NCSC mag CVE-nummers toekennen aan kwetsbaarheden

Het Nederlandse Nationaal Cyber Security Centrum is geautoriseerd als CVE Numbering Authority. Daarmee mag de organisatie CVE-nummers toekennen aan kwetsbaarheden en beveiligingslekken, zonder daarvoor te moeten wachten op andere organisaties.

Het NCSC is deze week geautoriseerd als CNA door het Common Vulnerabilities and Exposures Program, schrijft de cybersecurityorganisatie. Hierdoor kan het NCSC voortaan zelfstandig kwetsbaarheden en beveiligingslekken van een CVE-nummer voorzien, zonder dat het hiervoor andere CVE Numbering Authorities op de hoogte moet stellen. Dat moet de organisatie in staat stellen om de vertrouwelijkheid van gevonden kwetsbaarheden beter te waarborgen.

Het CVE-programma voorziet kwetsbaarheden in software en hardware van een uniek nummer. Dat maakt het makkelijker om kwetsbaarheden te volgen en om daarnaar te verwijzen. De nummers worden aangemaakt door CVE Numbering Authorities. In totaal zijn er nu zes CNA's in Nederland en één in België.

Deze autoriteiten mogen niet aan alle kwetsbaarheden CVE-nummers toekennen, maar alleen aan kwetsbaarheden die binnen hun domein vallen. Veel bedrijven mogen bijvoorbeeld CVE-nummers aanmaken voor hun eigen software of hardware. In Nederland mag bijvoorbeeld Airbus dat doen, net als Elastic. Daarnaast zijn er instanties zoals het DIVD, dat begin dit jaar als eerste onafhankelijke autoriteit werd aangemerkt als CNA in Nederland.

Bedrijven die zelf geen CVE-nummers mogen registreren, kunnen worden bijgestaan door het NCSC. Het securitycentrum kan ook CVE-nummers uitgeven voor kwetsbaarheden die het zelf vindt. De organisatie kan dat doen voor lekken die 'meerdere systemen of leveranciers treffen en waarbij het NCSC de coördinatie doet'. De organisatie geeft geen CVE-nummers uit voor responsible disclosures die bij de Rijksoverheid binnenkomen.

Reacties (54)

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@AntiSpam • 21 juli 2022 12:15

Een wat mij betreft kortzichtige reactie. Een fictief FUD inkomsten model? Waar heb je het over. Ben je bekend met het NCSC, haar doelstellingen en doelgroep? Wie zegt dat er niets structureels gebeurd aan kwetsbaarheden? In alles wat het NCSC doet zit blijvend verbeteren verweven.

Sterker nog, registratie is belangrijk voor een structurele aanpak. Zonder registratie kan je weinig tot niets zeggen over bijvoorbeeld trends en ontwikkelingen op dit vlak. Bovendien maakt een CVE eenduidige identificatie mogelijk. Hoe vaak komt het wel niet voor dat kwetsbaarheden erg op elkaar lijken maar toch net even anders zijn.

[Reactie gewijzigd door Bor op 29 juli 2024 23:43]

Blokker_1999

Networking en security
Beveiliging en antivirus

@AntiSpam • 21 juli 2022 12:16

Ik denk dat jij helemaal geen idee hebt waarvoor deze registratie dient. Je analogie loopt trouwens ook totaal foutief.

Weet jij dan niet dat er wel degelijk een databank bestaat van alle problemen die wagens hebben met betrekking tot veiligheid en dat van zodra zo een probleem bekend is, de meeste nationale diensten de fabrikant ook gewoon dwingen om het probleem op te lossen? Meer zelfs, in geval van problemen met auto's moeten de fabrikanten zelfs aanleveren welke auto's kwetsbaar zijn en welke reeds een oplossing hebben gekregen.

Je kan niets structureels doen aan kwetsbaarheden. Je kan ze niet voorkomen. We zijn en blijven mensen en mensen maken fouten. Maar iedereen die gebruik maakt van het product in kwestie, wees het een auto danwel een stuk software, hoort openlijk te kunnen zien welke veiligheidsproblemen er met dat product zijn zodat iedereen in staat is om ervoor te zorgen dat de nodige stappen ondernomen kunnen worden om het risico in te perken.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Blokker_1999 • 21 juli 2022 12:18

Je kan niets structureels doen aan kwetsbaarheden. Je kan ze niet voorkomen.

Dat is wat mij betreft niet helemaal waar. 100% voorkomen kan misschien niet maar met goede processen, testen, secure coding, security by design etc kan het aantal kwetsbaarheden echt gigantisch worden verkleind.

the_stickie @Bor • 21 juli 2022 12:58

tomato tomato
zelfs "met goede processen, testen, secure coding, security by design etc kan het aantal kwetsbaarheden slechts gigantisch worden verkleind", niet voorkomen. Ik denk dat dit bewezen wordt door bedrijven als Microsoft, Apple, Samsung, Intel,... die wmb allemaal op een serieuze manier met security bezig zijn - en net daarom zoveel CVE's & patches hebben

Uit de praktijk blijkt dat mensen nog steeds fouten maken en technologie (deels?) door mensen ontwikkeld en ge- en misbruikt wordt. Bovendien is de interactie van al die technologie zo complex dat het "volledige overzicht" hebben over wat er fout kàn gaan nagenoeg onmogelijk is - zie bijvoorbeeld Spectre, wat gewoon een innovatieve manier is/was om iets stuk te maken.

hamsteg @Bor • 21 juli 2022 12:59

Vijftien jaar geleden had ik dit antwoord ook gegeven, en met marges is dit in een team ook best wel van toepassing. Maar de grote groep mensen die geen verstand heeft van engineering krijgt door deze nuances de indruk dat alles te voorkomen is en daarmee maken we ons werk eigenlijk een heel stuk moeilijker. Kijk bijvoorbeeld maar eens naar de mooie ongenuanceerde uitspraken onder het artikel waar de belastingdienst aangeeft de 0% BTW voor groente en fruit het eerst komende jaar niet kan implementeren.

