Hackers toveren patches in seconden om tot exploits
De trend dat exploits voor een beveiligingslek steeds sneller na het verschijnen van een patch opduiken is al enige tijd gaande, hackers zijn inmiddels zo ver gevorderd dat ze dit binnen minuten en zelfs seconden kunnen doen, waardoor patches juist een beveiligingsrisico vormen. Zodra een update verschijnt wordt die door aanvallers geanalyseerd en reverse engineered. Door de verkregen informatie kan men zien waar het beveiligingslek precies aanwezig is en hoe die te misbruiken is.
Voorheen duurde het meestal een aantal dagen voordat er een werkende exploit ontwikkeld was. Via algemeen beschikbare tools is dit proces nu geautomatiseerd en is een exploit slechts een kwestie van minuten en seconden. Dit betekent dat aanvallers die een patch snel weten te bemachtigen, deze kunnen omtoveren tot een exploit en misbruiken voordat de gemiddelde gebruiker zijn updates heeft geinstalleerd. Veel bedrijven en thuisgebruikers die de Automatische Update functie gebruiken, hebben die ingeschakeld op een vaste tijd. De patches zelf zijn dan al een aantal uren beschikbaar en dat geeft aanvallers voldoende tijd om bij ongepatchte gebruikers toe te slaan. In het geval van Windows Update duurt het 24 uur voordat 80% van de machines is langskomen voor een nieuwe update.
Onderzoekers van de universiteiten van Berkeley, Pittsburgh en Carnegie Mellon onderzochten het fenomeen, dat ze omschrijven als "automatic patch-based exploit generation" (APEG). "De huidige manier van patchdistributie is niet ontworpen met de dreiging van APEG in het achterhoofd. Onze resultaten laten zien dat we onmiddelijk moeten beginnen met het herontwerpen van de huidige distributie."
De onderzoekers zien drie mogelijke oplossingen voor het probleem. De eerste is het verbergen van de gemaakte aanpassingen in de patch. Als tweede zouden patches versleuteld moeten worden en pas later zijn uit te rollen. Zo krijgt iedereen de tijd om ze te downloaden en zijn ze voor iedereen op hetzelfde moment te installeren. Punt drie is het verspreiden van patches via P2P, zodat iedereen de updates tegelijkertijd downloadt. Een lezer van het ISC heeft een andere oplossing. "Het antwoord is niet je tijd verdoen met het steken van je vingers in de gaten van de dijk, maar in de eerste plaats een betere dijk te bouwen."
van de dijk, maar in de eerste plaats een betere dijk te bouwen."
Een betere dijk bouwen, maar beter dan wat....?
Beter dan de cracker zou aankunnen? Dat kom je pas achteraf achter of het is
gelukt.
Het meest optimale bouwen? Betekent dat ook het volmaakst? Dan wordt het
onbetaalbaar, want dat kost tijd en veel research en veel getest.
Het advies ligt goed in het gehoor, daarom is het ook zo demagogisch.
uitgangspunt zijn, anders niks. Steeds betere "dijken" tegen steeds grovere
aanvallen is een strijd die wij anders uiteindelijk toch verliezen omdat het
topzwaar van de beveiligingsmaatregelen wordt. Dus intensievere opsporing
van boeven zou het uitgangspunt moeten zijn. Maar ja, in Amerika wordt er
geld mee verdiend en geld is daar heilig.
haald men de bron van inkomsten weg, is ook stukken minder interresant om
nog te hacken.
1
Alle providers verplichten tot automatisch anti spam in hun systeem en het
blokkeren van computers op het netwerk die besmet zijn.
2
Internationaal de rekeningen blokkeren waarop betalingen moeten gebeuren
via spam berichten gekregen goederen, desnoods het geld in beslag nemen
en gebruiken om deze maatregelen te financieren.
naar beter, iets dat nu niet gebeurd. Sommige software
ontwikkelaars zijn al snel tevreden, en streven dan niet
meer naar perfectie. Dit soort luie instellingen moet er bij
sommigen uitgeslagen worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
