Werken bij Defensie

Responsible disclosure

See English version

Responsible disclosure

Defensie wil zich inspannen voor optimale veiligheid en hecht grote waarde aan de security van haar eigen ICT-systemen. Toch valt nooit uit te sluiten dat er zwakke plekken voorkomen.

Als u een zwakke plek heeft gevonden in werkenbijdefensie.nl, horen we dat graag van u. We zullen dan zo snel mogelijk maatregelen nemen en hanteren hiervoor het volgende beleid.

Wij vragen u:

  • Uw bevindingen te mailen naar sysop@werkenbijdefensie.nl. Versleutel de bevindingen indien mogelijk met de PGP-sleutel van sysop@werkenbijdefensie.nl om te voorkomen dat de informatie in verkeerde handen valt.
  • Voldoende informatie te geven om het probleem te reproduceren, zodat Defensie het zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  • Contactgegevens achter te laten zodat Defensie contact met u kan opnemen; dit kan een e-mailadres of telefoonnummer zijn.
  • De informatie over het beveiligingsprobleem niet met anderen te delen totdat het is opgelost.
  • Verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk is om het beveiligingsprobleem aan te tonen.

Rapporteer wel:

  • Persistent Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF/XSRF)
  • Niet werkende authenticatie
  • Het kunnen omzeilen van ingestelde privacy / rechten 
  • Remote Code Execution

Rapporteer geen:

  • Username dictionairy attack
  • Self-XSS
  • Missende / niet streng geconfigureerde DNS SPF / DMARC records
  • Social hacking
  • Publiek toegankelijke login pagina's voor admin/cms omgevingen
  • Veiligheidsproblemen in third-party apps (zoals Kerio) die niet opgelost zijn in de laatste versie
  • Denial of Service Vulnerabilities
  • Missende HSTS header
  • Missende DNSSEC
  • Missende/Breed geconfigureerde CSP header (csp staat zo strict als momenteel mogelijk)
  • Aanvallen waarbij een DNS takeover nodig is

Vermijd dus in elk geval de volgende handelingen:

  1. het plaatsen van malware.
  2. het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor    is het maken van een directory listing van een systeem).
  3. het aanbrengen van veranderingen in het systeem.
  4. het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
  5. het gebruikmaken van het zogeheten “bruteforcen” van toegang tot systemen.
  6. het gebruikmaken van denial-of-service of social engineering.

Wat u mag verwachten:

  • Indien u bij de melding van een door u geconstateerde kwetsbaarheid in werkenbijdefensie.nl  aan bovenstaande voorwaarden voldoet, zal Defensie geen juridische consequenties verbinden aan deze melding.
  • We behandelen de melding vertrouwelijk en delen persoonlijke gegevens niet zonder toestemming van de melder met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
  • In onderling overleg kan Defensie, indien u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.
  • De beheerder van werkenbijdefensie.nl stuurt u binnen 1 werkdag een ontvangstbevestiging.
  • De beheerder van werkenbijdefensie.nl reageert binnen 3 werkdagen op een melding met de beoordeling van de melding en een verwachte datum voor een oplossing.
  • De beheerder van werkenbijdefensie.nl houdt de melder op de hoogte van de voortgang van het oplossen van het probleem.
  • De beheerder van werkenbijdefensie.nl lost het door u geconstateerde beveiligingsprobleem in een systeem zo snel mogelijk, maar uiterlijk binnen 60 dagen, op.
  • Defensie biedt een beloning als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem, de kwaliteit van de melding en of het probleem al eerder gemeld is, kan de hoogte van de beloning variëren.

