Schneier: DNS-lek laat zien dat patchen niet werkt
Het duurde 13 dagen voordat hackers de details van het ernstige DNS-lek wisten te achterhalen, wat Bruce Schneier verbaasde, de belangrijkste les volgens de beveiligingsgoeroe is dat het huidige patchmodel niet werkt. Het probleem is niet Dan Kaminsky die de kwetsbaarheid aan het licht bracht of de hackers die de verschillende exploits proberen. "Het probleem zit hem in het DNS protocol; het is onveilig."
De les die iedereen uit dit incident kan halen is dat het huidige patchmodel niet werkt en al jaren stuk is. "Deze cyclus van het vinden van beveiligingslekken en het gehaast patchen voor de bad guys ze misbruiken is kostbaar, inefficiënt en onvolledig. We moeten security al vanaf het begin in het onwerp van onze systemen aanbrengen," aldus Schneier. Volgens hem moeten security engineers bij systeemontwerp betrokken worden. "Dit proces zal niet elk beveiligingslek voorkomen, maar het is veiliger en goedkoper dan het patchmodel waar we nu mee te maken hebben."
Security engineers beschikken over een bepaalde 'mindset' waarbij het systeem vanuit een security perspectief wordt bekeken. "Het is niet zo dat hij alle mogelijke aanvallen ontdekt voordat de bad guys dit doen; het is meer dat hij op bepaalde potentiële aanvallen anticipeert en hier tegen verdedigt, ook al weet hij niet de details."
Kaminsky's DNS-lek is een goed voorbeeld dat "secure by design" werkt. Jaren geleden keek cryptograaf Daniel Bernstein naar de veiligheid van DNS en besloot dat Source Port Randomization een slim idee was. Precies dezelfde oplossing die na Kaminsky's ontdekking wordt toegepast. "Bernstein ontdekte Kaminsky's lek niet, hij voorzag een algemene vorm van aanvallen en realiseerde dat deze aanpassing hier bescherming tegen bood." Het in 2000 ontworpen djbdns hoeft dan ook niet gepatcht te worden, aangezien het al immuun is.
"Zo ziet een goed ontwerp eruit. Het is niet alleen beschermd tegen bekende aanvallen, maar ook bestand tegen onbekende aanvallen. We hebben dit meer nodig, en niet alleen op het internet, maar ook bij stemcomputers, identiteitskaarten, overal. Ga er niet vanuit dat systemen veilig zijn tenzij anders wordt aangetoond; ga ervan uit dat systemen onveilig zijn, tenzij ze veilig zijn ontworpen."
In eerste instantie zegt hij:
onveilig."
En vervolgens:
gepatcht te worden, aangezien het al immuun is.
"Zo ziet een goed ontwerp eruit. Het is niet alleen
beschermd tegen bekende aanvallen, maar ook bestand tegen
onbekende aanvallen.
security engineers bij systeemontwerp betrokken worden
hij mee?
Erg noemenswaardig (not).
DNS-server aankomen zetten in plaats van kritiek te leveren.
Geen nieuws, dit staat in elk boek: Volgens hem moeten
security engineers bij systeemontwerp betrokken worden
niet gebeurd.
Dus een soort van 'Penny wise, Pound foolish'
Laat Bruch Schneier dan zelf eens met een kraakvrije
DNS-server aankomen zetten in plaats van kritiek te leveren.
Bruce vervult z'n missie!
van onze systemen aanbrengen," aldus Schneier. Volgens hem
moeten security engineers bij systeemontwerp betrokken
worden.
Zoiets noemt men nou een bekende open deur.
Mis ik iets?
In eerste instantie zegt hij:
onveilig."
En vervolgens:
gepatcht te worden, aangezien het al immuun is.
"Zo ziet een goed ontwerp eruit. Het is niet alleen
beschermd tegen bekende aanvallen, maar ook bestand tegen
onbekende aanvallen.
DJBDNS gebruikt natuurlijk wel DNS als protocol. Het is niet
vatbaar voor deze aanval. Omdat de ontwikkelaar hier al
rekeneing mee heeft gehouden. Secure by design :)
bruce schneier.
Ze weten zeker niet wat er op de C.V. staat van bruce...
Ik heb in iedergeval heel wat geleerd van zijn boek Applied
Cryptography. En hij heeft een goed symmetrisch crypto
algorithm, Blowfish bedacht.
Hij staat dus zeker in zijn recht om security analyses op
zijn blog te doen. Het is jammer dat weinig mensen hier hem
serieus nemen, en alles wat hij zegt van de hand doen alsof
hij geen competentie heeft om er wat over te mogen zeggen.
Daarbij is het zijn eigen blog, en dat de media dit serieus
neemt heeft zijn reden.
Het mag wel eens een keer gezegd worden: degenen die zo
niet-onderbouwd schneier's commentaar becritiseren, hebben
hier op security.nl niks te zoeken.
in een tijd dat ,alles voorspelbaar was...en NU....
Mis ik iets?
In eerste instantie zegt hij:
onveilig."
En vervolgens:
gepatcht te worden, aangezien het al immuun is.
"Zo ziet een goed ontwerp eruit. Het is niet alleen
beschermd tegen bekende aanvallen, maar ook bestand tegen
onbekende aanvallen.
DJBDNS gebruikt natuurlijk wel DNS als protocol. Het is niet
vatbaar voor deze aanval. Omdat de ontwikkelaar hier al
rekeneing mee heeft gehouden. Secure by design :)
En dat is nu net wat SirDice wil zeggen....
Het is dus NIET het DNS protocol. Het is de implementatie in dit geval.
Waarbij hij duidelijk maakt dat Bruce zichzelf tegenspreekt.
IMHO
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
