'Teveel aandacht voor zero-day-lekken'
Onbekende beveiligingslekken in Java, Flash Player en Adobe Reader werden de afgelopen week breed uitgemeten in de media, maar veruit de meeste aanvallen vinden plaats via lekken waar al geruime tijd updates voor beschikbaar zijn. Zero-days, zijn kwetsbaarheden waarvoor nog geeen beveiligingsupdate beschikbaar is. Vorig jaar werden er bij elkaar zo'n tien in IE, Flash Player en Java ontdekt.
"Maar één iemand hoeft een geïnfecteerd bestand te openen", zegt beveiligingsonderzoeker Brandon Dixon. Hij reageert op een tweet van Adriel Desautels dat meer dan 90% van alle succesvolle hacks het gevolg zijn van aanvallen op bekende beveiligingslekken. Iets wat Dixon uit zijn eigen ervaring bevestigt.
Keuze
"Voorbij de marketing en speciale gevallen, zijn zero-days nieuwe glimmende objecten waar onderzoekers zich over verheugen en waar bedrijven zich tegen moeten 'verdedigen'", aldus Dixon. Onlangs ontdekte hij nog een Word-document dat misbruik van CVE-2012-0158 maakte. Een beveiligingslek dat Microsoft in april 2012 patchte, maar volgens Dixon nog steeds zeer succesvol in de 'cyberspionagewereld' is.
De malware in het document werd door 12 van de 40 virusscanners op VirusTotal ontdekt. De aanvaller maakte echter verschillende varianten van het document wat resulteerde in slechts 2 virusscanners die de kwaadaardige code detecteerde. Tot grote zorgen van Dixon.
"Als je afvraagt waar je je op moet richten, maak je dan niet druk om de onbekenden die je niet kunt controleren, maar installeer de patches die je nog hebt liggen."
Sexy
Volgens Matthew Wollenweber is het detecteren van zero-day-aanvallen lastig en is het aantal ongedetecteerde aanvallen onbekend. "Onderzoekers en bedrijven richten zich op zero-days, omdat het sexyer is en het probleem bijna onmogelijk te kwantificeren valt. Als je geld uitgeeft en faalt wordt het verwacht", laat hij weten.
"Als je geld uitgeeft om bekende lekken te detecteren en faalt, denken mensen dat je een idioot bent, ook al is dat een vrij lastig probleem." Beide problemen zouden dan ook onderzocht moeten worden, maar het oplossen van bekende kwetsbaarheden is op het moment verstandiger, stelt Wollenweber.
Maakt dat uit wanneer je je patch management wel op orde hebt ? Aandacht voor zero days lijkt me meer dan terecht, ook al klopt het dat veel aanvallen plaats vinden waarbij oudere lekken misbruikt worden.
Voor elke hack die er slaagt, is het de vraag alleen of de klant een versie draait waarin dat lek nog niet verholpen is. In alle andere gevallen ligt de verantwoordelijkheid bij de leverancier. Zero-day of niet, maar zeker als lekken al langer bekend zijn.
Verder kan je er donder op zeggen dat als je al een hoop lekken bent tegen gekomen, dat er nog veel meer in zitten en dan moet je je ernsig gaan af vragen hoe het zit met de kwaliteit van je product en je service, in plaats van de aandacht proberen te verleggen.
En als gebruiker moet je je afvragen of je dat soort producten, zoals als Java, wel wilt gebruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.