AWS, Google en tientallen andere bedrijven beloven veiligere producten te maken

68 softwarebedrijven hebben de zogeheten Secure by Design Pledge van de Amerikaanse Cybersecurity and Infrastructure Security Agency ondertekend. Daarmee beloven ze veiligere producten te gaan maken.

De deelnemende bedrijven beloven om het komende jaar te werken aan zeven concrete doelen, schrijft de CISA in een aankondiging. Zo moeten ze acties ondernemen om het gebruik van meerstapsverificatie binnen hun eigen producten te bevorderen en om het aantal standaard wachtwoorden in hun producten te verminderen.

Andere doelen zijn bijvoorbeeld het bevorderen van de installatie van beveiligingsupdates en het publiceren van beleid omtrent het melden van kwetsbaarheden. Binnen ieder doel zitten weer kerncriteria waar de bedrijven aan moeten werken. Ook beloven de bedrijven transparanter te zijn over gevonden kwetsbaarheden in hun producten en om acties te nemen om gehele klassen van kwetsbaarheden te verminderen. Tot slot beloven de bedrijven klanten beter in staat te stellen om misbruik van producten te onderzoeken. Denk aan loggingmogelijkheden in bepaalde producten, waarmee gebruikers kunnen zien of ze slachtoffer van een aanval zijn geworden via het product in kwestie.

Onder meer Cloudflare, Hewlett Packard Enterprise, Microsoft, Akamai, AWS, Fortinet, GitHub, GitLab, IBM, Google en Lenovo hebben de Pledge ondertekend. De volledige lijst met deelnemende organisaties en details over de verschillende doelen is te vinden op de website van de CISA.

Door Eveline Meijer

Nieuwsredacteur

09-05-2024 • 11:59

41

Submitter: wildhagen

Lees meer

Reacties (41)

Sorteer op:

Weergave:

Veiligere producten... Wat houdt dat in?

Dat wat ik er mee doe en mee maak ook voor mij blijft en voor mij beschikbaar blijft? Dat er een backup is de eenvoudig kan worden teruggezet?

Dat wat ik er mee doe en maak niet naar anderen toe vloeit zonder dat ik daar expliciet toestemming voor heb gegeven? Dat anderen er niet bij kunnen zonder dat ik dat wil? (en anderen betreft niet alleen derden maar ook de 2e partij en diens leveranciers!)

Dat het geen ik van hen gebruik alleen doet wat het belooft te doen en niets meer? Ook geen achterdeurtjes heeft waarmee anderen via die route ongewenst tot mij komen?

Zelf zie ik de bovenstaande graag geheel beantwoord: Dat mijn mailtjes bij google veilig zijn en dat google er geen misbruik van maakt dat ze daar staan En dat mijn android toestel het doet maar dat ze niet wordt misbruikt om mij te beïnvloeden (dat er geen reclame op staat) en dat ze niet wordt misbruikt om mij te bespioneren (wip/wap/woke...) en dat anderen er niet tussendoor kunnen piepen (de beveiligings updates).
Onder veiligere producten valt heel veel. Variërend van security by design tot een actieve update strategie. En alles wat daar tussen zit. En alles op basis van zero trust.
Allemaal leuke (marketing) termen. Maar waar tegen wordt het beveiligd?

Je kan voorkomen dat het verloren gaat door het in de cloud te zetten. Je kan voorkomen dat het ongewenst verspreid wordt door het NIET in de cloud te zetten. Wat is dan veiligheid?
Er zullen denk ik wat algemene afspraken gemaakt worden. Het veld is namelijk enorm breed: de beveiligingseisen voor een cloudopslag zijn nou eenmaal anders als voor een telefoonapp, een computerprogramma of een database.

Dus mooi dat er zo’n alliantie is: ik verwacht er niet heel veel van. Hooguit dat er vaker updates uitgerold gaan worden, er meer “aan de poort” gescand zal worden op malware en/of vulnerabilities en de (economische) levensduur strakker bepaald zal worden (“vanaf 2025 zullen er geen apps meer in de Store staan die niet minimaal versie X ondersteunen”, bijvoorbeeld).
Dat hangt er helemaal van af wat je als software ontwikkelaar er mee wil doen.

