Article URL: https://ventspace.wordpress.com/2017/10/20/games-look-bad-part-1-hdr-and-tone-mapping/

Comments URL: https://news.ycombinator.com/item?id=44680547

Points: 160

# Comments: 156

Tube Time cuts components down to make cross sections that are equally informative and beautiful.

The post Grindcore by Tube Time appeared first on Make: DIY Projects and Ideas for Makers.

Article URL: https://medium.com/@mikehall314/im-more-proud-of-these-128-kilobytes-than-anything-i-ve-built-since-53706cfbdc18

Comments URL: https://news.ycombinator.com/item?id=44536248

Points: 154

# Comments: 43

Dit bericht gaat over de reden waarom ik waarschijnlijk nooit meer een organisatie in België zal waarschuwen voor een kwetsbaarheid. Zo opent een recente blog van securityonderzoeker Floor Terra. Kort en goed: hij wilde een Belgische overheidsinstantie op een securitylek wijzen en kreeg te horen dat dat via het CCB moest en hij voor eeuwig erover moest zwijgen op straffe van celstraf.

In 2023 berichtte ik dat men in België dankzij een nieuwe wet Belgische bedrijven mocht “hacken zonder toestemming”:

Sinds vorig jaar november geldt in België een kaderwet voor de beveiliging van netwerk- en informatiesystemen, waarbij het Centrum voor Cybersecurity België (CCB) de coördinerende instantie is. Eén van hun taken (art. 62 van die wet) is het nemen van maatregelen om te reageren op incidenten, problemen op te sporen et cetera. Die bevoegdheid is ingezet om een beleidsmaatregel te nemen (zouden wij zeggen) over de bekendmaking van kwetsbaarheden aan het CCB.

Het melden van zulke kwetsbaarheden staat binnen de securitywereld bekend als een coordinated vulnerability disclosure of CVD. Dat lijkt heel formeel maar kan zo simpel zijn als een mailtje met een tip “je kunt inloggen met het wachtwoord hunter2” naar de helpdesk. Het gaat om het woord ‘coordinated’, dat aangeeft dat je samenwerkt bij de timing van de ‘disclosure’, de publicatie die je in beginsel gerechtigd bent te doen. Bijvoorbeeld: jij hebt 30 dagen nodig om het te fixen, ik publiceer op dag 31.

In die beleidsmaatregel staat bij punt 5 echter dat je als melder “[g]een informatie openbaar maken zonder toestemming van het CCB.” Dat is niet echt een coordinated disclosure. Ik zei toen al:

Natuurlijk kun je als CCB zeggen, niets aan de hand want zodra de situatie veilig is dan geven wij uiteraard toestemming. Maar een afhankelijkheid van een welwillende instantie is niet hetzelfde als een wettelijk recht om iets te mogen doen. Dus dat is wel een vervelende beperking.

Precies dit gebeurde dus bij deze melding. De onderzoeker zag een kwetsbaarheid, meldde deze zoals het CVB-beleid voorschreef en kreeg te horen te moeten zwijgen tot nader order. Op navraag kreeg hij toestemming om in zeer algemene termen te mogen publiceren over het concept, zonder man en paard te noemen. Dat werd gevolgd door deze reactie:

REDACTED heeft in deze meer gedaan dan nodig. We hadden ook de wet, die deze levenslange geheimhouding oplegt, op de letter kunnen volgen en u geen toegeving kunnen doen. Wij houden ons ook aan deze ene toegeving en indien nodig trekken we ze in.

De weggelaten persoon stelt zich dus op het standpunt dat het CCB beleid ‘wet’ is, en dat het enkel negeren van de beleidsregel leidt tot strafbaarheid.

Even een stapje terug. CVD-beleid is er gekomen vanwege het spanningsveld tussen ontdekken van problemen en computervredebreuk. Soms zie je iets geks en ga je even peuteren wat er dan gebeurt. In een kantoorgebouw noem je dat “kijken of die kluis echt op slot zit” en in een ict-omgeving noem je dat “opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk of in een deel daarvan” oftewel computercriminaliteit.

Het is op zich alleen maar wenselijk dat mensen je melden dat je digitale kluis open staat. En dat men erover publiceert, is niet alleen een grondrecht (uitingsvrijheid) maar ook nuttig voor andere organisaties met dat type kluis. CVD-beleid zoekt daarin een balans, met name door tijd in te bouwen waarin het lek gerepareerd kan worden.

Ik vind het búitengewoon ergerlijk dat deze beste praktijk van “ik wacht wel even tot jij het gefixt hebt want het lijkt me vervelend voor je klanten/gebruikers als dit misbruikt wordt” in de juridisch-organisatorische context is geëvolueerd naar “een melder moet zijn mond houden en wij bepalen wel of en hoe we het fixen”. Sterker nog, het beginsel CVD is een reactie op precies deze opstelling dat je niets mag zeggen tot het bedrijf zegt van wel.

Maar goed, stel je negeert die beleidsregel, wat dan? Dan kom je terug bij: je hebt iets in een ict-systeem gedaan dat niet de bedoeling was. Dat is inderdaad vaak computervredebreuk te noemen, al is dat natuurlijk geen gegeven. Maar je neemt door niet het beleid te volgen wel het risico dat het OM besluit je te vervolgen, en dan moet je maar hopen dat het bij de strafrechter afgewezen wordt omdat bijvoorbeeld je opzet ontbrak of omdat het algemeen belang jouw handelen rechtvaardigt.

Arnoud

Het bericht Hoe onveilig is België als je een securitylek (CVD) wilt melden? verscheen eerst op Ius Mentis.

Article URL: https://www.makingsoftware.com/chapters/how-a-screen-works

Comments URL: https://news.ycombinator.com/item?id=44550572

Points: 307

# Comments: 63

Article URL: https://www.nytimes.com/2025/07/10/world/europe/uk-post-office-scandal-report.html

Comments URL: https://news.ycombinator.com/item?id=44531120

Points: 160

# Comments: 110