image

Google: kwart ontdekte zerodays te voorkomen door beter patchen

donderdag 4 februari 2021, 10:17 door Redactie, 10 reacties

Een kwart van alle ontdekte zerodaylekken in 2020 had voorkomen kunnen worden als de betreffende ontwikkelaar het onderliggende probleem beter had verholpen, zo claimt Google op basis van eigen onderzoek. Voor het onderzoek werd er gekeken naar 24 actief aangevallen zerodaylekken die vorig jaar werden ontdekt.

In zes gevallen bleek dat de zerodaylekken een variant waren van eerder verholpen kwetsbaarheden. De patches die de betreffende ontwikkelaars eerder hadden uitgerold bleken niet volledig waardoor het onderliggende probleem op een iets andere wijze nog steeds was te misbruiken.

De zes zerodaylekken van vorig jaar waren varianten van in totaal negen eerdere kwetsbaarheden, waarvan er vier ook als zeroday waren misbruikt. In sommige gevallen volstond het voor de aanvallers om één of twee regels code van de oude zeroday-exploits aan te passen om een nieuwe werkende zeroday-exploit te krijgen. "Als meer kwetsbaarheden beter en uitgebreider worden gepatcht, zal het lastiger voor aanvallers zijn om zerodays te misbruiken", zegt Maddie Stone van Google Project Zero.

Twee van de kwetsbaarheden waarop Stone doelt waren aanwezig in Google Chrome. De overige vier bevonden zich in Microsoft Internet Explorer, Mozilla Firefox, Apple Safari en Windows. Drie van deze beveiligingslekken rapporteerde het Google Project Zero-team aan Google en Microsoft, maar werden niet goed door beide bedrijven verholpen, stelt Stone.

"Het correct en volledig patchen van een kwetsbaarheid is geen druk op de knop: het vereist een investering, prioritering en planning. Dit zal geen verrassing zijn voor securityteams in een organisatie, maar deze analyse is een goede reminder dat er nog steeds veel werk te verzetten is", aldus Stone. De investeringen verschillen per organisatie. Toch ziet Stone een aantal onderwerpen dat overal terugkomt, zoals voldoende personeel en middelen, volwassen processen, beloningsstructuren, automatisering en testing en samenwerken.

Image

Reacties (10)
04-02-2021, 10:49 door Anoniem
Eigenlijk zeggen ze gewoon dat de ontwikkelaars prutsers zijn die bij een geconstateerd probleem alleen aan symptoombestrijding doen en niet gaan kijken wat er nou eigenlijk aan de hand is en of diezelfde fout in het project nog vaker gemaakt is.
Wellicht wordt dit veroorzaakt door een draconisch change management wat hen verbiedt om meer te wijzigen dan wat er direct betrokken is bij een gemeld incident?
04-02-2021, 11:23 door Anoniem
@ anoniem van 10:49,

Je legt de vinger op de juiste zere plek. Zij die de beslissingen nemen hebben er geen of onvoldoende verstand van en zij die het kunnen weten, kunnen en mogen zelfs de juiste beslissingen niet nemen. Dit geldt maatschappij breed. In de politiek, voor management in bedrijven en bij de ambtenarij. Dus er wordt geen ruimte gelaten om tot een betere security te komen op zo'n manier.

Daarnaast zijn de trouwe behulpzame en vaak slecht functionerende "bovenbazen" op geen enkele manier ter verantwoording te roepen. Ze schuiven het af of op het gemeen (jij en ik) of op de onderkaste. Deze lieden brengen zeker hun rendement vaak niet op, maar blijven doorgaan via netwerken en de inner circle. Zo blijft alles zo het was, glas, plas.

Erger je niet is een leuk spel voor een developer,

#sockpuppet
04-02-2021, 11:30 door Anoniem
Door Anoniem: Eigenlijk zeggen ze gewoon dat de ontwikkelaars prutsers zijn die bij een geconstateerd probleem alleen aan symptoombestrijding doen en niet gaan kijken wat er nou eigenlijk aan de hand is en of diezelfde fout in het project nog vaker gemaakt is.
Wellicht wordt dit veroorzaakt door een draconisch change management wat hen verbiedt om meer te wijzigen dan wat er direct betrokken is bij een gemeld incident?

Precies, precies! Ik denk meer dat het een sign of the times is. Iedereen lekker snel zijn eigen projectje of taaltje beginnen. Dat nodejs zit vol met ongepatchde modules. Maar toch lekker doorbouwen, want `trendy projectje en c/c++ kan ik niet`.

En dan die snowflake opensource developers, met hun mentaliteit dat ze gratis werk leveren en dat dit daarom niet bekritiseerd mag worden (anders wordt je geblokkeerd github).