Het kan zo simpel zijn als de error handling verbeteren en de software stabieler maken. Of bijvoorbeeld passkey toevoegen als login optie. Misschien dat ze er voor kiezen om simpel weg de gegevens die de software opslaat (al dan niet in de cloud) standaard altijd van encryptie te voorzien met een custom key per klant bijvoorbeeld. Een andere optie is een betere update strategie, of het mogelijk maken om data ergens anders op te slaan dan op een lokale computer waar het laten we eerlijk zijn een stuk minder veilig is dan in een cloud waar backups, redundancy en meestal ook regionale opslag een ding is waardoor de kans dat de data door een oopsie verloren gaat een stuk kleiner is dan op iemands laptop. Misschien is juist het toevoegen van een lokale opslag iets waar men voor kiest om al die mensen die zo als jij (althans zo lijkt het) de cloud niet vertrouwen en denken dat alle cloud providers er op de een of andere manier rijk van zouden kunnen worden om de data van hun klanten die op papier geheel veilig is vrij uit te delen met anderen.

Hoe dan ook er zijn een eindeloos aantal opties te bedenken en hele veel er van kunnen onzichtbaar zijn voor de eindgebruiker denk bijvoorbeeld aan betere monitoring, een upgrade van de firewall en intrusion detection en prevention oplossingen. Misschien simpel weg een betere version control strategie en een continuous deployment optimalisatie, meer test coverage of de gehele interne access policy tegen het licht houden en verder aanscherpen.

De mogelijkheden zijn eindeloos en om eerlijk te zijn is het alleen maar heel erg positief te zien dat steeds meer bedrijven zich bewust zijn van het belang van security in al zijn vormen. Ik spreek dagelijks met bedrijven van over de hele wereld over security integratie tussen producten en welke strategien zij nodig achten om hun data veilig te houden. De meeste grote bedrijven zijn deels verhuisd naar de cloud en deels nog in data centra te vinden, veel heeft men bij de move naar de cloud de teugels echt aangetrokken wat betreft beveiliging (althans dat claimt men) maar het aantal keren dat ik het gevoel had dat men echt een focus op veiligheid had en alles uit de kast haalde om de data veilig te houden is op een hand te tellen en ik doe dit in middles al weer drie jaar.
Een redelijk aantal van de bedrijven die hier aan mee doen heb ik gesprekken mee mogen voeren en hun security teams zijn veel al goed bedoelend maar lang niet altijd op een niveau waar je als consument die hen vertrouwt met belangrijke data blij van zal worden. En dat is vaak niet hun fout het is nu eenmaal zo dat ook zij gebonden zijn aan budgetten, bedrijfspolitiek en simpel weg tijd om alle veranderingen door te voeren.

Veiligheid is zo extreem breed dat ieder bedrijf met een beetje IT team en een CSO hier aan mee had kunnen doen zonder dat er ooit een klant iets van zou merken. Dus verwacht er maar niet al te veel van, maar het is zeker geen slecht idee en ik hoop dat dit nog heel vaak herhaald wordt want de meeste bedrijven hebben dat hard nodig.
Kijk naar de organisaties in deze beloftes. Ze hebben allemaal vele security richtingen waaraan ze zonder blikken of blozen voldoen. Geen centje pijn. Dus doen ze al snel aan de 60 of 80 procent van de veiligheid die ze beloven. En nu net de laatste 10 of 20 procent... Wie gaat ze daar aan houden? En ja, elk hun eigen deel natuurlijk...
Dat er een Secure by Design Pledge voor nodig is om ze te doen beseffen dat ze veiligere software moeten maken. Lekker ironisch weer.
Ik denk dat het eerder omgekeerd is. De bedrijven die zich aansluiten kennen de noodzaak al. Zo proberen ze zich positief te onderscheiden van bedrijven die niet mee doen.
Ik vraag mij ook af of bijvoorbeeld Google haar afnemers van Android kan verplichten om sneller een update te verschaffen en ook langer.
Google is er al tijden mee bezig om updates te kunnen uitvoeren zonder dat de kern van Android zelf hoeft te worden aangepast.
Houdt dat dan in dat het niet belangrijk is welk merk telefoon je hebt of moet die schil toch elke keer opnieuw geconfigureerd worden?
Volgens mij gaat een deel via updates van de Play Services, die altijd zomaar plaats kunnen vinden ongeacht de telefoon.

Een ander deel gaat dacht ik via een soort laag van Android waar telefoonmakers niet aan mogen prutsen, waardoor zo'n update nooit in de weg zou kunnen zitten van de aanpassingen die telefoonmakers aan het systeem doen; daarom zouden de makers dat soort updates dan in theorie zonder iets te checken of aan te passen meteen door kunnen sturen naar gebruikers. Maar ik weet niet precies in hoeverre ze dat doen.

