Hoe een enkele Responsible Disclosure een grote impact kan hebben...en veel gebruikers veiliger maakt.

Aangepast:

Sommige zaken kunnen een grote impact hebben en met de juiste inzet uiteindelijk een grote vooruitgang verwezenlijken. Dit is een recent verhaal welke we publiceren omdat we ook graag de leuke berichten met jullie willen delen.

Dagelijks ontvangen we bij het CERT-WM "Resonsible Disclosure" meldingen, of zoals we deze ook weleens noemen, CVD (Coordinated Vulnerability Disclosure) meldingen. Dit zijn meldingen m.b.t. potentiƫle veiligheidsissues op de endpoints van onze constituents (aangesloten organisaties). Het CERT-WM analyseert deze meldingen, informeert de constituents en coƶrdineert het proces zodat deze vulnerabilities opgelost worden. We hebben hierin een belangrijke rol als kennispartner en bemiddelaar.

Soms ontvangen we een Responsible Disclosure welke "constituent overstijgend" is. Dus waarvan we weten dat dit meerdere constituents raakt. In dit geval waarschijnlijk niet alleen onze eigen achterban maar veel meer gebruikers in-den-lande. Over de details kunnen we hier helaas vanwege de informatie-gevoeligheid niet verder uitweiden maar de RD melding omvatte een vulnerability binnen de implementatie van een zeer belangrijke koppeling welke iedere Nederlander weleens gebruikt. Deze vulnerability toonde aan dat de koppeling uitermate geschikt was om te misbruiken voor phishing doeleinden. Als CERT-WM besloten we om nu niet iedere constituent individueel aan te schrijven maar om dit probleem aan te kaarten bij de bron en dus de leverancier.

Na de aanmelding werd in eerste instantie de ernst van dit probleem niet ingezien en hoorde dit "by design" zo te zijn. Wij dachten hier echter anders over ;-) Na een uitgebreide review en goed overleg bleek dat onze visie toch de juiste was en werd de RD melding behandeld als een vulnerability waarbij binnen 24 uur een patch doorgevoerd was op de backend waardoor alle klanten meteen veilig zijn. Hierbij hulde aan de leverancier, de open en snelle communicatie en de welwillendheid om de responsible disclosure goed en snel op te pakken!

Dit alles laat het belang zien van de Responsible Disclosure melder, het CERT-WM welke grondig en gedegen kan analyseren en de juiste contacten legt en uiteindelijk een betrokken leverancier welke een probleem snel en kundig kan oplossen.

Dit zijn de momenten waarop we als CERT medewerker de dag met trots afsluiten met medeweten dat we niet alleen onze eigen achterban maar een stukje van Nederland weer een klein beetje veiliger gemaakt hebben!!

Jarno Baselier