Ik werk 28 jaar in de IT, heb verschillende verbeterprogramma's doorgemaakt, standaarden gevolgd in automotive en medisch maar in essentie dwing je alleen af dat iedereen ongeveer gelijk werkt volgens een bepaald proces waardoor je een bepaald type fouten kunt voorkomen of snel ontdekken. De echt structurele fouten vinden we ook in deze procedures niet. Ik heb in al die jaren ook steeds weer dezelfde delen fout zien gaan, er op gestuurd, gewezen, kunnen minimaliseren maar echt voorkomen kun je het niet. Heeft iets te maken met de menselijke psyge van zelf willen ondervinden en denken dat een maatwerkoplossing altijd beter is.

We accepteren dat het besturen van een vliegtuig moeilijk is, als een piloot later landt worden zijn kwaliteiten nooit ter discussie gesteld. Laten we ook maar eens gaan accepteren dat producten maken moeilijk is. De illusie dat fouten bij software makkelijk op te lossen zijn is bewezen onwaar (FDA doet hierover hele duidelijke uitspraken ter bescherming van engineering: General Principles of Software Validation; Final Guidance for Industry and FDA Staff: zie H3.3 <-- echt heerlijk om te lezen dat dit overheidsorgaan de problematiek doorgrondt).

Laten we de nuances maar eens weglaten. Het omzetten van een menselijke wens naar elektronische stroompjes die bits en bytes vertegenwoordigen is een moeilijk en complex proces vol potentiële fouten. Geen enkel product is foutvrij, het gebruikersvriendelijk maken, minimaliseren van fouten, kost veel tijd/geduld en is een continue proces (ook na vermarkting).

[Reactie gewijzigd door hamsteg op 29 juli 2024 23:43]

True @Bor • 21 juli 2022 12:40

Eens, maar voorkomen dat we een een CVE-registratiesysteem nodig hebben lijkt mij een utopie.

SuperDre @Bor • 22 juli 2022 06:31

Tja, probleem is natuurlijk wel dat security een vak apart is, je kunt niet overal expert in zijn en er is ook noet oneindig geld om al die expertise in te kopen/huren, naast dat er een hoop beunhazen zijn die zich expert noemen.

blorf @Blokker_1999 • 21 juli 2022 17:28

Waar het meestal het eerst mis gaat is waar dit als excuus wordt gebruikt voor wat gewoon nalatigheid is. Mensen die dit keer op keer onderstrepen zijn een reden voor vraagtekens.

Orangelights23 @AntiSpam • 21 juli 2022 12:29

Jouw hele reactie schreeuwt ‘ik begrijp het niet’.

the_stickie @AntiSpam • 21 juli 2022 12:43

Common Vulnerabilities and Exposures, meestal afgekort als CVE, is een databank met informatie over kwetsbaarheden in computersystemen en netwerken. Veelal wordt in rapporten van penetratietests verwezen naar gegevens in deze databank. Een voorbeeld van een verwijzing hiernaar is: CVE-2012-1650. Wikipedia

Zonder deze registratie is het voor niemand duidelijk welke bug welke is, en bij gevolg ook niet welke patches/workarounds en filters beschikbaar zijn.
Op zijn minst is het CVE nummer de sleutel/naam die we allemaal gebruiken. Maar in de CVE database staat nog heel wat meer info (zoals attack vectors, geschatte ernst (cvss), links naar info van de vendor...). (open) CVE's geven admins dus heel wat controle en de mogelijkheid eenvoudig veiliger oplossingen te kiezen of hun systemen tijdig te herconfigureren of patchen

Dat staat dus naast een kader dat bedrijven verplicht bepaalde acties te nemen, zoals het repareren van kwetsbaarheden. Zover ik weet is er wel wat jurisprudentie rond aansprakelijkheid - maar IT security blijkt net uit te blinken in zelfregulering en (zelfs) samenwerkingen waar je het niet zou verwachten. Denk aan het systeem van responsible disclosure en wat een schandpaal een lijstje CVE's kan zijn

Imo is net wat we missen meer IT- en securityengineers en -admins die het (CVE/CVSS/newsletter) systeem kennen, waarderen en gebruiken

DigitalExorcist @AntiSpam • 21 juli 2022 12:49

Hoe zeg je dat je ergens geen verstand van hebt zonder te zeggen dat je ergens geen verstand van hebt.....

Om toch iets constructiefs aan bovenstaande toe te voegen: wat is het alternatief? Dingen lukraak gaan lopen "fixen" (alsof het NCSC zelf alle software bouwt waar vulnerabilities voor gevonden worden..) zonder registraties en zonder logging en zonder toekennen van prioriteiten e.d.? Dus gewoon alles adhoc, of een eigen systeem implementeren naast iets dat wereldwijd al veel gebruikt wordt? Of kunnen we beter gewoon bestaande standaarden voor dezelfde functionaliteiten inbouwen zoals nu met CVE-nummering?

