Werkelijk aantal beveiligingslekken dit jaar 139.262
Deze week werd bekend dat het aantal publiek bekengemaakte beveiligingslekken dit jaar op zo'n 8500 uitkomt, een topje van de ijsberg, want het werkelijke aantal gevonden lekken bedraagt 139.262. Het getal is afkomstig van Gunter Ollmann van IBM's Internet Security Systems. Volgens Ollman worden sommige lekken alleen aan de vendor bekendgemaakt, patchen vendors stilletjes de lekken die ze zelf vinden, kan men kwetsbaarheden in niet-Engelstalige software vaak niet controleren en krijgen vendors "lame" lekken nooit te horen.
Voornamelijk beveiligingslekken die onderzoekers via een audit vinden zijn voor het grootste gedeelte van de nooit aan het publiek onthulde kwetsbaarheden verantwoordelijk. Een gemiddelde pentester zou zo'n 5 a 10 lekken per dag vinden. Per jaar is deze beroepsgroep goed voor 125.000 nieuwe lekken. Al met al "missen" gebruikers hierdoor 132.115 kwetsbaarheden die ze nooit te zien of horen krijgen.
En dat is zeker voor bedrijven erg belangrijk. "Als je je bescherming baseert op alleen het bijhouden van publiek bekende kwetsbaarhden, mis je dus bijna 95% van die lekken die er zijn," zo waarschuwt Ollman.
Een van de grote voordelen van closed source denk ik dan maar :)
volgens mij ignorant om te denken dat je Open Source
besturingssysteem immuun is ;-)
Ik zelf patch mijn systemen iedere zondag en vooral als je
pas een nieuw OS hebt geïnstalleerd (wat ik op sommige
machines vrijwel wekelijks doe - gewoon voor de fun -) kan
dit best een tijdrovende klus zijn.
Het enige OS dat hier minder last van heeft is, voor zover
ik weet openBSD. Thumbs up for Theo :-)
Het enige OS dat hier minder last van heeft is, voor zover
ik weet openBSD. Thumbs up for Theo :-)
minder lekken in zouden zitten....
volgens mij ignorant om te denken dat je Open Source
besturingssysteem immuun is ;-)
verschillende bs-sen. En inderdaad, ik ben niet zo onwetend
dat ik denk dat oss immuun zou zijn. Op Secunia vind je
dagelijke genoeg lekken in linux en andere oss.
Het artikel gaat er over dat bij closed source veel lekken
geheim gehouden worden voor het publiek. Het publiek kan dus
niet weten hoe veilig het product is waarvoor men zoveel
betaald heeft. En misschien heeft dit zelfs gevolgen voor
verzekeringen en rechtszaken.
En ik denk dat dat probleem bij oss niet speelt. In principe
kan iedereen de code nakijken op fouten. Je moet wel
enigzins thuis zijn in die code natuurlijk.
Voor hackers is het misschien ook minder uitdagend om lekken
te vinden in code dan in binaries.
Mijn linux-servers patchen automatisch tweemaal per dag. Dan
blijft de hoeveelheid per keer wat kleiner. Het kost me
alleen tijd als ik een kernel-update doe en drivers enz. ook
moet aanpassen. Dan moet ik toch even testen enz. Dus die
doe ik met het handje :)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
