"Full-disclosure kan hackers niets schelen"
De discussie over Full-disclosure laaide door een actie van Google-onderzoeker Tavis Ormandy weer hoog op, maar volgens Dennis Fisher van ThreatPost.com kan dit echte aanvallers niets schelen. Ormandy publiceerde details over een ernstig beveiligingslek in Windows XP, omdat Microsoft het niet binnen twee maanden wilde patchen. Vervolgens ontstond er een heftige discussie tussen voor- en tegenstanders van Ormandy. "Iedereen heeft een mening, maar wat de laatste tijd steeds duidelijker wordt, is dat in het tijdperk van geraffineerde, zeer gerichte aanvallen, het niet meer uitmaakt", aldus Fisher.
Zelfs als elk lek op "verantwoorde" wijze wordt gemeld, zullen aanvallers nog steeds bedrijfsnetwerken en eindgebruikers weten te hacken. Een vastberaden aanvaller heeft geen zero-day lek en twee weken voordat een patch verschijnt nodig om binnen te dringen. "Alles wat hij nodig heeft is één zwakke plek." Het maakt daarbij niet uit of het een zes jaar oud lek in IE is, een werknemer die onvoorzichtig is met het gebruik van WiFi-hotspots of een verse kwetsbaarheid in een Oracle database.
Discussie
Volgens Fisher wordt het oude model, waarbij aanvallers wormen of andere exploits gebruiken om zoveel mogelijk machines te besmetten, voornamelijk ingezet voor zaken als drive-by downloads. Mensen worden op die manier nog steeds gehackt, maar de meeste bedrijven en overheidsinstanties moeten zich tegen gerichte, geduldige aanvallers beschermen. Aanvallers die de tijd en de middelen hebben om één exploit tegen een specifiek doelwit in te zetten.
"En het zijn niet de meest voor de hand liggende applicaties en besturingssystemen die het probleem zijn", aldus Fisher. Windows, Firefox en andere populaire applicaties hebben een automatische update functie. Er staat echter ook andere software op systemen, die vaak minder goed wordt gemonitord.
Aanvallers maakt het niet uit hoe ze uiteindelijk op het netwerk komen, wat ook de zwakte van het Full-disclosure debat duidelijk maakt. "Na 15 jaar of meer in dit debat verschillen intelligente mensen nog steeds over het aanpakken van beveiligingslekken. En terwijl de discussie voortduurt, kan het de aanvallers gewoon niets schelen", zegt Fisher.
Klopt, maar 99% van de 'hackers' gebruikt geen vulnerabilities die ze zelf hebben gevonden. Wat dat betreft vind ik de argumentatie niet heel erg sterk.
Klopt, maar 99% van de 'hackers' gebruikt geen vulnerabilities die ze zelf hebben gevonden. Wat dat betreft vind ik de argumentatie niet heel erg sterk.
Ik ben het helemaal met deze reactie eens.
Anders geformuleerd: de argumentatie klinkt als een zeer zwakke smoes.
Waarom nou de hacker een handje helpen en dan achteraf je in allerlei bochten wringen om betrouwbaar over te komen?
Klopt, maar 99% van de 'hackers' gebruikt geen vulnerabilities die ze zelf hebben gevonden. Wat dat betreft vind ik de argumentatie niet heel erg sterk.
Klopt, maar 99% van de 'hackers' gebruikt geen vulnerabilities die ze zelf hebben gevonden. Wat dat betreft vind ik de argumentatie niet heel erg sterk.
En dankzij die ene procent komen de vulnerabilty's niet aan het licht en blijft iedereen dus kwetsbaar en dat is toch niet wat je wil denk ik ?
Hackers doen btw geen kwaad het zijn crackers die kwaad doen, een hacker/cracker titel krijg je als ze zelf in staat bent vulnerability's te vinden. Het juist de scriptkiddies die jou beoogde 99% invullen.
Wat mij betreft ..... komt maar op met je Full disclosure, een beetje bekende shellcode wordt er toch wel uitgepikt door mijn IPS ;) ...... als je je zaakjes goed voor elkaar hebt hoef je negen van de tien keer niet bang te zijn voor full-disclosure.
Klopt, maar 99% van de 'hackers' gebruikt geen vulnerabilities die ze zelf hebben gevonden. Wat dat betreft vind ik de argumentatie niet heel erg sterk.
