Nieuws
image

The Zero Day

dinsdag 14 februari 2006, 16:36 door patrickr, 17 reacties

Iets korter vandaag; Op full-disclosure wordt weer eens gesproken over zogenaamde zero-day exploits. Iedereen kent de geruchten rond de zogenaamde zero-day exploits natuurlijk wel. Enge hackers met zwarte hoeden zouden gebruik maken van bij ons onbekende vulnerabilities en exploits om systemen aan te vallen. Of dit echt waar is, daar zijn de meningen over verdeeld. In mijn ogen lijkt het me niet meer dan logisch dat mensen die slimmer zijn dan ik, of domweg meer tijd hebben, nieuwe vulnerablities kunnen vinden en exploits kunnen ontwikkelen waar ik geen weet van heb. Aannemende dat er inderdaad enge zero-days in bepaalde kringen circuleren, hoe kunnen we ons, en onze data, hier dan tegen beveiligen? Of is het allemaal maar FUD?

Reacties (17)
14-02-2006, 17:13 door Skizmo
.. en toen ?
14-02-2006, 17:32 door Constant
IT beveiliging moet mijn inziens uit meerdere lagen bestaan, als er een
zero days exploit is ontdekt in één laag, en de eerste laag faalt, dan werkt
de tweede laag als compensating control. En daarnaast nog een detecting
control, waarmee je monitored wat er op je systeem gebeurt.
14-02-2006, 17:49 door Anoniem
Er zijn genoeg exploits die ge/misbruikt worden voordat er
publiekelijk weet van is, een van de bekendere voorbeelden
hiervan is het recente WMF lek zoals op FD wordt omschreven
in vandaags mailing.

Echter denk ik dat het belangrijk is je te focussen op de
risico's. Je kunt je systeem nog zo goed distimmeren, er
zijn altijd onberekenbare factoren waartegen je je niet kunt
beschermen, zoals bijvoorbeeld 0-day vulns/exploits. Een
goed voorbeeld van iets wat echt kan helpen in het beperken
van de schade (helemaal voorkomen gaat niet makkelijk lukken
imo) zijn de jail's die bij de BSD smaken beschikbaar zijn.
Hiermee kan je de kwetsbare onderdelen van je netwerk
(bijvoorbeeld een webserver) afsluiten van de rest van je
systeem. Dit sandbox idee dat ook wordt toegepast in
virusscanners is in mijn ogen echt een uitkomst.

Houd er echter wel rekening mee of de moeite van het
configureren de moeite waard is. Als de data oninteresant is
(zoals op veel desktops voor prive gebruik) zal er weinig te
halen zijn voor een aanvaller, het zal dan ook lang niet
altijd de moeite/kosten lonen om deze systemen 'zo veilig
mogelijk' te maken.

Risk management > Security management ;)
14-02-2006, 18:28 door Anoniem
Waar mensen aangewerkt hebben zijn lekken.

Het begint al bij de mens zelf.

Dus ja ze zijn er..daar ben ik heilig van overtuigd.
14-02-2006, 19:29 door Anoniem
leuke stelling misschien, maar toch niet echt nieuws.
14-02-2006, 20:08 door rob
Door Constant
IT beveiliging moet mijn inziens uit meerdere lagen bestaan, als er
een zero days exploit is ontdekt in één laag, en de eerste laag
faalt, dan werkt de tweede laag als compensating control. En
daarnaast nog een detecting control, waarmee je monitored wat
er op je systeem gebeurt.

compensating control, detecting control? zeker een cursusje
gevolgt? Met zulke abstracte praat hou je echt geen hackers
tegen. Vertaling van mij: meerdere 'lagen' realiseer je door je
mogelijk kwetsbare punten met de laagst mogelijk privileges te
laten opereren. En wat betreft detectie van 0days daar zou ik niet
teveel op vertrouwen...
14-02-2006, 20:29 door Anoniem
WTF ????
Wat dacht je van de MWF exploit van 24 december 2005??
Onder een steen gezeten ofzo ???
14-02-2006, 21:57 door Anoniem
Detectie van 0days lijkt mij een taak die niet te doen is.
Je kunt niet alle programmeerfouten en lekken opvangen door
een ander programma of een zogenaamde laag. (Iets)/(Het
enige) wat je zou kunnen doen is een grote hook op alles
zetten en bij misterieuze dingen om toestemming vragen, maar
ook dat lost niet alles op.