[Reactie gewijzigd door DigitalExorcist op 29 juli 2024 23:43]

Frame164 @AntiSpam • 21 juli 2022 16:59

Ik begrijp hieruit dat jij een manier weet om foutloze software te schrijven. Anders zou je niet zoiets raars schrijven zoasl die laatste zin. Of denk je werkelijk dat je met boetes verbeteringen kunt krijgen. Dat doortrekkende zou jij dus werknemers die fouten maken beboeten zodat ze beter werk gaan leveren. En laat schrikbewind nu juist de grootste oorzaak van fouten zijn. Zonder schrikbewind van het VW management was er geen dieselschandaal geweest, of was de 737 Max wel veilig geweest.

dehardstyler @AntiSpam • 21 juli 2022 12:14

Als we Microsoft nou gewoon 1 miljoenmiljard euro boete geven, dan worden er daarna ab-so-luut geen fouten meer in door hen gemaakte software gevonden. Toch?

Nystran @dehardstyler • 24 juli 2022 14:23

Als we Microsoft nou gewoon 1 miljoenmiljard euro boete geven, dan worden er daarna ab-so-luut geen fouten meer in door hen gemaakte software gevonden. Toch?

Niet in sindsdien door hen uitgebrachte software idd.: een failliet bedrijf levert geen software meer.

Misschien ook een oplossing voor verkeersdoden? Direct alle auto's van het merk dat een dodelijk ongeval veroorzaakt van de weg halen. Iets met kind en badwater...

EnigmaNL @AntiSpam • 21 juli 2022 12:33

Vertel me dat je geen idee hebt wat CVE's zijn en wat het NCSC is zonder me te vertellen dat je geen idee hebt wat CVE's zijn en wat het NCSC is.

DJMaze @AntiSpam • 21 juli 2022 12:40

die je vorige eeuw al in OWASP kon vinden.

De "heilige graal" OWASP in je text stoppen, en het is opgelost?
Ik hoop dat je slimmer bent dan dat lijstje, want zelfs OWASP bevat fouten waardoor ontwikkelaars fouten maken.

FrostyPeet 21 juli 2022 12:34

Stel er is een kwetsbaarheid bij software X. Moet dan iemand eerst door die hele database ploegen om te kijken of het een nieuw nummer wordt? Zoiets van "lijkt op dit, heeft iets weg van dat"? Dat lijkt me een exponentieel moeilijkere taak als de database met kwetsbaarheden groeit en groeit.

dutchgio @FrostyPeet • 21 juli 2022 12:40

De CVE nummers zijn juist erg zinvol om onderscheid te maken in verschillende kwetsbaarheden en voorkomen misverstanden over 'die nieuwe kwetsbaarheid in product X'. Het omvat ook informatie over de kwetsbaarheid en vanaf welke versie die is gedicht etc.

bitflusher @FrostyPeet • 21 juli 2022 12:49

Er wordt vaak gewaarschuwd door een organisatie of een leverancier voor een kwetsbaarheid dan helpt de registratie.

Ook bij software updates staan vaak cve’s die met een update zijn opgelost. Daarmee kun je een inschatting maken of je een update rustig komende maand uitrolt in bijvoorbeeld een release proces/ versneld uitrolt met alle waarborgen/ zsm uitrolt eventueel met veel minder testen omdat een risico op een hack groter is dan de potentiële productie verstoring.

Je kan inderdaad door de database heen ploegen maar ik denk dat er slechts een beperkt aantal organisaties is met de resources daarvoor.

JesseJellema @FrostyPeet • 21 juli 2022 13:40

Daar heb je tooling voor denk aan Rapid 7, Nessus of het bedrijf waar ik voor werk:)

CAPSLOCK2000

Beveiliging en antivirus
Networking en security

@FrostyPeet • 21 juli 2022 17:35

Je hoeft niet de hele database te bekijken, alleen het stukje voor de juiste/nieuwste versie van de applicatie in kwestie. Uitzoeken of het een nieuwe kwetsbaarheid is laat je typisch over aan de auteur van de software. En ergens hopen we natuurlijk dat als fouten eenmaal bekend zijn ze snel worden opgelost zodat niemand anders ze nog tegen zal komen. De praktijk is natuurlijk minder mooi.

Meestal gebruik ik de databases juist andersom, namelijk om op te zoeken of er fouten bekend zijn in een bepaalde applicatie, of om meer informatie te krijgen over een of ander probleem dat bij ons gemeld wordt.

kodak

Networking en security
Beveiliging en antivirus

@FrostyPeet • 21 juli 2022 17:08

Alleen werkt dat niets anders dan bij gewone bugs. Daarom is het ook belangrijk dat iemand die een probleem heeft gevonden zo duidelijk mogelijk is over de omstandigheden, zoals welke versie, configuratie, hoe te reproduceren enz.

blorf @FrostyPeet • 21 juli 2022 20:41

Ik weet hier helemaal niks van, maar het moet te doen zijn. Elke kwetsbaarheid krijgt een soort fingerprint gebaseerd op betrokken functies, bestanden, geheugen, apparaten enz. Iemand die een kwetsbaarheid vindt en dat goed in beeld heeft kan zonder heel veel moeite achterhalen of er eerder al iets geconstateerd was met sterk overeenkomende kenmerken.