En er zullen wellicht nog meer schillen / typen updates zijn. Maar de kern is dat er tegenwoordig veel meer kan zonder een volledige update van Android, waardoor een update minder problemen oplevert en sneller kan.
Bedankt voor het antwoord. Hebben de fabrikanten in ieder geval geen reden meer om niet bij te zijn.
Precies, al ben ik niet heel precies op de hoogte van de huidige praktijken...
De bedrijven die aansluiten stellen niet dat ze tot nu toe wel veilige producten maken of zelfs maar aan security by design doen. Een aangezien beiden ook niet blijken en het met deze belofte ook nog steeds maar blijft gaan om vertrouwen wekken is het vooral makkelijke marketing. Wie niet aan de belofte mee doet kan immers in de praktijk net zo goed en beter aan beiden doen dan deze bedrijven.
Scepsis is goed en misschien heb je gelijk, maar ben je nu niet een beetje te cynisch? Ik ga in ieder geval uit van de goede wil.
Waarom zou je uit gaan van goede wil als de bedrijven zowel voorheen als met deze belofte niets regelen om zich werkelijk te willen verantwoorden? Practisch is er zo namelijk niets anders, terwijl het juist om de praktijk gaat.

Als we dan liever van goede wil dan van verantwoordelijkheid nemen uit gaan dan lijkt me de kritiek daarop cynisch noemen eerder een vorm van misplaatste kritiek en goedgelovigheid. Zeker als je geen enkele moeite doet op de diverse inhoudelijke onderbouwing in te gaan en zelfs niet toont dat het vertrouwen redelijker is dan een neutraal standpunt of de kritiek. En dat is precies het gemakkelijkste wat keer op keer geen aantoonbare verbetering geeft voor de personen en bedrijven die afhankelijk zijn van de praktische uitwerking.

Als je risico's liever blijft baseert op hopen dat fabrikanten goede bedoelingen hebben in plaats van verantwoording nodig te vinden dan betwijfel ik of je de risico's die security by design moeten voorkomen wel serieus neemt. Want in de praktijk hebben bedrijven tot nu toe vooral het beste met zichzelf voor zolang ze maar op een voor hun prettige manier winst maken. Terwijl verantwoording afleggen nodig is om aantoonbaar niet over grenzen te gaan en werkelijk security by design toe te passen. Maar verantwoording afleggen is daarbij duidelijk niet prettig voor hun aanzien of genoeg winstgevend, anders deed men dat al uit zichzelf en bij dit soort beloften. Andere redenen om dat na te laten zijn er niet snel. Wat dit soort boften vooral marketing maakt.
Ze mogen dan misschien de noodzaak kennen, maar acteren ze er ook naar? Daar heb ik serieus mijn twijfels over gezien de stroom berichten hoe vaak dingen fout gaan c.q. niet veilig (genoeg) zijn of hoe snel "support" stopt (nog maar te zwijgen over hoe slecht mensen voor aankoop hierover geïnformeerd worden).
Vulnerability disclosure policy. Within one year of signing the pledge, publish a vulnerability disclosure policy (VDP) that authorizes testing by members of the public on products offered by the manufacturer, commits to not recommending or pursuing legal action against anyone engaging in good faith efforts to follow the VDP, provides a clear channel to report vulnerabilities, and allows for public disclosure of vulnerabilities in line with coordinated vulnerability disclosure best practices and international standards.
Betekent dit het einde van NDA bij het melden van een probleem?
Betekent dit het einde van NDA bij het melden van een probleem?
Daar zou ik niet op rekenen, als ik kijk naar hoe de industrie nu omgaat met vulnerability disclosure verwacht ik in praktijk precies het omgekeerde, een soort "catch & kill", om eens een populaire term te gebruiken :)

Wat ik verwacht is dat al die VDPs gaan zeggen is dat je het probleem alleen bij de fabrikant mag melden en dat die dan heeel lang de tijd krijgt om naar het probleem te kijken, ondertussen mag je niet zelf naar de pers stappen om het lek te melden. Dat zou niet volgens de procedure zijn en dan heb je dus geen bescherming.

Vergelijk voor de gein eens de regels die Google aan anderen oplegt en de regels die ze voor zichzelf hanteren:

https://about.google/intl/ALL_us/appsecurity/
https://bughunters.google...-reward-program-vrp-rules

Als Google een belangrijk probleem meldt moet je het binnen 7 kalenderdagen oplossen en anders maakt Google het wereldkundig.
Als je een probleem bij Google meldt geven ze zichzelf enkele weken de tijd voor je uberhaupt een antwoord mag verwachten. Ondertussen mag je er niet over communiceren.


