<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div dir="ltr">NCSC heeft een statement hierover gepubliceerd: <a href="https://www.ncsc.nl/actueel/nieuws/2021/oktober/29/aanstaande-bekendmaking-cvd-procedure-rpki">https://www.ncsc.nl/actueel/nieuws/2021/oktober/29/aanstaande-bekendmaking-cvd-procedure-rpki</a></div><div dir="ltr"><br></div><div dir="ltr">Groetjes,</div><div dir="ltr">Teun</div><div dir="ltr"><br><blockquote type="cite">On 29 Oct 2021, at 09:42, Alex Bik via NLNOG <nlnog@nlnog.net> wrote:<br><br></blockquote></div><blockquote type="cite"><div dir="ltr"><span>Hey Job,</span><br><span></span><br><span>Wat mij betreft vervult het NCSC al een hele tijd (zo niet vanaf het begin) een op zijn minst discutabele maar waarschijnlijk schadelijke rol als het om “cyber security” gaat. Te bezopen voor woorden, maar jouw verhaal verbaast me dus totaal niet. In mijn tijd bij NBIP (ik ben daar recent gestopt) liepen we daar ook tegenaan. </span><br><span></span><br><span>Mijn zegen en steun heb je om ze publiekelijk aan de schandpaal te nagelen. Afgezien van het feit dat ze dat gewoon verdienen gebeurt er dan misschien (eindelijk) eens wat.</span><br><span></span><br><span>-- </span><br><span>Groeten,</span><br><span>Alex Bik</span><br><span></span><br><span></span><br><blockquote type="cite"><span>Op 28 okt. 2021 om 22:52 heeft Job Snijders <job@instituut.net> het volgende geschreven:</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Beste allemaal,</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Aanstaande maandag word blijkbaar "RPKI-patchdag"! Er zitten problemen</span><br></blockquote><blockquote type="cite"><span>in meerdere RPKI-validators. En zoals jullie misschien weten, beheer ik</span><br></blockquote><blockquote type="cite"><span>zelf een aantal veel gebruikte RPKI software packages.</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Maar anders dan "we vermoeden dat er een probleem in jouw RPKI-software</span><br></blockquote><blockquote type="cite"><span>zit" heeft NCSC-NL geen informatie aan mij verstrekt waar ik op kan</span><br></blockquote><blockquote type="cite"><span>handelen.</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Ik wil een aantal kanttekeningen plaatsen bij het beleid van NCSC-NL.</span><br></blockquote><blockquote type="cite"><span>Het komt op mij over alsof NCSC-NL een discriminerend beleid voert</span><br></blockquote><blockquote type="cite"><span>aangaande welke mensen wanneer worden betrokken in zogenaamde</span><br></blockquote><blockquote type="cite"><span>"coordinated vulnerability disclosure" (CVD) processen.</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Een van de ideeën achter "CVD" is dat het voor de verschillende</span><br></blockquote><blockquote type="cite"><span>betrokken software- ontwikkelaars een 'level playing field' creëert:</span><br></blockquote><blockquote type="cite"><span>niemand krijgt extra voordeel.</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Maar... die vlieger gaat natuurlijk niet op wanneer men mij</span><br></blockquote><blockquote type="cite"><span>eergisterenavond informeert dat er aanstaande maandag mogelijk 0-days</span><br></blockquote><blockquote type="cite"><span>aankomen, terwijl andere softwareontwikkelaars al MEERDERE WEKEN geleden</span><br></blockquote><blockquote type="cite"><span>op de hoogte gebracht waren!</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Het NCSC wilde enkel concrete informatie verstrekken als ik akkoord zou</span><br></blockquote><blockquote type="cite"><span>gaan met een full disclosure-publicatie aanstaande maandag. Maar de boel</span><br></blockquote><blockquote type="cite"><span>loopt vast als het NCSC niet vertelt wat het probleem is, waardoor ik</span><br></blockquote><blockquote type="cite"><span>niet kan beoordelen hoeveel tijd nodig is, en dus geen idee heb of we</span><br></blockquote><blockquote type="cite"><span>voor maandag überhaupt een oplossing hebben voor onze gebruikers.</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Ik ga niet akkoord met zulke knetterstrakke deadlines. Ik kan geen</span><br></blockquote><blockquote type="cite"><span>blinde cheque schrijven. Want stel: wat als het gerapporteerde probleem</span><br></blockquote><blockquote type="cite"><span>een maand kost om op te lossen?