Top 30 meest voorkomende lekken
Systeembeheerders bij bedrijven hebben inmiddels door dat besturingssystemen gepatcht moeten worden, maar als het gaat om applicaties dan is er een gebrek aan tijd, focus en werkt de software zelf ook niet mee, zegt Paul Ferron van Qualys tegenover Security.nl. "De trend is dat OS'en redelijk goed gepatcht worden", aldus de managing director Benelux. Gisteren presenteerde SANS een rapport waarbij Qualys een deel van de data aanleverde, gebaseerd op de scans van 9 miljoen clients. Aan de hand daarvan kon men een top 30 van meest voorkomende beveiligingslekken opstellen. Op zich is de lijst ook een overzicht van meest geïnstalleerde software en meest genegeerde kwetsbaarheden, zo gaat Ferron verder. Zo staat op de 22ste plek een Adobe lek uit 2007. "Er wordt gewoon niet voldoende gepatcht."
Wegklikken
Het belang van het updaten van het besturingssysteem is inmiddels overal doorgedrongen. Daar zijn ook tal van leveranciers op gesprongen, maar de andere applicaties is men vergeten. Ferron noemt de houding van veel bedrijven zorgwekkend. Die denken dat updates netjes geïnstalleerd worden, terwijl in werkelijkheid werknemers het installeren van de updates wegklikken. Verder blijkt uit het rapport dat aanvallers inmiddels ook al lang en breed met het fenomeen bekend zijn en zich massaal op het aanvallen van client-side applicaties richten. Met de onderstaande lijst hoopt Ferron dat bedrijven inzien welke kwetsbaarheden waarschijnlijk ook bij hen aanwezig zijn, en dat men dringend de problematiek moet aanpakken.
Top 30 meest voorkomende beveiligingslekken
- WordPad en Office Text Converters (MS09-010)
- Sun Java (244988 en andere)
- Sun Java Web Start (238905)
- Java Runtime Environment Virtual Machine (238967)
- Adobe Acrobat en Adobe Reader (APSA09-01)
- Microsoft SMB (MS09-001)
- Sun Java Runtime Environment
- Microsoft Excel (MS09-009)
- Adobe Flash Player Update (APSB09-01)
- Sun Java JDK JRE (254569)
- Microsoft Windows Server Service (MS08-067)
- Microsoft Office PowerPoint (MS09-017)
- Microsoft XML Core Services (MS08-069)
- Microsoft Visual Basic Runtime Extended Files (MS08-070)
- Microsoft Excel (MS08-074)
- Microsoft DirectShow (MS09-028)
- Microsoft Word (MS08-072)
- Adobe Flash Player (APSB07-20)
- Adobe Flash Player (APSB08-20)
- Third Party CAPICOM.DLL
- Microsoft Windows Media Components (MS08-076)
- Adobe Flash Player (APSB07-12)
- Microsoft Office (MS08-055)
- Adobe Reader (APSA09-02 en APSB09-06)
- Microsoft PowerPoint (MS08-051)
- Processing Font lek in JRE (238666)
- Microsoft Office (MS08-016)
- Adobe Acrobat/Reader (APSB08-19)
- Adobe Acrobat en Adobe Reader (APSB08-15)
- Windows Schannel Security Package (MS09-007)
dus ze zien de verplichte update vensters aan voor popups..
die dan weg geklikt worden..
1. Microsoft
2. Adobe
3. Sun
4. ?
5. ?
De hele top 30 is dus terug te brengen naar 3 leverancies.
Het is heel goed als er patches zijn maar ze moeten wel toegepast worden. Het probleem is dat er veel Linuxgebruikers laks met updaten zijn. Vooral gebruikers die blij zijn 'dat alles eindelijk werkt'. Op mijn RHEL-bak was het altijd vervelend als er kernel-patches waren. Na het patchen kon je weer lopen klooien met device drivers. Daar ga je vanzelf slechter van patchen.
Want linux heeft geen JRE, flash en acrobat?
Don't get me wrong: Ik ben zelf ook vervent linux aanhanger, maar ben van mening dat "linux is veel veiliger" een beetje loze opmerking hier is.