Die centrale autoriteit die niet meer naar anderen hoeft te kijken is wel een zeker risico. Wat als ze dingen door de vingers zien vanwege niet nader genoemde belangen? Maar goed, wat is de autoriteit van het NCSC? Wie hebben daar iets mee te maken?

Debris 21 juli 2022 12:14

Dat moet de organisatie in staat stellen om de vertrouwelijkheid van gevonden kwetsbaarheden beter te waarborgen.

Hoe dan? Ik was altijd in de veronderstelling dat wanneer iets eenmaal een CVE nummer heeft, alle details publiek worden?

LevelZero @Debris • 21 juli 2022 12:45

Een CVE nummer wordt al aangevraagd zodra de kwetsbaarheid gemeld is. Zo zie je regelmatig dat CVE ID's als "reserved" in de database staan. Dit houdt in dat er een kwetsbaarheid is, maar dat deze nog niet gepubliceerd is (bijvoorbeeld omdat de patch nog niet beschikbaar is).

Voor meer informatie over het hele proces van CVE nummers, zie deze link

hoogmoedswaan @LevelZero • 21 juli 2022 13:15

Dit klopt niet helemaal. CVE's worden ook in bulk uitgegeven aan grote software producenten omdat die hoe dan ook kwetsbaarheden gaan uitbrengen in hun soft- of hardware. Deze zijn inderdaad reserved maar zou in theorie nog helemaal geen kwetsbaarheid kunnen bevatten.

Dit gebeurd zodat een Microsoft, RedHat, etc niet bij iedere kwetsbaarheid een CVE hoeft aan te vragen maar pakt er een uit de stapel die toegewezen hebben gekregen.

Debris @LevelZero • 21 juli 2022 13:19

Wat jij dan zegt is dat er geen ketenbetrouwbaarheid is tussen de meldende instantie en de instantie die de CVE nummers genereert? Dat lijkt me een kwalijke zaak. Ik begrijp niet waarom, in onderlinge communicatie over kwetsbaarheden in software, er sprake zou moeten zijn van geheimhouding of twijfel aan vertrouwen.

[Reactie gewijzigd door Debris op 29 juli 2024 23:43]

CivLord

@Debris • 22 juli 2022 09:03

Wanneer er een kwetsbaarheid zou zijn die heel eenvoudig elke Linux-server open zou zetten voor kwaadwillenden, dan wil je wél zo snel mogelijk de procedure starten om er over te kunnen communiceren (dus toekennen van CVE-nummer en alvast de complete beschrijving in concept klaar hebben staan). Maar je wil niet elke hacker, scriptkiddy en nieuwsgierige puber de loper naar zowat elke server op internet geven voordat er een patch beschikbaar is.
Tussen het ontdekken door of bekendmaken aan een autoriteit als het NCSC en het dichten van een lek kan enige tijd liggen, waarin het lek zelf het beste geheim gehouden kan worden (mits er natuurlijk druk aan een oplossing gewerkt wordt en er niet laks gedaan wordt omdat het lek toch niet openbaar is).
Geheimhouding betekent meestal niet een gebrek aan vertrouwen of zelfs een complot. Somsis het gewoon noodzakelijk.

ronnySB 21 juli 2022 13:09

Betekent dat nu de overheid nu kwetsbaarheden voor zichzelf kan houden en eventueel kan uitbuiten als de NCTV daarom vraagt?

T-men @ronnySB • 21 juli 2022 14:14

Dat konden ze al. Het feit dat ze kwetsbaarheden nu kunnen registreren verandert daar niets aan.

Elbert 21 juli 2022 12:24

Is mooi de toekenning van een rating van een kwetsbaarheid dmv een CVE norm. Echter is nog beter als er risico gebaseerd een rating wordt gegeven zoals met Farsight.Er wordt dan op waarschijnlijkheid van het misbruik van een kwetsbaarheid gewaardeerd met behulp van input van ethische hackers en een AI engine ipv een aanname gebaseerd op CVE scores

dutchgio @Elbert • 21 juli 2022 12:36

De CVSS score van een CVE houdt er al rekening mee of er bijvoorbeeld al een exploit beschikbaar is en hoe geavanceerd een aanvaller moet zijn om de kwetsbaarheid te misbruiken.
Zie:
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator

[Reactie gewijzigd door dutchgio op 29 juli 2024 23:43]

Bulkzooi @Elbert • 21 juli 2022 16:07

Ik snap om te beginnen de limiet aan registraties niet. Waarom zou je zwaktes niet willen registreren als, pakkumbeet, de HEMA zo'n CVE (Common Vulnerabilities & Exposures) aanmaakt?

Weinig Common aan als je het mij vraagt.

edit:
ah, ik zie het al; het CNA Partner-programma is nog niet zo oud.
https://www.cve.org/PartnerInformation/ListofPartners

[Reactie gewijzigd door Bulkzooi op 29 juli 2024 23:43]

ocn 21 juli 2022 14:18

Interessant. Airbus is Nederlands, maar heeft geeneens kantoren in Nederland. https://www.airbus.com/en/airbus-contact-us

riverbit @ocn • 21 juli 2022 14:45

Bijzonder, ze hebben wel meerdere locaties in de KVK staan.

