Schneier: DNS-lek laat zien dat patchen niet werkt
Het duurde 13 dagen voordat hackers de details van het ernstige DNS-lek wisten te achterhalen, wat Bruce Schneier verbaasde, de belangrijkste les volgens de beveiligingsgoeroe is dat het huidige patchmodel niet werkt. Het probleem is niet Dan Kaminsky die de kwetsbaarheid aan het licht bracht of de hackers die de verschillende exploits proberen. "Het probleem zit hem in het DNS protocol; het is onveilig."
De les die iedereen uit dit incident kan halen is dat het huidige patchmodel niet werkt en al jaren stuk is. "Deze cyclus van het vinden van beveiligingslekken en het gehaast patchen voor de bad guys ze misbruiken is kostbaar, inefficiënt en onvolledig. We moeten security al vanaf het begin in het onwerp van onze systemen aanbrengen," aldus Schneier. Volgens hem moeten security engineers bij systeemontwerp betrokken worden. "Dit proces zal niet elk beveiligingslek voorkomen, maar het is veiliger en goedkoper dan het patchmodel waar we nu mee te maken hebben."
Security engineers beschikken over een bepaalde 'mindset' waarbij het systeem vanuit een security perspectief wordt bekeken. "Het is niet zo dat hij alle mogelijke aanvallen ontdekt voordat de bad guys dit doen; het is meer dat hij op bepaalde potentiële aanvallen anticipeert en hier tegen verdedigt, ook al weet hij niet de details."
Kaminsky's DNS-lek is een goed voorbeeld dat "secure by design" werkt. Jaren geleden keek cryptograaf Daniel Bernstein naar de veiligheid van DNS en besloot dat Source Port Randomization een slim idee was. Precies dezelfde oplossing die na Kaminsky's ontdekking wordt toegepast. "Bernstein ontdekte Kaminsky's lek niet, hij voorzag een algemene vorm van aanvallen en realiseerde dat deze aanpassing hier bescherming tegen bood." Het in 2000 ontworpen djbdns hoeft dan ook niet gepatcht te worden, aangezien het al immuun is.
"Zo ziet een goed ontwerp eruit. Het is niet alleen beschermd tegen bekende aanvallen, maar ook bestand tegen onbekende aanvallen. We hebben dit meer nodig, en niet alleen op het internet, maar ook bij stemcomputers, identiteitskaarten, overal. Ga er niet vanuit dat systemen veilig zijn tenzij anders wordt aangetoond; ga ervan uit dat systemen onveilig zijn, tenzij ze veilig zijn ontworpen."
In eerste instantie zegt hij:
onveilig."
En vervolgens:
gepatcht te worden, aangezien het al immuun is.
"Zo ziet een goed ontwerp eruit. Het is niet alleen
beschermd tegen bekende aanvallen, maar ook bestand tegen
onbekende aanvallen.
security engineers bij systeemontwerp betrokken worden
hij mee?
Erg noemenswaardig (not).
DNS-server aankomen zetten in plaats van kritiek te leveren.
Geen nieuws, dit staat in elk boek: Volgens hem moeten
security engineers bij systeemontwerp betrokken worden
niet gebeurd.
Dus een soort van 'Penny wise, Pound foolish'
Laat Bruch Schneier dan zelf eens met een kraakvrije
DNS-server aankomen zetten in plaats van kritiek te leveren.
Bruce vervult z'n missie!
van onze systemen aanbrengen," aldus Schneier. Volgens hem
moeten security engineers bij systeemontwerp betrokken
worden.
Zoiets noemt men nou een bekende open deur.
Mis ik iets?
In eerste instantie zegt hij:
onveilig."
En vervolgens:
gepatcht te worden, aangezien het al immuun is.
"Zo ziet een goed ontwerp eruit. Het is niet alleen
beschermd tegen bekende aanvallen, maar ook bestand tegen
onbekende aanvallen.
DJBDNS gebruikt natuurlijk wel DNS als protocol. Het is niet
vatbaar voor deze aanval. Omdat de ontwikkelaar hier al
rekeneing mee heeft gehouden. Secure by design :)
bruce schneier.
Ze weten zeker niet wat er op de C.V. staat van bruce...
Ik heb in iedergeval heel wat geleerd van zijn boek Applied
Cryptography. En hij heeft een goed symmetrisch crypto
algorithm, Blowfish bedacht.
Hij staat dus zeker in zijn recht om security analyses op
zijn blog te doen. Het is jammer dat weinig mensen hier hem
serieus nemen, en alles wat hij zegt van de hand doen alsof
hij geen competentie heeft om er wat over te mogen zeggen.
Daarbij is het zijn eigen blog, en dat de media dit serieus
neemt heeft zijn reden.
Het mag wel eens een keer gezegd worden: degenen die zo
niet-onderbouwd schneier's commentaar becritiseren, hebben
hier op security.nl niks te zoeken.
in een tijd dat ,alles voorspelbaar was...en NU....
Mis ik iets?
In eerste instantie zegt hij:
onveilig."
En vervolgens:
gepatcht te worden, aangezien het al immuun is.
"Zo ziet een goed ontwerp eruit. Het is niet alleen
beschermd tegen bekende aanvallen, maar ook bestand tegen
onbekende aanvallen.
DJBDNS gebruikt natuurlijk wel DNS als protocol. Het is niet
vatbaar voor deze aanval. Omdat de ontwikkelaar hier al
rekeneing mee heeft gehouden. Secure by design :)
En dat is nu net wat SirDice wil zeggen....
Het is dus NIET het DNS protocol. Het is de implementatie in dit geval.
Waarbij hij duidelijk maakt dat Bruce zichzelf tegenspreekt.
IMHO
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.