De public key voor het verzenden van versleutelde e-mails naar sysop@werkenbijdefensie.nl:

-----BEGIN PGP PUBLIC KEY BLOCK-----

mQENBFRPVqkBCADnUB9gQEsiisRy4itflJRjsEwDQ22qR4kQDB49NYA5CMfQ9KSQ
UctKAJz3WsfyrLaYE71DPyPH7k7k1LvSpG/Kbt2BxOq5efTWLq/4CkCZ64S7+58Q
CUY7iRsvCTIeCRZgIV9hmy485N71MApzE+HUBsXJA8+R5OYMlqNpnXrtfF1MhWLM
xdexLHb4ItjXKhOpYbtc4XqKq7TSk+o2CDUXN24t048tnLz797Q5K6WVcvwd91FM
+4ZU1QX3eoZN3GBiKX13maKsUCXFQCQVxWLYnTsTFLLo6xMRf8E6CvW8I656zBqG
+L4lNTYVm0U/dgtuTAif90WX98ks315yDeDrABEBAAG0N1N5c29wIHdlcmtlbmJp
amRlZmVuc2llLm5sIDxzeXNvcEB3ZXJrZW5iaWpkZWZlbnNpZS5ubD6JAVQEEwEK
AD4CGwMFCwkIBwMFFQoJCAsFFgIDAQACHgECF4AWIQRXVQzoHjHk8OI1oCmAMezv
VNjGtwUCXiHW7QUJEziBxAAKCRCAMezvVNjGt+W7B/49WqyhwDwWiugCW4C+1CGL
sXwZCwyQn5/Yg/cB2HlhHWTLPoMLxxOPNoK2T8zOfDy7NovfxShoEmfHmqjgwkUT
2aMfHmfhWoz86hNzDx+h5ZnL6j7AIAmq1UnIhTRSHqEU/WwmVyyuju9adxB/8KkH
pzulUfzFbUjv1Kgw6boLFfAvELc2QTxB1VzMRYem6HKh24jk5JTxdaMEDdGL4CHn
zof6pVLeGYz4ew0qju04w9Nqw5Wq51oZOWb6a6LNl9KgAZtCHgBpxtLh1SLda5mY
LerkuRUaIGcTyBK2/hozVWYduZjx4nXbtNy/0B42LCqp4dz6PcTIUfxW1Jh5hjvv
uQENBFRPVqkBCADApmOB+kTfbCxrMHyKQKo2lgZ+d6CFHlrRjHzL+AWgYNd8JIt7
wYnyEr8ZwcIC7hoaEDPulHiQntxPa2yKcRLKe+QfvfqNWsBE9F6LXeezv8hilcGw
5mQy85TeFkthq9vS/NTooEvC/vEBNR2FLHL/RkWOaT+sNrUDtEjm5P9Pmh9vySfn
iNvfjAlyPkR1OBaeMGkIOjscoBdUPGhvuiA89Zdc8pZ6sW6kG+owTR1MDFbAiER1
/Q1sYUZ8V/MZMFVAZasgEnmprunH+3Uix6Fef2Cyvw6GO1nsFnvVXZ99KMZ6o95t
nO40GzsgUh9ccGDE7JXzvKX3od06UKmq19iFABEBAAGJATwEGAEKACYCGwwWIQRX
VQzoHjHk8OI1oCmAMezvVNjGtwUCXiHW8QUJEziByAAKCRCAMezvVNjGtwI5CACI
gH0YjUa8b4AZCMH+lEvc0r5qdCNeKfcZUr/sr+piUyhnugXptZ7WftxQu/bh8/Ku
cmYYJsODiKR7IFmuCsiVhqlLgdtS1uwIxrm9++AndyzuSj+Jm6xIQibvlibZUaFG
B9bIdUBaeG7sXOpCiLumUqHlZwYOF/opz6v8+0go7+lLgHRrv5hvAvFPyjL2tVCv
eh1BjwBTjEW4WYbO0TMatLzlA9AZ3/LFnsPfOOrx+cDx5KoU7ce1En4tTYXdFOk1
tMzC/56icExOhDNvi8yTK/Wk6PzcnMjRo3+fyA+XUDY/cZgxkwwVZpNLzzykozAY
l5NhyrccTQ7IwRtPKZmZ
=eBve
-----END PGP PUBLIC KEY BLOCK-----