Zero-day dreigingen "steeds normaler"
De tijd tussen publicatie van een kwetsbaarheid en het verschijnen van exploit code wordt steeds korter, aldus Adam Biviano van Trend Micro. Neem als voorbeeld de recente Zotob worm. Het lek werd op 9 augustus bekend gemaakt, de exploit verscheen twee dagen later. Biviano is van mening dat een snelle oplossing door de aanbieder bijdraagt aan de veiligheid van het internet, maar is er ook een nadeel. "De waarschuwingen hebben als nadeel dat ze ook virusschrijvers informeren. Aangezien de security bulletins uitgebreide informatie over lekken bevatten, kan een kundige virusschrijver snel de informatie gebruiken die eigenlijk bedoeld was om gebruikers te beschermen".
Een ander probleem is de trend dat security bedrijven geld uitloven voor ontdekte security lekken. Dit heeft als pluspunt dat aanbieders informatie over kwetsbaarheden krijgen. Een nadeel kan zijn dat als een onderzoeker niet tevreden met de beloning is, hij zijn onderzoek aan de hoogte bieder verkoopt.
de lekken geopenbaard zijn?
first: Security eerst... Zeg dan: veiligheid
voorop, in normaal NL.
Vervolgens het opzetten van veiligheid in 10 minuten...
Welke debiel gelooft daar in? Het evalueren van het
veiligheidsbeleid doe je even in 3 minuten, dan nog 2
minuutje op de hoogte blijven, 3 minuutjes pleisteren en nog
2 minuutjes winkelen en ... taraaaaa... klaar!
Het heeft de schrijver waarschijnlijk 10 minuten gekost om
deze open deuren nog eens in te trappen, de redactie
vervolgens 10 minuten vertaalwerk en mij nog 4 minuten
reactie waar niemand op zit te wachten.... En aan de
veiligheid is nog niets gedaan!
En dat terwijl de miljoenste kritische fout in IE is ontdekt...
verkoopt ie het toch aan de hoogste bieder (lees: rijkste
spammer/andere crimineel, want die hebben de meeste centen),
daar doet een eventuele beloning van een security bedrijf
niets aan af
Slaat de lijn straks door zodat de uitbuitingen er zijn voor
de lekken geopenbaard zijn?
ik weet het niet precies, maar het zou niet raar zijn als
dat nog eens gebeurt / al gebeurt is. gelukkig zijn de
meeste malware schrijvers niet goed genoeg om zulke fouten
te vinden en beginnen ze pas als het probleem bekend is.
maar het zal zeker (gaan) voorkomen dat ze de eerste zijn.
een worm die een onbekende fout in windows ofzo misbruikt en
dus op volledig gepatche systemen binnen kan komen is een
redelijk ramp scenario.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.