De Europese Commissie maakt extra geld vrij voor onderzoek naar kwetsbaarheden in vijf veelgebruikte opensource-toepassingen, zoals LibreOffice en Mastodon. Software-experts ontvangen maximaal zesduizend euro als ze er één vinden en weten te verhelpen.
Er is tweehonderdduizend euro beschikbaar voor de nieuwe bug bounty hunt. Dat gebeurt via Intigriti, een gemeenschap van goedwillende hackers die op verzoek van organisaties speuren naar kwetsbaarheden in hun applicaties.
Wijdverbreid
De Europese Commissie wil dat experts de beveiliging van opensourceprogramma’s LibreOffice, Mastodon, Leos, Odoo en Cryptpad onder de loep nemen. Dat juist deze vijf zijn geselecteerd, heeft volgens de commissie te maken met hun wijdverbreide gebruik binnen Europese organisaties.
Bugs die men in ‘Brussel’ graag oplost, zijn bijvoorbeeld datalekken, de mogelijkheid om met verkeerde gebruikersrechten bepaalde functies of inhoud aan te roepen (privilege escalation) en de mogelijkheid om via een formulier schadelijke sql-codes in te voeren. Je kunt tot vijfduizend euro verdienen als je een kwetsbaarheid achterhaalt. De beloning wordt twintig procent hoger als je de kwetsbaarheid verhelpt.
Belangrijk
Het gebruik van opensource-toepassingen is belangrijk voor de commissie. In 2020 werd binnen de Europese Commissie het Opensource-programmakantoor (EC OSPO) opgezet, een uitvloeisel van haar Opensourcesoftware-strategie 2020-2023.
Doelstelling is het gebruik van opensource-toepassingen als standaardoplossing in de Europese Commissie te stimuleren. Zaken als werkcultuur, kennis, samenwerking met opensource-gemeenschap, it-governance en beveiliging van opensource software, maken hiervan deel uit.
Toepassingen
Dit zijn de vijf opensource-toepassingen waarvoor de Europese Commissie in totaal tweehonderdduizend euro beschikbaar stelt via een bug bounty hunt.
- LibreOffice is een pakket van kantoortoepassingen
- Mastodon is een sociaal netwerk voor het volgen en ontdekken van mensen
- Odoo is een systeem voor enterprise resource planning (erp), ecommerce en klantrelatiebeheer (crm)
- Cryptpad is een platform waarop mensen kunnen samenwerken aan documenten en spreadsheets
- Leos is een softwareprogramma voor het efficiënt samenstellen van nieuwe wetgeving
Wat doet een zero-day op de markt? Natuurlijk is zesduizend Euro meer dan een vriendelijk bedankje maar mogelijkheid om bij een groot aantal organisaties binnen te komen via een niet bekend gemaakte bug is niet alleen voor de hackers interessant. Opvallend trouwens dat Brussel weer vergeet dat open source in heel veel toepassingen verwerkt is zoals we zien met Log4J of anders wel eerdere openSSL want ook die kwetsbaarheden in de keten tellen.
En nee, ik ben niet negatief t.o.v. open source community maar elk nadeel heb zijn voordeel als je op de schouders van reuzen gaat staan door verweesde code te gebruiken. Want de geroemde peer-review van de code omdat deze open is wordt blijkbaar niet zo vaak gedaan als gezegd.