</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Of wat als: het probleem blijkt een topje van een ijsberg te zijn, en de</span><br></blockquote><blockquote type="cite"><span>scope bij meerdere validators groter is? (Ik plaats vraagtekens bij</span><br></blockquote><blockquote type="cite"><span>NCSC-NL's vermogen om BGP/RPKI problemen te beoordelen!)</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Waarom ging NCSC-NL geen gesprek aan met mij? Naar eigen zeggen vinden</span><br></blockquote><blockquote type="cite"><span>ze problematisch dat het OpenBSD project in de zogenoemde 'full</span><br></blockquote><blockquote type="cite"><span>disclosure' methode gelooft (zie: https://www.openbsd.org/security.html).</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Echter, het feit dat OpenBSD duidelijk omschrijft wat het project</span><br></blockquote><blockquote type="cite"><span>belangrijk vindt, zegt natuurlijk niet dat we idioten zijn die geen</span><br></blockquote><blockquote type="cite"><span>geheim kunnen bewaren.</span><br></blockquote><blockquote type="cite"><span>(hallo, wij beheren iedereen's openssh, en ook libcrypto op je Mac, en</span><br></blockquote><blockquote type="cite"><span>natuurlijk schitterende IKE/IPsec/RPKI/SMTP/BGP implementaties...)</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Ik kan prima over NDAs onderhandelen en afspraken maken met mensen die</span><br></blockquote><blockquote type="cite"><span>een ons probleem aanmelden. Maar dan moet men wel een gesprek aanknopen.</span><br></blockquote><blockquote type="cite"><span>Het is mogelijk voor 'andersgelovigen' om productief met elkaar samen te</span><br></blockquote><blockquote type="cite"><span>werken.</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Voor zover ik kan beoordelen heeft NCSC-NL enkel overlegd met een</span><br></blockquote><blockquote type="cite"><span>handjevol programmeurs. Verder lijkt het er op dat er geen enkele</span><br></blockquote><blockquote type="cite"><span>default-free network operator op de hoogte is gesteld.</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>In mijn optiek is bij RPKI/BGP securityproblemen een heel belangrijk</span><br></blockquote><blockquote type="cite"><span>aspect de deployment te coordineren tussen globale ISP / IXPs.</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Er is niet nagedacht over hoe ISPs nieuwe software versies moeten</span><br></blockquote><blockquote type="cite"><span>kwalificeren alvorens ze uitgerold kunnen worden, en hoeveel tijd dit</span><br></blockquote><blockquote type="cite"><span>kost. Dit is kostbare tijd waarin allerlei ISPs vanaf maandag dus</span><br></blockquote><blockquote type="cite"><span>mogelijk kwetsbaar zijn.</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Ook bestaan er verschillende operationele 'trust circles' specifiek voor</span><br></blockquote><blockquote type="cite"><span>het onderwerp Internet routing. NCSC-NL heeft hier blijkbaar geen weet</span><br></blockquote><blockquote type="cite"><span>van, en dus geen gebruik van kunnen te maken. Gemiste kans!</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>In deze casus lijkt het NCSC-NL onzorgvuldig gehandeld te hebben met</span><br></blockquote><blockquote type="cite"><span>mogelijk sensitieve informatie over kritieke Internet infrastructuur.</span><br></blockquote><blockquote type="cite"><span>Wat mij betreft niet voor herhaling vatbaar.</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Met vriendelijke groeten,</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Job</span><br></blockquote><blockquote type="cite"><span>_______________________________________________</span><br></blockquote><blockquote type="cite"><span>NLNOG mailing list</span><br></blockquote><blockquote type="cite"><span>NLNOG@nlnog.net</span><br></blockquote><blockquote type="cite"><span>http://mailman.nlnog.net/listinfo/nlnog</span><br></blockquote><span>_______________________________________________</span><br><span>NLNOG mailing list</span><br><span>NLNOG@nlnog.net</span><br><span>http://mailman.nlnog.net/listinfo/nlnog</span><br></div></blockquote></body></html>