Laatst een redhat senior software engineer, die het geen probleem vond dat zijn code je root filesystem opnieuw mount op een andere plek, omdat de code toch in een container moest draaien. Totaal geen goede exception handling (volgens mij).

Als arts zouden handelen als de meeste mensen in de IT. Zou een tandarts hersenchirurgie doen met een spatel.


Als arts zouden handelen als de meeste mensen in de IT. Zou een tandarts hersenchirurgie doen met een spatel.
04-02-2021, 11:45 door Anoniem
Dit is niet gek als je bedenkt hoe bloat de codebase van software is tegenwoordig. Veel ontwikkelafdeling die toch nog altijd als eilandjes te werk gaan, met een groot verloop van 'personeel', zonder dat iedereen de volledige code begrijpt en ook nog onder druk van management staat op 'productief' te zijn en dus alleen het symptoom te repareren.

Enige wat tegen dit onkruid gewassen is, is vanaf scratch beginnen en dat secuur en gestructureerd te werken gaan. OpenBSD is een goed voorbeeld hoe het ook kan. Focus op kwaliteit, primaire functionaliteit en veiligheid, en niet allerlei zinloze code aan je product toevoegen omdat het een hype is, zoals Apple bijvoorbeeld doet.

Zorg eerst eens dat de basis goed is.
04-02-2021, 15:58 door Anoniem
Door Anoniem: Eigenlijk zeggen ze gewoon dat de ontwikkelaars prutsers zijn die bij een geconstateerd probleem alleen aan symptoombestrijding doen en niet gaan kijken wat er nou eigenlijk aan de hand is en of diezelfde fout in het project nog vaker gemaakt is.
Wellicht wordt dit veroorzaakt door een draconisch change management wat hen verbiedt om meer te wijzigen dan wat er direct betrokken is bij een gemeld incident?

https://www.security.nl/posting/688919/Google+waarschuwt+voor+kritieke+kwetsbaarheden+in+Android

Iets met de pot en de ketel
04-02-2021, 20:38 door Anoniem
Tja dit is niet alleen in software, dit is ook zo aan de hand met Intel... of zijn we de side-channel attacks (waarvoor de fixes in kernels die nodig waren soms wel tot 20% performance inleverde) allemaal vergeten?

prutsers zijn een bron van misere, maar allen voor de vlugge winst gaan, das net zo erg denk ik!
04-02-2021, 20:39 door Anoniem
Wat wellicht ook zou kunnen helpen is als, nadat bv. 90% van de gebruikers de update geïnstalleerd heeft (10% zal toch nooit patchen is dan even een aanname), ervoor te zorgen dat publiek bekend wordt wat 'in code' aangepast is.

Daarmee zeg ik niet dat je broncode (als die niet publiek is) hoeft te delen, maar alleen de fout.

Zo kunnen SAST-tools worden voorzien van regels die dat soort fouten opmerken en kan iedereen leren (mits je maar zo een tool gebruikt).

We houden helaas te graag onze fixes voor onszelf, niet uniek voor onze line of business overigens.

Voorbeeldje:

XSS in CMS xyz wordt veroorzaakt omdat param.* is uitgelezen ipv die te filteren.
Daar bestaan SAST regels voor, zodat als je die tools gebruikt jouw site niet dezelfde fout zal bevatten.

Of goto fail; goto fail; (lang gelden alweer): die fout pikken SAST tools tegenwoordig ook wel op.
04-02-2021, 23:00 door [Account Verwijderd]
..., zegt het bedrijf van besturingssysteem Android wat het aller slechtste patchbeleid in het universum heeft.
05-02-2021, 00:48 door Anoniem
Er ligt ook een heleboel aan beheer. Daar heeft men wel een punt. Webshops die op Magenta 0.1 - uitgefaseerd - blijven zitten.
Mensen die websites draaien met "verlaten code", waar nooit meer een update voor komt, of iemand moet een fork maken en de code voortzetten. Weak PHP, weak javascript. Injectie, scam. spam, onvoldoende server beveiliging achterliggend.

Ik zie het nog steeds niet fundamenteel verbeteren. Echt een "neverending story" en Big Tech is hierbij zelf niet onschuldig en houdt dit ook in zekere zin om allerlei gronden in stand.

Tenminste mijn "two cents" (esser agaroth).

luntrus
06-02-2021, 15:17 door Anoniem
Door Rotsmoel: ..., zegt het bedrijf van besturingssysteem Android wat het aller slechtste patchbeleid in het universum heeft.
Google heeft een heel goed patchbeleid. Blijkt uit de weinige incidenten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.