Coordinated Vulnerability Disclosure

English? Click here to send CVD-notifications.

Het School-CERT voor het funderend onderwijs hecht veel belang aan de veiligheid van haar apparatuur, programmatuur en diensten. Ondanks de zorg voor de beveiliging hiervan kan het voorkomen dat er toch sprake is van een kwetsbaarheid. Als je zo'n kwetsbaarheid ontdekt, kun je dit veilig aan ons melden. Dit noemen wij Coordinated Vulnerability Disclosure (CVD). Op deze manier kunnen wij beschermende maatregelen treffen bij de kwetsbaarheid die jij hebt ontdekt.

Samenwerken

Als je een zwakke plek in één van onze systemen vindt, dan horen wij dit graag. We kunnen dan zo snel mogelijk maatregelen treffen. Wij werken graag met je samen om onze gebruikers en systemen beter te kunnen beschermen. Dit geldt ook voor de systemen van de Nederlandse scholen in het primair- en voortgezet onderwijs. Of een (ict)leverancier/dienstverlener voor het onderwijs.

Strafrechtelijke vervolging

Het is mogelijk dat je tijdens je onderzoek handelingen uitvoert die volgens het strafrecht strafbaar zijn. Heb je je aan onderstaande voorwaarden gehouden, dan ondernemen wij geen juridische stappen tegen je. Het Openbaar Ministerie heeft echter altijd het recht om zelf te beslissen of het je strafrechtelijk vervolgt.

Ons verzoek aan jou:

• Verzeker je ervan dat jouw melding 'in scope' is. Onderaan deze pagina kan je controleren wat als niet 'in scope' wordt beschouwd.
• Bevindingen te melden via e-mail (cvd@kennisnet.nl). Versleutel je bevindingen met onze PGP-key om te voorkomen dat de informatie in verkeerde handen valt.
• De door jou ontdekte kwetsbaarheid niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of (persoons)gegevens van derden in te kijken, te verwijderen of aan te passen.
• Om de bevinding niet met anderen te delen totdat de kwetsbaarheid is verholpen en alle (vertrouwelijke) gegevens die zijn verkregen door de kwetsbaarheid direct na het verhelpen daarvan te wissen.
• Maak geen gebruik van aanvallen op fysieke beveiliging of applicaties van derden, van social engineering, (distributed) denial-of-service, malware, of spam.
• Geef voldoende informatie om de kwetsbaarheid te reproduceren, zodat wij deze zo snel mogelijk kunnen verhelpen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

Wij zeggen toe dat:

• Wij sturen een ontvangstbevestiging en reageren binnen 5 werkdagen met onze beoordeling van de melding en een verwachte datum voor een oplossing.
• Als je je aan bovenstaande voorwaarden houdt, wij geen aangifte van een strafbaar feit zullen doen of andere juridische stappen tegen jou ondernemen betreffende de melding.
• Wij behandelen je melding vertrouwelijk en zullen je persoonlijke gegevens niet zonder je toestemming met derden delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.
• Melden onder een pseudoniem is mogelijk.
• Wij houden je op de hoogte van de voortgang van het oplossen van de kwetsbaarheid
• In berichtgeving over de gemelde zwakheid zullen wij, als je dit wilt, je naam vermelden als de ontdekker van de kwetsbaarheid.
• Wij streven ernaar alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.

Geschreven door Floor Terra (responsibledisclosure.nl), bewerkt door Kennisnet.

Niet in scope

Meldingen over triviale kwetsbaarheden of security-issues die niet misbruikt kunnen worden nemen wij niet in behandeling.

Hieronder staan voorbeelden van bekende kwetsbaarheden en security-issues die bijvoorbeeld buiten bovenstaande regeling vallen. Dit houdt niet in dat ze niet opgelost zouden moeten worden, bij ons CVD-proces gaat het echter om het melden van zaken waar direct misbruik van gemaakt kan worden.

• HTTP 404 codes/pagina's of andere HTTP non-200 codes/pagina's en content spoofing/text injecting op deze pagina's.
• Fingerprinting/versievermelding op publieke services.
• Publieke bestanden of directories met ongevoelige informatie (bijvoorbeeld robots.txt).
• Clickjacking en problemen die alleen te exploiten zijn via clickjacking.
• Geen secure/HTTP-only flags op ongevoelige cookies.
• OPTIONS HTTP method ingeschakeld.
• Alles gerelateerd tot HTTP security headers, bijvoorbeeld:
  • Strict-Transport-Security
  • X-Frame-Options
  • X-XSS-Protection
  • X-Content-Type-Options
  • Content-Security-Policy
• No secure/HTTP-only flags voor niet vertrouwelijke cookies.
• OPTIONS HTTP method geactiveerd.
• Rate-limiting without clear impact.
• SSL-configuratie issues, bijvoorbeeld:
  • SSL Forward secrecy uitgeschakeld
  • zwakke/onveilige cipher suites
• Issues met SPF, DKIM of DMARC.
• Host header injection.
• Rapporteren van verouderde versies van enige software zonder een proof of concept van een werkende exploit.
• Informatieblootstelling in metadata.