Voor de duidelijkheid, dat is niks nieuws, het gaat al een tijdje die kant op, deze afspraak verandert daar niks aan. Ik zie eigenlijk niks in deze belofte dat gebruikers/onderzoekers meer bescherming geven dan voorheen. Dat zeg ik niet om negatief te doen over deze beloftes, ik geloof dat de bedoelingen goed zijn.
Ik ben benieuwd om te zien hoeveel de pledge uiteindelijk waard is.
Ik vermoed niet veel gezien de ervaringen overal met zelfregulering door bedrijven. Als het geld gaat kosten (minder winst) zal het zo over zijn met de beloftes.
Google kan alvast beginnen met de advertenties veiliger te maken. Laatste weken (helaas niet overal een adblocker) voor elk filmpje heb je de zogenaamde Chromecast die alle streamingdiensten vervangt met een tellsell stem. Persoon X liep al jaren met het idee blabla...
Meer info
Lekker een wazig Android kastje kopen vol met spyware, keyloggers en andere meuk!
Bij Linus Tech Tips is er al heel vaak boor voor gewaarschuwd.

[Reactie gewijzigd door Cowamundo op 22 juli 2024 17:10]

Klopt alleen blijft het bijzonder vinden dat deze/zulke advertenties volop actief blijven op YouTube. Ze misbruiken zelfs hun eigen Chromecast merk. Als je Chromecast kent je trapt er zo in om er 1 te kopen zo goed uitgewerkt.

Linus Tech Tips is er al heel vaak boor gewaarschuwd. Yup maar loop even straat spreek 10 willekeurige personen aan vraag Linus Tech Tips ken je die? Antwoord zal zijn nooit van gehoord.
True, kennissen van ons hebben ook zo’n kastje staan en toen ik wat zei over al die troep die er vaak op staat kreeg ik een vrij nonchalant “oh, geen idee.. ‘t zal wel.” terug. Zelf weten! :+
Treurig dat zo'n initiatief om de algemene digitale veiligheid te beschermen, pas na decennia digitaliseren, vanuit de markt moet komen ipv de overheid. Hoe moeilijk kan het zijn om bijvoorbeeld grondige inlogfuncties te specificeren en verplicht te stellen, iig voor digitale dienstverleners?

[Reactie gewijzigd door TweakMij op 22 juli 2024 17:10]

Het is nooit goed of het deugt niet: als de diverse overheden een dergelijk initiatief genomen hadden en bedrijven verplicht hadden daar aan deel te nemen zouden er massa’s mensen opgestaan zijn om wat te roepen over vrijheid en zelf keuzes maken.

Daarnaast: de overheid reguleert al best veel. Cybersecurity is echt wel een vak apart binnen de IT, dus om daar even wat algemene regeltjes tegenaan te gooien is makkelijker gezegd dan gedaan. :(
Lees: we zullen onze (uiterste) best doen om onze procedures aandacht te vragen voor (etc).

Beetje als die vele certificaat clubjes hier in Nederland opgezet door een PR vriendje zodat het mooi oogt voor de onwetenden in de buitenwereld. Bij voorkeur met een mooi logo.
Ben benieuw of AWS nog een verandering in de manier van kosten berekenen gaat doen voor S3 buckets. Als de naam van je privé bucket bekend wordt dan kan een kwaadaardige partij ervoor zorgen dat je binnen een paar uur failliet bent door via de S3 client van AWS door data proberen neer te zetten met foutieve credentials.
Dit kan ook als gevolg van een misconfiguratie aan de kant van een de partij die data neer wil zetten. Zie ook het volgende artikel:
https://medium.com/@macie...bill-explode-934a383cb8b1
of de volgende video van ThePrimeagen:
YouTube: Private EMPTY S3 Bucket COST ME $1300

Schijnbaar is het S3 team bezig om dit op te lossen.
Tsja. Dat beloof ik mijzelf ook steeds iedere maandagochtend wanneer ik Vim opstart. Deze week ga ik weer veilige software schrijven.
Het is nogal vreemd (eufemistisch uitgedrukt) om de hele IT industrie over 1 kam te scheren met de defensie industrie. Daarnaast is de eenzijdige rant tegen de VS nogal raar, als je weet dat misschien wel 80% van de huidige besturingssystemen ontworpen en geschreven zijn in de VS, de ontwikkeling van het internet grotendeels tot stand is gekomen dankzij de VS, waar je zelf ook volop gebruik van maakt.

Prima dat je kritisch kijkt naar wie wat meeneemt, maar vergeet af en toe niet de balk uit je eigen ogen te halen voor je wijst op de splinters bij anderen.
Opvallend genoeg komt deze gebruiker al 7 jaar lang op voor Rusland. Zie holoduke51 in ''Rusland speelde een rol bij de e-mailhack van Emmanuel Macron''
En Anti-NAFO volgens de bio.
Haha, nou als je anno nu de VS afblaft terwijl je in Moskou woont, dan geeft dat niet bepaald de indruk dat je op inhoudelijke argumenten discussie voert.
Ik heb het niet over iemand afkomst of woonplaats. Jij wel.

Op dit item kan niet meer gereageerd worden.