Hackers toveren patches in seconden om tot exploits
De trend dat exploits voor een beveiligingslek steeds sneller na het verschijnen van een patch opduiken is al enige tijd gaande, hackers zijn inmiddels zo ver gevorderd dat ze dit binnen minuten en zelfs seconden kunnen doen, waardoor patches juist een beveiligingsrisico vormen. Zodra een update verschijnt wordt die door aanvallers geanalyseerd en reverse engineered. Door de verkregen informatie kan men zien waar het beveiligingslek precies aanwezig is en hoe die te misbruiken is.
Voorheen duurde het meestal een aantal dagen voordat er een werkende exploit ontwikkeld was. Via algemeen beschikbare tools is dit proces nu geautomatiseerd en is een exploit slechts een kwestie van minuten en seconden. Dit betekent dat aanvallers die een patch snel weten te bemachtigen, deze kunnen omtoveren tot een exploit en misbruiken voordat de gemiddelde gebruiker zijn updates heeft geinstalleerd. Veel bedrijven en thuisgebruikers die de Automatische Update functie gebruiken, hebben die ingeschakeld op een vaste tijd. De patches zelf zijn dan al een aantal uren beschikbaar en dat geeft aanvallers voldoende tijd om bij ongepatchte gebruikers toe te slaan. In het geval van Windows Update duurt het 24 uur voordat 80% van de machines is langskomen voor een nieuwe update.
Onderzoekers van de universiteiten van Berkeley, Pittsburgh en Carnegie Mellon onderzochten het fenomeen, dat ze omschrijven als "automatic patch-based exploit generation" (APEG). "De huidige manier van patchdistributie is niet ontworpen met de dreiging van APEG in het achterhoofd. Onze resultaten laten zien dat we onmiddelijk moeten beginnen met het herontwerpen van de huidige distributie."
De onderzoekers zien drie mogelijke oplossingen voor het probleem. De eerste is het verbergen van de gemaakte aanpassingen in de patch. Als tweede zouden patches versleuteld moeten worden en pas later zijn uit te rollen. Zo krijgt iedereen de tijd om ze te downloaden en zijn ze voor iedereen op hetzelfde moment te installeren. Punt drie is het verspreiden van patches via P2P, zodat iedereen de updates tegelijkertijd downloadt. Een lezer van het ISC heeft een andere oplossing. "Het antwoord is niet je tijd verdoen met het steken van je vingers in de gaten van de dijk, maar in de eerste plaats een betere dijk te bouwen."
van de dijk, maar in de eerste plaats een betere dijk te bouwen."
Een betere dijk bouwen, maar beter dan wat....?
Beter dan de cracker zou aankunnen? Dat kom je pas achteraf achter of het is
gelukt.
Het meest optimale bouwen? Betekent dat ook het volmaakst? Dan wordt het
onbetaalbaar, want dat kost tijd en veel research en veel getest.
Het advies ligt goed in het gehoor, daarom is het ook zo demagogisch.
uitgangspunt zijn, anders niks. Steeds betere "dijken" tegen steeds grovere
aanvallen is een strijd die wij anders uiteindelijk toch verliezen omdat het
topzwaar van de beveiligingsmaatregelen wordt. Dus intensievere opsporing
van boeven zou het uitgangspunt moeten zijn. Maar ja, in Amerika wordt er
geld mee verdiend en geld is daar heilig.
haald men de bron van inkomsten weg, is ook stukken minder interresant om
nog te hacken.
1
Alle providers verplichten tot automatisch anti spam in hun systeem en het
blokkeren van computers op het netwerk die besmet zijn.
2
Internationaal de rekeningen blokkeren waarop betalingen moeten gebeuren
via spam berichten gekregen goederen, desnoods het geld in beslag nemen
en gebruiken om deze maatregelen te financieren.
naar beter, iets dat nu niet gebeurd. Sommige software
ontwikkelaars zijn al snel tevreden, en streven dan niet
meer naar perfectie. Dit soort luie instellingen moet er bij
sommigen uitgeslagen worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.