Wel interessant dat Airbus best actief lijkt op dit gebied en ook kwetsbaarheden heeft gevonden in bijvoorbeeld Xerox-producten.

ocn @riverbit • 21 juli 2022 15:36

Lijkt vooral Airbus Space (voormalig Fokker Ruimtevaart) te zijn.

https://airbus-cyber-security.com/contact-us/ ik zie adressen in Frankrijk, Duitsland en VK.

En hier wat meer details https://www.airbus.com/en...m/airbus-cyber-innovation

Airbus SecLab
This unit is responsible for cyber security testing, evaluation, verification and validation. Based in Toulouse and Paris, Airbus SecLab experts test the cyber resilience of Airbus’ products and infrastructure, and develop customised cyber security tools.

Airbus Cyber Innovation Hub
This centre of excellence, located in Airbus’ Newport facility and in the heart of “Cyber Wales,” is home to research initiatives, incubators, accelerators and academic research units driving state-of-the-art cybersecurity innovation.

Centre of Excellence in Cybersecurity Analytics
In partnership with Cardiff University, the Centre is a leading academic research unit for cybersecurity analytics in the UK.

Centre of Excellence in Industrial Control System (ICS) Security
In partnership with De Montfort University’s Cyber Technology Institute (CTI), the Centre advances research in the protection of industrial control systems, which are essential for seamless operations in industries such as automobile and aviation.

CyberLab
Jointly funded by the Welsh Government and Airbus, this major security research initiative aims to develop cyber innovation for key industrial requirements in advanced manufacturing organisations. It is based in the Airbus Cyber Innovation Hub in Newport, Wales.

Airbus Cyber Research Centre
Located in Hamburg and Ottobrunn, Germany, the Centre develops cyber research, tools and techniques for industrial control security in collaboration with Airbus’ local business units.

Denk dus eerder een brievenbusadres in Nederland. Zou daar als Tweakers dan ook niet zoveel aandacht aan schenken.

Bulkzooi @ocn • 21 juli 2022 17:52

De registratie betreft Nederland dus dat adres lijkt me gewoon bekent. Dit is in ieder geval de online outlet, https://airbus-seclab.github.io/.

Maar dit lijkt me meer een artefact uit de Fokker / Stork legacy. Die hadden locaties in Papendrecht, Hoogeveen, Helmond, Hoogerheide en Hoofddorp/Schiphol. Ik geloof dat ondertussen enkel Papendrecht nog maar open is.

Ook Airbus Defence and Space Netherlands B.V. (uit Leiden) vindt haar roots in Fokker NV, m.n. in het bedrijfsonderdeel Fokker Space & Systems; de ruimtevaartafdeling met sateliet-ontwikkeling sinds 1968, i.s.m. Philips en Universiteiten, o.a. de ANS (Astronomische Nederlandse Satelliet; Nederlands eerste) en IRAS (Infra-Rood Astronomische Satelliet) satellieten en ook de Vega en Ariane raketten alsmede de zonnepanelen bekent van International Space Station (ISS, ook de ERA-robotarm).

Kort voor het faillissement van Fokker (15 maart 1996; activated by strategic supplier Daimler-Benz, the DASA abandoned the contract from 30 oktober 1992 due "Differences in national culture".) werd de ruimtevaartafdeling een zelfstandig bedrijf.

Per 1 januari 2006 werd Dutch Space (de naam sinds 2002, na ook nog kort Fokker Space geheten te hebben) in samenspraak met het ministerie van Economische Zaken overgenomen door Astrium, een divisie van EADS Consortium (European Aeronautic Defence and Space company) gmbh.

In 2007 kwam Stork (waar het bedrijfsonderdeel Stork Aerospace een gedeelte Fokker N.V. bevatte) in handen van het private equity fonds Candover Partners. Nadat Stork in 1996 de beschikking kreeg over Fokker Aviation (Elmo (elektronica), Fas (vliegtuigonderhoud) en Special Products) werd deze ondergebracht onder Stork Aerospace Group.

In 2008 Stork was delisted from the Euronext Stock Exchange and established two separate management teams in 2009: Stork Technical Services and Fokker Technologies. In 2009 wijzigde Stork ook de naam Stork Aerospace in Fokker Aerospace.

As of 2011, the Fokker Aerospace Group changed its name to Fokker Technologies. The five individual business units within Fokker Technologies all carry the Fokker name:

Fokker Aerostructures
Fokker Landing Gear
Fokker Elmo
Fokker Techniek
Fokker Services
The former Fokker aircraft facilities at Schiphol were redeveloped into the Fokker Logistics Park. One of the former Fokker tenants is Fokker Services.

https://nl.wikipedia.org/wiki/Fokker_Technologies

EADS:
https://artes.esa.int/contractors/eads-astrium-sas

Airbus Defence and Space Netherlands B.V. (rebranded in 2014) :
https://www.airbusdefence...k-kennis-met-airbusds-nl/

[Reactie gewijzigd door Bulkzooi op 29 juli 2024 23:43]

Bulkzooi @ocn • 21 juli 2022 15:30

Het gaat om een stuk of 200 werknemers volgens mij. Maar ik zie niet in wat een beursnotering van een bedrijf met nationaliteit te maken heeft.

