Aangekondigde processor-aanval 'Skyfall en Solace' is hoax
Op 12 januari van dit jaar verschenen er twee websites online genaamd Skyfallattack.com en Solaceattack.com die voor een nieuwe processor-aanval waarschuwden, maar het gaat om een hoax, zo heeft de bedenker nu laten weten. Zelf beschrijft it-professional Rob Leadbeater Skyfall en Solace als een 'social experiment' om te laten zien wat er mis is met de manier waarop de it-industrie met security omgaat.
Volgens Leadbeater krijgen normale kwetsbaarheden, ook als het ernstige beveiligingsproblemen betreft, niet de aandacht van mensen. "Maar als je een pakkende naam en een flitsend logo hebt, dan moet het wel serieus worden genomen, ongeacht het daadwerkelijke risico." De it-professional noemt Spectre en Meltdown belangrijke kwetsbaarheden, maar stelt de vraag of ze echt alle tijd en moeite van de it-industrie rechtvaardigen.
Leadbeater hekelt de "belachelijke fascinatie" van de it-industrie met het benoemen van beveiligingslekken. "Je zou verwachten dat we sinds Heartbleed, ShellShock en Poodle, om er slechts een paar te noemen, we verstandiger zijn geworden met betrekking tot de marketinghype die tegenwoordig aan het openbaar maken van een nieuwe kwetsbaarheid vooraf gaat, maar helaas is dat niet het geval."
Verder was Leadbeater verrast over het aantal bezoekers van zijn websites. "Zelfs zonder flitsend logo hebben duizenden mensen naar een website doorgeklikt die eenvoudig een zeroday-exploit of cryptominer had kunnen hosten. Als een it-professional zoals ik zoveel interesse met nauwelijks enige moeite kan genereren, denk dan eens hoe eenvoudig het voor een vastberaden aanvaller is om je systemen te compromitteren."
Het wordt gecompliceerder zodra hackers deze twee namen voor ECHTE aanvallen gaan gebruiken. Haha. Voorspelling.
Oneens; we gebruiken ook DNS omdat namen gemakkelijker te onthouden zijn dan nummers.
Bovendien zie ik niet in wat er verkeerd aan is om gevaarlijke zaken een opvallende naam te geven. Het praat gemakkelijker met collega's als je het hebt over Spectre, of Meltdown dan CVE-2017-5753, CVE-2017-5715 of CVE-2017-5754.
Oneens; we gebruiken ook DNS omdat namen gemakkelijker te onthouden zijn dan nummers.
Een nummer kan meerdere namen hebben en een naam kan meerdere nummers hebben.
Als je iemand thuis opbelt weet je ook niet wie je aan de lijn hebt totdat diegene zijn naam zegt en misschien moet je dan om de juiste naam vragen.
eerste wat ik dacht was 'heej, sony weer gehacked?"
Die vergelijking gaat niet helemaal op.
Een nummer kan meerdere namen hebben en een naam kan meerdere nummers hebben.
Als je iemand thuis opbelt weet je ook niet wie je aan de lijn hebt totdat diegene zijn naam zegt en misschien moet je dan om de juiste naam vragen.
Jawel hoor. "Java driveby", "SQL Injection", "sprintf buffer overflow", bah ik gooi maar wat woorden maar je moet het gewoon noemen zoals het is.
Oneens; we gebruiken ook DNS omdat namen gemakkelijker te onthouden zijn dan nummers.
Bovendien zie ik niet in wat er verkeerd aan is om gevaarlijke zaken een opvallende naam te geven. Het praat gemakkelijker met collega's als je het hebt over Spectre, of Meltdown dan CVE-2017-5753, CVE-2017-5715 of CVE-2017-5754.
Helemaal mee eens. Sommige IT'ers vinden zich blijkbaar "echte" IT'ers omdat ze met CVE nummers werken. De gewone desktop gebruiker dient ook duidelijk geïnformeerd te worden in klare taal.
Arrogantie is een slechte eigenschap.
De meeste IT-ers, die letten helemaal niet op nieuwe CVE's, tenzij ze hier procedureel toe gedwongen worden door hun werkgever. Is er wat meer media aandacht, dan is de kans dat ze reageren net weer een beetje groter. Bij het merendeel van de organisaties is de patching dan ook absoluut niet op orde. Gelukkig niet overal, maar dat terzijde.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.