Microsoft geeft virusschrijvers teveel informatie
Dinsdag 9 augustus kwam Microsoft met een aantal patches voor lekken in haar Windows besturingssysteem. Een van de patches verhielp een kwetsbaarheid in Plug and Play waardoor een aanvaller willekeurige code zou kunnen uitvoeren. Amper een paar dagen na de patches verschenen de eerste exploits voor het lek en zondag 14 augustus was de eerste worm al een feit. Het aantal computers dat door de uitbraak van de Zotob wormen geinfecteerd werd viel mee, maar het laat wel zien dat virusschrijvers steeds sneller van lekken misbruik maken nadat Microsoft deze bekend maakt.
Microsoft geeft in haar Security Advisories meer informatie weg dan sommige andere software aanbieders, die alleen laten weten dat er een patch voor een bepaald produkt is. Nu is het voor systeembeheerders en andere experts fijn om te weten waar het misgaat, de informatie kan ook door kwaadwillenden misbruikt worden, wat nu ook gebeurt. Het is daarom misschien verstandiger voor de softwaregigant om dit soort details later of helemaal niet bekend te maken, en zo het publiek meer tijd te geven om kwetsbare systemen te patchen. Onze stelling luidt derhalve: Microsoft geeft virusschrijvers teveel informatie
soort details later of helemaal niet bekend te maken, en zo het publiek
meer tijd te geven om kwetsbare systemen te patchen
Net zoals Cisco...?
virrusschrijvers 'gewoon' de patch reverse engineren.
Ze testen te slecht. Als ze dat beter deden waren er minder
patches.
Minder patches leidt vanzelf tot een afname van het genoemde
probleem.
Maar waarom kunnen ze die gedetailleerde info niet
achterwege laten?
Als het na de patch niet werkt, deinstalleer je de patch
toch weer?
Dan zijn de systeembeheerders toch weer terug bij waar ze waren.
http://www.sabre-security.com/products/bindiff.html
http://www.sabre-security.com/products/flash_bindiff_png.html
De discussie komt alweer neer op de vraag of full disclosure
een goed idee is of niet.
experts van analyse programma's die de bytecode analyseren
van een stuk gecompileerd programma. Deze programma's
blijken extreem geschikt te zijn om een patch te analyseren
en duidelijk te krijgen wat de patch nu eigenlijk allemaal
repareert. Op basis van die analyse kun je dan vrij
eenvoudig het lek reconstrueren. (Let wel, als je deze
analyse programma's kunt gebruiken ben je het niveau van
script kiddie wel ontstegen). Je hebt dus de informatie van
de fabrikant niet nodig om zelf wel te kunnen zien wat er
mis is.
Mijn standpunt is dan ook: Hoe meer informatie je geeft aan
je klanten, hoe duidelijker het voor die klant is dat deze
de patch moet toepassen of anderszins een maatregel moet
nemen. Ook hier geldt in de ICT wereld werkt security door
obscurity niet. Hulde dus voor de informatie die Microsoft
geeft en een oproep aan hen om het patch proces te
vereenvoudigen en de ruchtbaarheid voor patches te verhogen.
hebben die ze willen hebben en ze toch het systeem niet
kunnen binnendringen. Vergeet niet, door al die aanvallen op
Windows wordt het besturings-systeem alleen maar sterker.
Microsoft is een stevige weerstand aan het opbouwen tegen al
die mogelijke indringers.
Natuurlijk is het vervelend dat er af en toe nieuwe zwakke
plekken worden uitgebuit. Maar ook een huisarts kan niet
garanderen dat je geen griep zult krijgen nadat je een
griepprik hebt gehaald.
Wat wel zo is, is dat Windows zelf een behoorlijk veigig
systeem begint te worden. Zo veilig dat hackers steeds vaker
gaan zoeken naar andere zwakheden binnen het systeem. Vooral
producten van zogenaamde third-party bronnen worden steeds
vaker het doelwit.
Daarnaast, door het vrijgeven van deze informatie waarschuwt
MS iedereen om hun systeem zo snel mogelijk te patchen want
er is een mogelijk risico. Denk eens na... Als een boom
omvalt in een bos maar er is niemand die dit kan horen,
maakt die boom dan wel of geen geluid? Zo ook met patches.
Als MS helemaal geen informatie geeft over die patches dan
blijft er nog het risico dat een hacker deze ontdekt en
misbruikt. Erger nog, doordat er totaal geen informatie over
wordt gegeven vinden teveel mensen het te onbelangrijk.
MS geeft enkel al de informatie door de patch te releasen.
Elke halve programmeur knikkert de 2 dll's (of wat er dan
ook verandert is) door IDA PRO of een soortgelijk proggie,
en ziet wat er gepatched is en waarom.
Beetje zwak artikel redactie.
immers wel weten waar die patch voor is of dient. Anders is
alles zo lekker geheimzinnig en dat vind ik maar nix.
Is het nog steeds komkommertijd?
De discussie komt alweer neer op de vraag of full disclosure
een goed idee is of niet.
Het al oude korte vs. lange termijn effect. Op korte termijn
is er meer misbruik, op langere termijn dwingt het vendors
beter na te denken over implementaties, zijn gebruikers zich
meer bewust van problemen en kan men leren van fouten van
anderen.
Security.nl kon geen nieuwe stellingen bedenken ;)
source-programmatuur dan zeg: iedereen kan gewoon de hele
code doorspitten naar kwetsbare plekjes en daar dan in het
geniep een stukje malware voor schrijven ... En dat dan wel
weer aan de 'community' teruggeven natuurlijk!
een patch is makelijk voor te achterhalen wat het doet.
En wat men al jaren roept...van fouten moet je leren...laten we hopen dat dit
ook gebeurt..ooit...
source-programmatuur dan zeg: iedereen kan (...) een stukje
malware schrijven ... En dat dan wel weer aan de 'community'
teruggeven natuurlijk!
Okee, ik bijt wel: het is zo dat iedereen open-source
software naar believen kan aanpassen, en bijvoorbeeld een
versie van openssh kan maken met een achterdeurtje erin.
Het is ook zo dat iedereen kan bijdragen - maar uiteindelijk
bepalen de `maintainers' of een bijdrage wel of niet wordt
opgenomen in de officiele versie. Die zullen een bijdrage
dus eerst controleren op achterdeurtjes en andere fouten.
software naar believen kan aanpassen, en bijvoorbeeld een
versie van openssh kan maken met een achterdeurtje erin.
teruggeven natuurlijk!
vorm van een virus. Die zal door de maintainers niet worden
beoordeeld. Tenzij je de antivirusleveranciers bedoeld
natuurlijk.
Beetje zwak artikel redactie.
dus eens of oneens mij zijn.
software naar believen kan aanpassen, en bijvoorbeeld een
versie van openssh kan maken met een achterdeurtje erin.
teruggeven natuurlijk!
vorm van een virus. Die zal door de maintainers niet worden
beoordeeld. Tenzij je de antivirusleveranciers bedoeld
natuurlijk.
Vreemd dat het zo weinig gebeurt als het al zo makkelijk is,
echter is de kans erg klein te noemen.
De nieuwere .nix distro's worden in steeds grotere mate
beschermd tegen dit 'kwaad' doordat alles dubbel gecheckt
word etc.
FC4 is hier een goed voorbeeld van.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.