Het is gewoonweg niet te doen om tegen onbekende dingen te
'vechten'. Zoals alle virus en spyware programmas nog steeds
werken is op basis van definities, dus eerst moet het worden
opgenomen in de definitie voordat je er tegen bescherm wordt.

Een van de weinige dingen is dus het tegenhouden van
'standaard' gevaarlijkere acties... Voor zover ik weet en
kennis ervan heb.
15-02-2006, 08:50 door SirDice
Meerdere lagen, meerdere firewalls, reverse proxies,
scheiden van programma en data, minimale rechten etc..
15-02-2006, 11:26 door Anoniem
full disclosure helpt
15-02-2006, 12:39 door Anoniem
Ja, alleen programmas toelaten op een soort van whitelist is
idd een strakke beveiliging. Als dat goed werkt ben je
behoorlijk veilig. Alleen ben je dan echt tot op het bod
beperkt. Als je dan ook met policies Active X totaal uit
schakeld of ook daar een soort whitelist hebt is het
behoorlijk veilig :)
15-02-2006, 14:33 door Constant
Door rob
Door Constant
IT beveiliging moet mijn inziens uit meerdere lagen bestaan, als er
een zero days exploit is ontdekt in één laag, en de eerste laag
faalt, dan werkt de tweede laag als compensating control. En
daarnaast nog een detecting control, waarmee je monitored wat
er op je systeem gebeurt.

compensating control, detecting control? zeker een cursusje
gevolgt? Met zulke abstracte praat hou je echt geen hackers
tegen. Vertaling van mij: meerdere 'lagen' realiseer je door je
mogelijk kwetsbare punten met de laagst mogelijk privileges te
laten opereren. En wat betreft detectie van 0days daar zou ik niet
teveel op vertrouwen...
Ik denk dat je zelf even heel erg snel op cursus moet als je mee wilt praten
over security die verder gaat dan besturingsysteem niveau. Met bijdehante
opmerkingen houd je geen hackers tegen.
15-02-2006, 15:32 door SirDice
Door Anoniem
full disclosure helpt
Nee, we hebben het hier over 0-days... Die zijn dus nog niet bekend.. Er valt dan nog niets te disclose'n..
Ja, alleen programmas toelaten op een soort van whitelist is idd een strakke beveiliging. Als dat goed werkt ben je behoorlijk veilig.
Je gaat alleen nat als een programma op je whitelist een buffer-overflow krijgt.. Het systeem start dan immers geen "andere" programma's, de controle van het toegestane programma wordt overgenomen..
Als je dan ook met policies Active X totaal uit schakeld of ook daar een soort whitelist hebt is het behoorlijk veilig :)
Niet helemaal... Active-X is voornamelijk gevaarlijk op de clients.. Dit helpt dus niet om je servers te beschermen..
15-02-2006, 15:36 door rob
Door Constant
Door rob
Door Constant
IT beveiliging moet mijn inziens uit meerdere lagen bestaan, als er
een zero days exploit is ontdekt in één laag, en de eerste laag
faalt, dan werkt de tweede laag als compensating control. En
daarnaast nog een detecting control, waarmee je monitored wat
er op je systeem gebeurt.

compensating control, detecting control? zeker een cursusje
gevolgt? Met zulke abstracte praat hou je echt geen hackers
tegen. Vertaling van mij: meerdere 'lagen' realiseer je door je
mogelijk kwetsbare punten met de laagst mogelijk privileges te
laten opereren. En wat betreft detectie van 0days daar zou ik niet
teveel op vertrouwen...
Ik denk dat je zelf even heel erg snel op cursus moet als je mee
wilt praten
over security die verder gaat dan besturingsysteem niveau. Met
bijdehante
opmerkingen houd je geen hackers tegen.

Ik weet wel zeker dat ik langer in security scene zit dan jij :)
15-02-2006, 15:41 door SirDice
Oh jee, 't wordt toch geen potje ver pissen? De mijne is
toch het langst :P
15-02-2006, 17:25 door Constant
Aantal jaar ervaring is dat maatgevend voor daadwerkelijke kennis?
15-02-2006, 21:15 door rob
Door SirDice
Oh jee, 't wordt toch geen potje ver pissen? De mijne is
toch het langst :P

met potje verpissen misschien ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search