt weer veranderende eisen aan de software terwijl deze ontwikkeld wordt. Dat alleen al maakt dat grote softwareprojecten bij de overheid een grotere faalkans hebben.
Dat is echt volkomen kletskoek. De software is niet ingewikkelder, er is hooguit sprake van achterstallig onderhoud. De faalkans bij andere organisaties is net zo groot, of misschien wel groter. De overheid is nogal wispelturig als het om beleid gaat en daarom moet er altijd veel aangepast worden. Maar niet alleen bij de overheid zelf, ook bij alle anderen.

Behalve dat de projecten nauwelijks gecontroleerd worden op kwaliteit, is het ook nog eens zo dat er een zeer gunstige regeling was om weg te gaan bij de belastingdienst. Daardoor liepen ineens alle goede mensen weg en bleven er alleen mensen achter die echt niemand wilde hebben. Het resultaat is bijna dagelijks in het nieuws.

Je hebt gelijk dat het complexe systemen zijn, maar dat komt vaker voor. Alleen bij de overheid zijn er geen aandeelhouders die gaan sputteren als het teveel gaat kosten. Dat gaat echt niet onder het tapijt.
Ziet er wel uit als een of ander goedkoop shirt.
Doe in elk geval een kwalitatief solide shirt dan.


Om te kunnen reageren moet je ingelogd zijn


Microsoft Xbox Series X LG CX Google Pixel 5 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True