Airbus Defence and Space Netherlands B.V. originally evolved from aircraft company NV Fokker. This Dutch aircraft firm was founded by Anthony Fokker in 1912 and grew to be the largest aircraft company of the world in the twenties.

In parallel, in the seventies, the Fokker space department initiated the development of solar arrays. The activities together led to the founding of the independent company Fokker Space & Systems. In 2002 the company changed its name to Dutch Space, which was acquired by EADS Astrium in 2006.

In 2014 the company has been renamed to Airbus Defence and Space Netherlands B.V. as part of the further integration with the international Airbus organisation.

Tot onze historische hoogtepunten horen onder meer de Nederlandse satellieten ANS (Astronomische Nederlandse Satelliet) en IRAS (Infra-Rood Astronomische Satelliet). Maar ook op de zonnepanelen, satellietinstrumenten en andere ruimtevaarttechnologie die we door de jaren heen ontwikkelden zijn we trots.

https://www.airbusdefenceandspacenetherlands.nl/nl/

[Reactie gewijzigd door Bulkzooi op 29 juli 2024 23:43]

ocn @Bulkzooi • 21 juli 2022 15:38

Dit is dus niet de tak die zich bezighoudt met cybersecurity.

Bulkzooi @ocn • 21 juli 2022 15:45

ow, je zoekt de tak die zich bezig houdt met cybersecurity.

Wellicht moet je het bedrijf Fokker wat beter bekijken; bv. Stork.

Op 15 maart 1996 ging Fokker ten slotte failliet.

In 1996 richtte Stork zich met de overname van Fokker, gespecialiseerd in de productie van vliegtuigonderdelen en geïntegreerde onderhoudsservices voor vliegtuigen, ook op de luchtvaartindustrie. Een strategische heroriëntering begin 2000 leidde tot een bedrijfsstructuur met 5 pijlers, die zich richtten op digitale printtechnologieën (voor textiel), pluimveeverwerking, luchtvaart, industriële onderdelen en technische services. In 2004 verkocht Stork de Industrial Components Group en bleven Stork Prints, Stork Food Systems, Stork Fokker en Stork Industry Services over.

In 2007 nam Stork Turbo-Service en MASA over en verkocht het Stork Food Systems. Stork werd in 2008 van de beurs gehaald en in 2009 werden twee aparte managementteams opgericht voor Stork Technical Services en Fokker Technologies.

https://www.stork.com/nl/over-ons/ons-bedrijf/historie

van de wiki:

Fokker leverde in de periode 2005–2010 Amerikaanse vliegtuigonderdelen aan Iran, Soedan en Birma. Dit was in strijd met de handelsembargo's van onder andere de VS tegen deze landen. Fokker Technologies probeerde voor 21 miljoen dollar te schikken met de Amerikaanse justitie, precies het bedrag dat het bedrijf met de zendingen had verdiend. Een Amerikaanse rechter, Richard J. Leon, vernietigde de schikking omdat er geen medewerkers van Fokker vervolgd waren en het onderzoek naar de overtredingen volledig door Fokker zelf uitgevoerd was

De bijdrage tot het International Space Station (ISS) concentreerde zich op een aantal deelstudies in de voorontwerpfase, en op de ontwikkeling en bouw van een autonome robotarm (ERA) die te zijner tijd aan de buitenzijde van het ISS-ruimtestation zijn werk moet gaan doen. In de loop van haar bestaan werd de ruimtevaartafdeling steeds zelfstandiger. Kort voor het faillissement van Fokker (1996) werd de afdeling een zelfstandig bedrijf. De naam evolueerde van Fokker Space & Systems (FSS) via Fokker Space (FS) tot Dutch Space (DS).
Op 1 januari 2006 werd Dutch Space in samenspraak met het ministerie van Economische Zaken overgenomen door EADS Astrium. Dutch Space is in Leiden gevestigd en is betrokken bij de ontwikkeling van een raket, de Vega.

As of 2011, the Fokker Aerospace Group changed its name to Fokker Technologies. The five individual business units within Fokker Technologies all carry the Fokker name:

Fokker Aerostructures
Fokker Landing Gear
Fokker Elmo
Fokker Techniek
Fokker Services
The former Fokker aircraft facilities at Schiphol were redeveloped into the Fokker Logistics Park. One of the former Fokker tenants is Fokker Services.

https://nl.wikipedia.org/wiki/Fokker_Technologies

[Reactie gewijzigd door Bulkzooi op 29 juli 2024 23:43]

ocn @Bulkzooi • 21 juli 2022 16:19

Wat interessant!! Nog steeds niks over cybersecurity en CVE's.

Bulkzooi @ocn • 21 juli 2022 16:33

Je kan ze ook gewoon mailen:
vuln@airbus.com
of
een online form invullen:
https://cveform.mitre.org/

Ik denk dat de vraag betreft welke entiteit van Airbus geregistreerd heeft als CNA bij CVE.

[Reactie gewijzigd door Bulkzooi op 29 juli 2024 23:43]

ocn @Bulkzooi • 21 juli 2022 16:38

Volgens mij heb je deze comment gemist: ocn in 'NCSC mag CVE-nummers toekennen aan kwetsbaarheden'

Bulkzooi @ocn • 21 juli 2022 16:46

Volgens mij heb je deze comment gemist: ocn in 'NCSC mag CVE-nummers toekennen aan kwetsbaarheden'

dat weet ik niet; die link werkt niet.

