On 29 Oct 2021, at 09:42, Alex Bik via NLNOG <nlnog@nlnog.net> wrote:
Hey Job,
Wat mij betreft vervult het NCSC al een hele tijd (zo niet vanaf het begin) een op zijn minst discutabele maar waarschijnlijk schadelijke rol als het om “cyber security” gaat. Te bezopen voor woorden, maar jouw verhaal verbaast me dus totaal niet. In mijn tijd bij NBIP (ik ben daar recent gestopt) liepen we daar ook tegenaan.
Mijn zegen en steun heb je om ze publiekelijk aan de schandpaal te nagelen. Afgezien van het feit dat ze dat gewoon verdienen gebeurt er dan misschien (eindelijk) eens wat.
--
Groeten,
Alex BikOp 28 okt. 2021 om 22:52 heeft Job Snijders <job@instituut.net> het volgende geschreven:Beste allemaal,Aanstaande maandag word blijkbaar "RPKI-patchdag"! Er zitten problemenin meerdere RPKI-validators. En zoals jullie misschien weten, beheer ikzelf een aantal veel gebruikte RPKI software packages.Maar anders dan "we vermoeden dat er een probleem in jouw RPKI-softwarezit" heeft NCSC-NL geen informatie aan mij verstrekt waar ik op kanhandelen.Ik wil een aantal kanttekeningen plaatsen bij het beleid van NCSC-NL.Het komt op mij over alsof NCSC-NL een discriminerend beleid voertaangaande welke mensen wanneer worden betrokken in zogenaamde"coordinated vulnerability disclosure" (CVD) processen.Een van de ideeën achter "CVD" is dat het voor de verschillendebetrokken software- ontwikkelaars een 'level playing field' creëert:niemand krijgt extra voordeel.Maar... die vlieger gaat natuurlijk niet op wanneer men mijeergisterenavond informeert dat er aanstaande maandag mogelijk 0-daysaankomen, terwijl andere softwareontwikkelaars al MEERDERE WEKEN geledenop de hoogte gebracht waren!Het NCSC wilde enkel concrete informatie verstrekken als ik akkoord zougaan met een full disclosure-publicatie aanstaande maandag. Maar de boelloopt vast als het NCSC niet vertelt wat het probleem is, waardoor ikniet kan beoordelen hoeveel tijd nodig is, en dus geen idee heb of wevoor maandag überhaupt een oplossing hebben voor onze gebruikers.Ik ga niet akkoord met zulke knetterstrakke deadlines. Ik kan geenblinde cheque schrijven. Want stel: wat als het gerapporteerde probleemeen maand kost om op te lossen?Of wat als: het probleem blijkt een topje van een ijsberg te zijn, en descope bij meerdere validators groter is? (Ik plaats vraagtekens bijNCSC-NL's vermogen om BGP/RPKI problemen te beoordelen!)Waarom ging NCSC-NL geen gesprek aan met mij? Naar eigen zeggen vindenze problematisch dat het OpenBSD project in de zogenoemde 'fulldisclosure' methode gelooft (zie: https://www.openbsd.org/security.html).Echter, het feit dat OpenBSD duidelijk omschrijft wat het projectbelangrijk vindt, zegt natuurlijk niet dat we idioten zijn die geengeheim kunnen bewaren.(hallo, wij beheren iedereen's openssh, en ook libcrypto op je Mac, ennatuurlijk schitterende IKE/IPsec/RPKI/SMTP/BGP implementaties...)Ik kan prima over NDAs onderhandelen en afspraken maken met mensen dieeen ons probleem aanmelden. Maar dan moet men wel een gesprek aanknopen.Het is mogelijk voor 'andersgelovigen' om productief met elkaar samen tewerken.Voor zover ik kan beoordelen heeft NCSC-NL enkel overlegd met eenhandjevol programmeurs. Verder lijkt het er op dat er geen enkeledefault-free network operator op de hoogte is gesteld.In mijn optiek is bij RPKI/BGP securityproblemen een heel belangrijkaspect de deployment te coordineren tussen globale ISP / IXPs.Er is niet nagedacht over hoe ISPs nieuwe software versies moetenkwalificeren alvorens ze uitgerold kunnen worden, en hoeveel tijd ditkost. Dit is kostbare tijd waarin allerlei ISPs vanaf maandag dusmogelijk kwetsbaar zijn.Ook bestaan er verschillende operationele 'trust circles' specifiek voorhet onderwerp Internet routing. NCSC-NL heeft hier blijkbaar geen weetvan, en dus geen gebruik van kunnen te maken. Gemiste kans!In deze casus lijkt het NCSC-NL onzorgvuldig gehandeld te hebben metmogelijk sensitieve informatie over kritieke Internet infrastructuur.Wat mij betreft niet voor herhaling vatbaar.Met vriendelijke groeten,Job_______________________________________________NLNOG mailing listNLNOG@nlnog.nethttp://mailman.nlnog.net/listinfo/nlnog_______________________________________________
NLNOG mailing list
NLNOG@nlnog.net
http://mailman.nlnog.net/listinfo/nlnog