Wiskundige formule onthult hoe lek een computer is
Al geruime tijd is men op zoek naar een formule die berekent hoeveel lekken er in een systeem aanwezig zijn waardoor je gehackt kan worden. Noam van SecuriTeam heeft nu een formule bedacht gebaseerd op het werk van Dr. Frank Drake, wiens berekening ook blijkt te werken voor security lekken. Dit is de formule:
N = R * fp * ne * fl * fi * fc * L
waar:
N het aantal lekken in een systeem is waardoor je gehackt kan worden.
en
R is het aantal nieuwe regels code die aan het systeem worden toegevoegd.
fp is de hoeveelheid lekke regels.
ne is het gemiddeld aantal van deze lekken waardoor er code uitgevoerd kan worden.
fl is de som van de hierboven genoemde cijfers die uiteindelijk misbruikt kunnen worden voor het uitvoeren van willekeurige code.
fi is de som van de hierboven genoemde cijfers waar uiteindelijk exploit code voor verschijnt.
fc is de som van de hierboven genoemde cijfers waarvoor makkelijk te gebruiken cross platform exploit codes verschijnt.
L is de verwachte levensduur van zo'n lek.
Noam past de formule toe op Windows 2000:
* R = 1,000,000/jaar,
* fp = 0.5,
* ne = 5,
* fl = 0.1,
* fi = fc = 0.1,
* en L = 1 maand.
(1,000,000) * 0.5 * 5 * 0.1 * 0.1 * 0.1 * (1 / 31) = 80
Besluit men te upgraden van Windows 2000 naar Windows XP, dan stijgt het aantal lekken naar 241. XP bevat namelijk drie keer zoveel code als Windows 2000.
behoorlijk subjectief. Met andere woorden, je kunt op 80
lekken uit komen, maar ook op 8000.
Is dit zinvol? En in hoeverre volgt empirische data deze
formule? Er is voldoende data voor handen, wie doet de analyse?
een formule waarin zo'n beetje alle variabelen een pure gok zijn.
XP dan Windows XP SP2 gebruiken? ;)
Als ik het goed begrijp kan je dus beter de 'kale' Windows
XP dan Windows XP SP2 gebruiken? ;)
Dit zou waar zijn als SP2 zelf geheel lek zou zijn. Maar
aangezien het doel ervan is 'lekke regels' (fp in de
formule) te patchen en in verhouding misschien zelfs minder
regels toevoegd dan dat het patcht, zakt de uitkomst van de
formule. Dit omdat de waarde van fp is gezakt.
Ik vind het een vreemde formule en de deskundigen zullen dit
keer op keer moeten bewijzen. Een definitie van een formule
moet universeel zijn en keer op keer accuraat zijn. En dan
nog, wat is er zo bruikbaar aan?
- Unomi -
is dit een onbekende waarde welke afhankelijk is van de kwaliteit van je
ontwikkel omgeving (mensen, procedures, testplatforms, etc), waardoor
deze rekensom uitlsluitend nut heeft in een theoretische discussie.
Als fp onbekend is, dan kun je N nooit uitrekenen (Wiskunde 3-4de klas
middelbare school). Het rekenvoorbeeld gaat er van uit dat de fp van
windows 2000 en XP identiek is, dit is een veronderstelling waarvoor ik de
onderbouwing mis, hoe is dit vastgesteld?. Wellicht is de fp hoger of lager
geworden als gevolg van veranderde omstandigheden in de loop der jaren.
Uiteraard is de interpretatie van de waardes van de formule
behoorlijk subjectief. Met andere woorden, je kunt op 80
lekken uit komen, maar ook op 8000.
Is dit zinvol? En in hoeverre volgt empirische data deze
formule? Er is voldoende data voor handen, wie doet de
analyse?
Dat niet alleen. Er wordt verwachting gebruikt, en
dat is in de mathematische statistiek gerelateerd aan
kans. Liever heb ik het dan ook als men spreekt over
de kans op een lek. Wetenschap houdt zich allang niet
meer bezig met de vraag of iets zeker is of niet.
Stelletje wannabe mathematici die populair lullen. Alsof je alle lekke
regels ook kunt berekenen (als je wist dat ze daar waren waren ze
hoogstwaarschijnlijk gefixet en niet meer lek -_-' )
Het aantal regels is vast te stellen. fp is een fractie
daarvan en geen absolute hoeveelheid (het is wat onhandig
vertaald hier). Bij fp gaat het volgens mij om bekende lekken!
De verwachte levensduur is ook min of meer te bepalen door
de patch-geschiedenis van de leverancier te bekijken.
Dus al met al geeft de formule volgens mij een aardige
indicatie. Wie oss gebruikt, kan zijn regeltjes 'even'
tellen en de formule er op loslaten! :)
Op internet is vast wel te vinden hoeveel regels de diverse
Windows-versies omvatten. En Secunia houdt de lekken en
patches netjes bij. Dus iedereen kan deze formule redelijk
controleren.
En zouden de wetenschappers hier hun bronnen, methodes en
bevindingen hier kunnen publiceren?
Dat moet waarschijnlijk 1/12 jaar zijn, dan compenseert de
dimensie die van R.
N neemt dan met een factor 2.5 toe tot 200.
Op de een of andere manier lijkt dat een betere schatting.
Kon je aan de hand van persoonlijke data je IQ uitrekenen.
Weinig waardevol / zinvol.
gekraakt beschouwen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