Maar als je kijkt in die link uit het artikel

CNA's moeten door de CVE-organisatie worden goedgekeurd en moeten daarbij bijvoorbeeld laten zien dat ze een publiek vulnerability disclosure-beleid hebben. Op het moment van schrijven zijn er 210 CNA's, waarvan vier in Nederland en een in België. Drie van deze vijf partners mogen alleen CVE-nummers toekennen aan eigen projecten. Een vierde bedrijf, Airbus, mag naast het toekennen van CVE-nummers aan Airbus-kwetsbaarheden, ook CVE-nummers toekennen aan kwetsbaarheden in software van derden die niet binnen het domein van een andere CNA vallen. Het DIVD is de enige CNA in Nederland en België die alleen uit beveiligingsonderzoekers bestaat en onafhankelijk onderzoek uitvoert naar kwetsbaarheden.

nieuws: DIVD mag als eerste onafhankelijke Nederlandse partij CVE-nummers reg...

Enig andere is de link zelf:
https://airbus-seclab.github.io/

[Reactie gewijzigd door Bulkzooi op 29 juli 2024 23:43]

ocn @Bulkzooi • 21 juli 2022 21:18

Het Airbus SecLab waar jij naar verwijst bevind zich in Frankrijk:

Airbus SecLab: This unit is responsible for cyber security testing, evaluation, verification and validation. Based in Toulouse and Paris, Airbus SecLab experts test the cyber resilience of Airbus’ products and infrastructure, and develop customised cyber security tools.

Ze doen niks in Nederland. Brievenbusadres.

Bulkzooi @ocn • 21 juli 2022 21:51

ook brievenbus-adressen hebben een adres; een postbus vaak.

tja, 't staat toch geregistreerd op een adres ergens in Nederland. Schiphol en Purmerend leken mij de meest logische locaties maar dan weet ik het ook niet. Maar da's wel een joke; men kan niet eens de entiteit met de accreditatie nachecken.

De eerste publicatie in die repo was in 2004, over Shellcodes by Philippe Biondi at Syscan
https://airbus-seclab.github.io/pdf/shellcodes_syscan04.pdf
waarin Hogwarts’ Backdoor wordt beschreven.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=2004-2004
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-2761

Da's voordat op 1 januari 2006 Dutch Space (de naam van 2002 tot 02-11-2014, na ook nog kort Fokker Space geheten te hebben) in samenspraak met het ministerie van Economische Zaken overgenomen door Astrium, een divisie van EADS Consortium (European Aeronautic Defence and Space company) gmbh.

En die lachen de ballen uit hun broek. Kort voor het faillissement van Fokker (15 maart 1996; activated by strategic supplier Daimler-Benz, the DASA abandoned the contract from 30 oktober 1992 due "Differences in national culture".) werd de ruimtevaartafdeling (satelieten werden sinds 1968 ontwikkelt samen met Philips en Universiteiten, o.a. ANS en IRAS) die bezig was met International Space Station (ISS, mn. de ERA-robotarm) een zelfstandig bedrijf. De naam evolueerde van Fokker Space & Systems (FSS) via Fokker Space (FS) tot Dutch Space vanaf 2002 (DS, te Leiden) en men was ook betrokken bij de Vega (en eerder al de Ariane) raketten.

Overigens, publicatie via Github waag ik te betwijfelen of dat als Frankrijk telt. Ligt aan de server infrastructuur van Linkedin (en de algehele backup infrastructuur van Microsoft, tegenwoordig Azure Cloud).

[Reactie gewijzigd door Bulkzooi op 29 juli 2024 23:43]

Bulkzooi @ocn • 22 juli 2022 01:02

Het Airbus SecLab waar jij naar verwijst bevind zich in Frankrijk:

[...]
Airbus SecLab: This unit is responsible for cyber security testing, evaluation, verification and validation. Based in Toulouse and Paris, Airbus SecLab experts test the cyber resilience of Airbus’ products and infrastructure, and develop customised cyber security tools.
[...]

Ze doen niks in Nederland. Brievenbusadres.

Dat zei ik dus; een stuk oorsprong ligt in Nederland en heet nu nog (sinds 2014) steeds Airbus Defence and Space Netherlands B.V. Daarvoor heette dat Dutch Space en het komt voor uit de Fokker / Stork legacy.
https://www.airbusdefenceandspacenetherlands.nl/nl/501/

En vanaf 1 july 2006 is ook het Franse gedeelte van EADS Astrium weer zelfstandig geworden, als Astrium SAS. (ik geloof dat de Franse wetenschappers een fles wijn bij de lunch eisten, in de CAO vastgelegd, maar de Duitse vakbonden wilde juist wat minder afronden en afromen).

Belangrijke club hoor, die EADS Astrium. Ook navigatie projecten onder de EGNOS (European Geostationary Navigation Overlay Service) vlag. o.a. Van het Galileo-project in 2010.
https://en.wikipedia.org/wiki/Astrium

[Reactie gewijzigd door Bulkzooi op 29 juli 2024 23:43]

ocn @Bulkzooi • 22 juli 2022 01:32

https://en.m.wikipedia.org/wiki/Airbus hoofdkantoor is op papier gevestigd in Leiden. Dat zal de reden zijn. Staat verder volledig los van cybersecurity.

