Archives for posts with tag: responsible disclosure

The Heartbleed bug in a software library (called OpenSSL) used to secure many websites allows an attacker to trick these websites to send an arbitrary memory block of 64 kilobytes back to him. In this blog post I will argue that the way this bug was disclosed has greatly increased the damage it causes.

Read the rest of this entry »

Na het oprollen van een botnet kreeg digitaal forensisch onderzoeksbureau Digital Investigation 750 GB aan data in handen, met informatie over ge├»nfecteerde computers, creditcard gegevens, vertrouwelijke email, adressen, telefoonnummers, en gebruikersnamen en wachtwoorden. Het team High Tech Crime werd ingelicht, maar die deed niets met de gegevens. Vervolgens mocht de NOS in de gegevens grasduinen. Dit is niet goed geregeld in Nederland: een pleidooi voor een loket ‘gevonden data’.

Read the rest of this entry »

Minister Opstelten van Veiligheid en Justitie heeft gisteren een leidraad voor responsible disclosure gepubliceerd. Hoewel de leidraad een goede eerste stap is, behoeft zij wel enige aanscherping. Hierbij kan geleerd worden van ervaringen in het verhogen van de veiligheid van de luchtvaart (en bestaande verdragen en wetgeving daaromtrent).

Read the rest of this entry »