Het probleem zit hem denk ik ook in (de door mij genoemde producten op OpenSuSE hier iig) de verschillende update mechanismen die gehandteerd worden. Ik doe bijvoorbeeld elke keer netjes mijn updates op mijn systeem met YaST naar volle tevredenheid, maar geef eerlijk toe dat ik niet elke keer mijn JRE/flash en andere thirdparty producten update omdat ik niet elke keer wil klooien maar direct wil werken. En ik ga ook niet voor elk pakket elke keer kijken of er updates/security issues zijn.
Het zou zoveel mooier zijn als het allemaal via 1 mechanisme werd gedaan. Maar goed, gebruikers fout/luiheid grote factor hier. Neemt echter niet weg dat je het als programmeur/leverancier zijnde producten makkelijk moet maken voor je gebruikers om te updaten want die interesseren zich niet zo heel erg voor updates, dus verlang ook niet dat deze mensen er zelf achteraan gaan.
-goestin-
1. Microsoft
2. Adobe
3. Sun
4. ?
5. ?
De hele top 30 is dus terug te brengen naar 3 leverancies.
Zo te zien gaat het hier om lekken waar gewoon oplossingen voor zijn. Het probleem is dat ze niet worden toegepast, niet dat ze niet beschikbaar zijn.
Qua veiligheid heeft Microsoft een stevige inhaalslag gedaan sinds de jaren dat ze hun reputatie volop verdienden, en er zijn robuuste systemen mee te bouwen. Er staat me bij dat niet alle open source webframeworks altijd een even smetteloze reputatie hebben gehad. Debian heeft heel ernstig geblunderd met hun OpenSSL-lek, maar het overigens wel zeer voortvarend aangepakt toen het eenmaal ontdekt was. Niet dat alle systeembeheerders vervolgens snel actie hebben genomen, ook bij gebruik van open source moet je als beheerder van een systeem er met je neus bovenop blijven zitten. Doe je dat niet dan vangt het gebruik van open source software dat echt niet gratis voor je op.
Dat gezegd hebbende denk ik dat Linux-distributies inderdaad het leven makkelijker maken. De kracht zit in het feit dat een distributie een goed op elkaar afgestemde verzameling software is die via één upgrade-mechanisme wordt bijgewerkt. Eén handeling (al dan niet automatisch gestart) en je systeem is up-to-date. Debian heeft ruim 23000 packages (virtuele niet meegeteld), en daar zijn zaken als office-pakketen en een ERP-pakket bij inbegrepen. Het zal echt niet altijd alle benodigde software dekken, maar je komt een indrukwekkend eind. Het zou mooi zijn als er in de Windows-wereld vergelijkbare distributies zouden bestaan waarin software van de meest uiteenlopende leveranciers soepel worden samengevoegd, afhankelijkheden automatisch bevredigd worden en upgrades niet per product op een eigen manier verwerkt moeten worden. Maar met software die niet zomaar verder verspreid mag worden gaat dat niet zo makkelijk. Daar heeft open source wat mij betreft een voorsprong.
1. Microsoft
2. Adobe
3. Sun
4. ?
5. ?
De hele top 30 is dus terug te brengen naar 3 leverancies.
Waarschijnlijk omdat dit de bedrijven zijn die 90% van de software leveren die op computers van de meeste gebruikers staan?
Ben zelf een linux (thuis) gebruiker. Maar dat Linux software nou veiliger is daar ben ik het niet mee eens. Als je kijkt wat er iedere week aan software updates beschikbaar is voor mijn Ubuntu desktop en mijn Debian server. De focus op lekken licht gewoon meer op MS-systemen omdat die meer beschikbaar zijn om te misbruiken.
Wanneer Linux net zo veel gebruikt zou worden als Windows dan zouden hier bijvoorbeeld ook veel meer virussen voor verschijnen.
1. Microsoft
2. Adobe
3. Sun
4. ?
5. ?
De hele top 30 is dus terug te brengen naar 3 leverancies.
Waarschijnlijk omdat dit de bedrijven zijn die 90% van de software leveren die op computers van de meeste gebruikers staan?
Tjonge, denk je?????
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