Klopt. Maar 99% van de machiines zis zo lek dat er geen nieuwe kwetsbaarheid openbaar gemaakt hoeft te worden om die machines over te nemen. Het is een druppel in een grote emmer met kwetsbaarheden. Maar moet je dan die ene druppel de schuld geven als de emmer overloopt?
Vastberaden aanvallers, die het op bepaalde bedrijven en personen hebben voorzien, pakken het veel slimmer aan. Die gebruiken gewoon social engineering. Dat is altijd nog gemakkelijker dan een kwetsbaarheid zien te achterhalen op de machine van die ene persoon.
Peter
Klopt, maar 99% van de 'hackers' gebruikt geen vulnerabilities die ze zelf hebben gevonden. Wat dat betreft vind ik de argumentatie niet heel erg sterk.
En die ene procent bestaat vooral uit targeted attacks. De gemiddelde internet gebruiker hoeft zich daar geen zorgen over te maken.
Klopt, maar 99% van de 'hackers' gebruikt geen vulnerabilities die ze zelf hebben gevonden. Wat dat betreft vind ik de argumentatie niet heel erg sterk.
En dankzij die ene procent komen de vulnerabilty's niet aan het licht en blijft iedereen dus kwetsbaar en dat is toch niet wat je wil denk ik ?
Geef mij maar gewoon alle details, dan kan ik zelf inschatten wat het risico is en wellicht kan ik dan ook wat maatregelen nemen om het risico verder te verkleinen.
Klopt, maar 99% van de 'hackers' gebruikt geen vulnerabilities die ze zelf hebben gevonden. Wat dat betreft vind ik de argumentatie niet heel erg sterk.
Klopt, mee eens.
de ene procent reprecent de programmers/bug spotters/hackers
de overige 99% bestaat uit gasten zoals in dit vorige artiekel:
http://www.security.nl/artikel/33614/1/Creating_and_encoding_%28to_bypass_AV%29_an_executable_with_Metasploit.html
Skids met Metasploit...
en juist daardoor krijgen de hackers een verkeerde naam.
Vijand type 2 gerichte hackers (de naam nog waardig), vallen gericht één netwerk/bedrijf/instelling/overheid aan:
Elke vijand kent zijn eigen sterktes en zwaktes en vereist zijn eigen tegenmaatregelen. De drempel zo hoog mogelijk maken is het enige wat telt en leren van je fouten.
en nog offtopic: Tavis Ormandy is klein kindje wat niet werd gewaardeerd en boos werd toen het zijn speelgoedje niet kreeg. Het speelgoed is anders, de reactie hetzelfde.
Het Orakel
Tuurlijk niet, DAAROM ZIJN HET OOK HACKERS..
Nee, ik doel eigenlijk meer op dat die ene procent wel de kennis heeft van bepaalde bugs. Wat dat betreft ben ik toch een groot voorstander van Full Disclosure. Dan is er tenminste een "level playingfield". Iedereen is bekend met de lekken en hoe ze werken. Mede dankzij Responsible Disclosure weten de "bad guys" wel dat er een lek is en moet ik vervolgens een tijd lang wachten. In de tussentijd zijn je systemen wel lek en loop je dus risico. En dat risico loop je dan ook nog eens zonder dat je het weet.
Geef mij maar gewoon alle details, dan kan ik zelf inschatten wat het risico is en wellicht kan ik dan ook wat maatregelen nemen om het risico verder te verkleinen.
Full disclosure wordt voornamelijk gebruikt door 'security consultants' die graag in de media zijn; het helpt hun carriere als mensen weten dat ze exploits kunnen schrijven en beveiligingslekken kunnen vinden. Security consultants' die claimen dat ze 'wapens' releasen uit naam van veiligheid zijn niet helemaal eerlijk. Het is natuurlijk absurd om te beweren dat door het verstekken van wapens aan iedereen internet veiliger zou worden. Ik heb ook niet liever dat de hele wereld kernwapens heeft in plaats van een selecte groep.
Hoe zouden de "bad guys" overigens al van het lek weten bij reponsible disclosure? Het idee hier achter is dat je pas een advisory uitbrengt als er al een patch is en dat je geen weaponized exploits op internet zet. Als de bad guys dit al wisten betekent het, dat ze al op de hoogte waren van dat lek voordat degene die het rapporteerde aan het bedrijf het al wist. In dit geval doet de manier van disclosure niet meer veel af aan het feit dat mensen de bug al wisten maar niet rapporteerde.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