Bulkzooi @ocn • 22 juli 2022 02:29

behalve registratie entiteit heb je ook registratie-datum. En ook die kan je dus niet zien, net als je de entiteitsnaam van de inschrijvende partij niet kan zien.

Gezellige accreditatie.

Ik checkte nog ff op
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=dutch
maar mailen:
vuln@airbus.com
of
een online form invullen:
https://cveform.mitre.org/
lijkt de enige optie.

Ik denk dat de vraag betreft welke entiteit van Airbus geregistreerd heeft als CNA bij CVE. En per welke datum. Da's sowiezo het minimale verantwoordingsspoor. Als CNA, is Airbus geaccrediteerd en mag zelfs CVE-nummers toekennen aan kwetsbaarheden in software van derden die niet binnen het domein van een andere CNA vallen.

Ik snap om te beginnen de limiet aan registraties niet. Waarom zou je zwaktes niet willen registreren als, pakkumbeet, de HEMA zo'n CVE (Common Vulnerabilities & Exposures) aanmaakt?

Weinig Common aan als je het mij vraagt.

edit:
ah, ik zie het al; het CNA Partner-programma is nog niet zo oud.
https://www.cve.org/PartnerInformation/ListofPartners

[Reactie gewijzigd door Bulkzooi op 29 juli 2024 23:43]

ocn @Bulkzooi • 22 juli 2022 09:24

Wellicht kan je nagaan welke LEI ze hebben als je contact met ze opneemt https://www.gleif.org/en/...gal-entity-identifier-lei

Bulkzooi @ocn • 22 juli 2022 15:57

Super-interessant!
Maar da's een finance-token; dat heeft toch niks met cybersecurity, CVE, CNA of Mitre te doen? Is zelfs niet eens de juiste entiteit.

Ik zie niet in wat een beursnotering van een bedrijf met nationaliteit te maken heeft.

[Reactie gewijzigd door Bulkzooi op 29 juli 2024 23:43]

ocn @Bulkzooi • 22 juli 2022 18:30

Zeker wel, íedere zakelijke entiteit doet financiële transacties. Dus iedere zakelijke entiteit zou een LEI moeten hebben. Follow the money. Van jou had ik eerlijk gezegd verwacht dat je dit wel zou snappen, je bent doorgaans zeer grondig!

Bulkzooi @ocn • 23 juli 2022 00:29

Dank, maar ik denk je dat je onvolledig bent, danwel lichtelijk in de war. Geld, in welke verschijningsvorm dan ook, wordt al sinds Metusalem uiterst methodologisch bewaakt, zo ook het girale gedeelte. In computer-systemen zie je dit terug in de crypto-module en in de post-analoge wereld in ISO documenten en RFC's. De behoeftes zijn divers want wekelijks naar Zwitserland rijden is geen optie en met van die ijzeren kettinkjes tussen je portemonnee en je broekriem voelt ook maar lekker tot een bepaald bedrag.

Zover ik weet ben je op zoek naar documenten omtrent een inschrijving van Airbus in Nederland als een ge-accrediteerde CNA instelling van Mitre met een CNA Partner-programma waarbij ook de historische invloed van Mitre zich laat voelen, en ontbreken vooralsnog de 2 meest basale formele aanknopingspunten: De entiteit en de inschrijfdatum.

Neemt niet weg dat deze finance-token een coole tool is. Is er een reden waarom dat adres zo belangrijk is? Of impliceer je dat die token gebruikt is bij de inschrijving? Maar misschien kan je die token gebruiken om via de AFM / SEC, KvK en/of Sepa-boekingen die inschrijving te achterhalen? Ik bedoel, Airbus is geen kleine jongen, en die hebben wel wat primaire emissies.

Follow the FIAT is in dit geval correcter. Maar ik zou écht gewoon Mitre mailen, https://cveform.mitre.org/. Die pré-Mozilla organisatie is al op het web sinds 1998-07-30 en die weten echt wel waarom ze wat doen. Die hebben niet voor niks https://www.iana.org/ registrar ID: 2 (met unsigned DNSSEC, dat dan weer wel. Hetzelfde geldt voor https://www.airbusdefenceandspacenetherlands.nl)

Zoals ik altijd doorverwijzingen vormgeef

Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried registar name.

URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/

provided by Public Interest Registry for informational purposes
https://thenew.org/
PublicDomainRegistry

Overigens, elke entiteit doet transacties. Tenminste, de legale entiteiten maar niet de spirituele entiteiten (hoewel over dit laatste de meningen verdeeld zijn). Transacties hebben ook vele verschijningsvormen en een hele historie an sich. Transacties hebben dus zeker wel relaties met entiteiten maar het is niet hetgeen je zoekt. Maar je kan transacties wel gebruiken om te vinden wat je zoekt.

Misschien zit het probleem al ergens in een escalatie-procedure? Dat zie je wel vaker bij die helpdesken. Of een uitzonderingsgevalletje? Maar misschien is er wel iets fout gegaan met het overtikken van de fax, maar nou zit ik echt te speculeren.

[Reactie gewijzigd door Bulkzooi op 29 juli 2024 23:43]

Op dit item kan niet meer gereageerd worden.

NCSC mag CVE-nummers toekennen aan kwetsbaarheden

Lees meer

Reacties (54)

Sorteer op:

Weergave: