Microsoft teleurgesteld over publicatie exploit
Dit weekend waarschuwde Microsoft voor een exploit die misbruik maakt van het lek in de Windows Remote Access Connection Manager service. De exploit was in het Metasploit Framework verwerkt, een tool die door zowel security professionals als computercriminelen wordt gebruikt. De makers van Metasploit hadden contact met Microsoft over een ander lek dat men in de service had gevonden.
Toen verscheen echter de advisory van de softwregigant waarin het uithaalde naar de onderzoekers die algemeen geldende industrie afspraken zouden hebben geschonden. Deze afspraken bestaan helemaal niet, daarnaast heeft men de exploit negen dagen na het security bulletin gepubliceerd en last but not least heeft Microsoft het door Metasploit ontdekte lek nooit in haar advisory genoemd. Dit betekent dat geen enkel IDS de Metasploit module kon detecteren.
De onderzoekers van het Metasploit project zijn dan ook niet blij met Microsoft, dat aan de ene kant om informatie over lekken vraagt, maar aan de andere kant de mensen die deze informatie geven juist zwart maakt. Microsoft zou daarom wat aan haar communicatieve vaardigheden moeten doen en elk commentaar in de advisories moet met een grote korrel zout genomen worden, aldus onderzoeker HD Moore.
Het is duidelijk dat als je vulnerabilities (en met name
exploits) openbaar maakt, dat je daarmee crackers een kans
geeft om systemen binnen te dringen, en de reputatie van de
producent van de software schade aandoet. Aan de andere kant
geeft het openbaar maken gebruikers de kans zich te
beschermen, en zet het druk op de producenten om de gaten te
dichten. Wat is wijsheid?
Ik vind zelf dat het belang van de gebruikers het zwaarste
weegt, en dat de producent niet al te veel te willen heeft:
tenslotte is het hun fout dat het lek er zit. Maar wat is
voor de gebruiker het beste? Als het lek eenmaal bekend is
kun je er donder op zeggen dat malware die er gebruik van
maakt niet al te lang op zich zal laten wachten. Publiceren
lijkt dan geen goede strategie. Maar de kans bestaat
natuurlijk dat de black hats het lek al onafhankelijk hebben
gevonden: tenslotte, als white hats het kunnen, kunnen black
hats het ook. En als de black hats het weten is het maar
beter als iedereen het weet, met name als dat de komst van
een patch bespoedigt.
Uiteindelijk lijkt het mij een redelijke strategie als eerst
de producent wordt ingelicht, en vervolgens na enige tijd
het lek wordt gepubliceerd als de producent dit niet zelf
doet. Dit geeft de softwareontwikkelaars de gelegenheid
gaten te dichten voordat de hele wereld (inclusief de black
hats) er vanaf weet, maar zorgt er ook voor dat informatie
over lekken niet onder het tapijt gemoffeld wordt en
zodoende alle gebruikers onwetend en onnodig risico lopen.
Behalve dan in de periode voor de publicatie van een lek.
kapotte airbags in automerk X. Kunnen we een hoop leed mee
voorkomen!
Kernpunt is dat het Microsoft helemaal niet gaat om
veiligheid of privacy van de gebruikers, maar om ordinaire
aandeelhouderspecunia. De drie geheime PGP-sleutels in
Windows XP spreken daarover boekdelen.
worden? Maak er gewoon 1 binary van zoals men dat vroeger deed, werkt
gewoon zwaar ongemakkelijk zo..
geven waarmee ze stoute dingen kunnen doen. Alsof er geen malware
bestaat VOORDAT er lekken bekend waren gemaakt.
Er zijn dus alleen maar voordelen aan.
+ het geeft beheerders en security mensen inzicht in:
#1 hoe het lek werkt, en dus hoe ze in hun EIGEN omgeving mitigerende
factoren kunnen aanbrengen om het risico te beperken of zelfs helemaal
weg te nemen. Dat kan niet wanneer er geen disclosure is. Dat is zelfs
ronduit laf en gevaarlijk van (in dit geval Microsoft) de leverancier.
#2 het geeft aan hoe een lek misbruikt kan worden, waarmee applicaties
die hetzelfde werken, dezelfde code sharen of zelfs applicaties van andere
fabrikanten welke misschien op dezelfde manier geschreven zijn.
passen. Dat is iets wat met een binary file niet lukt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
