image

Opstelten: geen reden voor dumpen IE

donderdag 4 oktober 2012, 14:44 door Redactie, 14 reacties

Het Nationaal Cyber Security Center (NCSC) heeft juist gehandeld door geen alternatieve browser te adviseren toen er een nieuw lek in Internet Explorer werd ontdekt. Dat laat minister Opstelten van Veiligheid en Justitie weten. De zero-day kwetsbaarheid werd voor gerichte aanvallen gebruikt. Aangezien er geen beveiligingsupdate was om het probleem te verhelpen, adviseerde de Duitse overheid om een alternatieve browser gebruiken. Een advies dat door de Consumentenbond werd overgenomen.

SP-Kamerlid Sharon Gesthuizen wilde van minister Opstelten weten waarom Nederlanders niet daadkrachtiger waren gewaarschuwd voor het lek in de browser, bijvoorbeeld om op een andere browser over te stappen.

Indruk
"Het NCSC doet regelmatig melding van kwetsbaarheden in de verschillende programma’s waarmee websites op internet bekeken kunnen worden (browsers). Ik wil u er hierbij op wijzen dat het NCSC in de periode van 29 augustus jl. tot 20 september jl. ook diverse adviezen over kwetsbaarheden in de 4 meest verspreide alternatieven voor Internet Explorer (Apple Safari, Google Chrome, Mozilla Firefox en Opera) heeft gepubliceerd", aldus Opstelten in zijn antwoord.

Het advies om over te stappen op een alternatieve browser zou volgens de minister onterecht de indruk van een volledig veilig alternatief wekken.

"Het NCSC heeft de afweging om een alternatieve browser te gebruiken bewust bij de individuele gebruiker en organisatie gelaten. Daarbij speelt mee dat het wisselen van browsers voor veel individuele gebruikers, maar zeker voor organisaties, niet eenvoudig is omdat interne programma’s vaak afhankelijk zijn van het type browser dat wordt gebruikt."

Actief
De vergelijking met lekken in andere browser gaat volgens sommige experts niet op, aangezien die lekken niet actief worden gebruikt om bij organisaties in te breken, terwijl dat in dit geval wel gebeurde. Het laatste lek in Firefox dat actief werd misbruikt en waarvoor nog geen update beschikbaar was, dateert uit 2010. In het geval van IE werden er de afgelopen 19 maanden 6 zero-days voor een periode van zeker 89 dagen actief misbruikt.

Reacties (14)
04-10-2012, 14:56 door Anoniem
Die Opstelten wordt steeds gekker. En die NCSC stelt dus ook niks voor met hun verkeerde adviezen.

~
Mystic
04-10-2012, 14:57 door Anoniem
Lijkt me een mooi moment om tot de conclusie te komen dat je nooit meer iets hoeft aan te trekken van wat het NCSC zegt. Je kan het beter gebruiken als voorzet om je eigen onderzoek te verrichten.
04-10-2012, 15:13 door SecOff
Bij het NCSC zijn politici de baas, en die zitten in de zak van de grote it bedrijven, verwacht daar dan ook geen eerlijk advies van als dat conflicteert met de belangen van de commerciële partijen.
04-10-2012, 15:15 door Anoniem
Door Anoniem: Die Opstelten wordt steeds gekker. En die NCSC stelt dus ook niks voor met hun verkeerde adviezen.

~
Mystic

Ik denk juist dat de tweede kamer steeds gekker wordt, door over de meest onzinnige onderwerpen vragen te stellen.
Onderwerpen die juist voor je eigen verantwoordelijkheid zijn.
04-10-2012, 16:08 door Anoniem
"De vergelijking met lekken in andere browser gaat volgens sommige experts niet op, aangezien die lekken niet actief worden gebruikt om bij organisaties in te breken, terwijl dat in dit geval wel gebeurde. Het laatste lek in Firefox dat actief werd misbruikt en waarvoor nog geen update beschikbaar was, dateert uit 2010."

Indien 0days op kleine schaal misbruikt worden voor gerichte aanvallen, dan duurt het vaak meer dan een jaar voordat dit misbruik wordt geconstateerd - als het incident al ooit gevonden wordt. Wat dat betreft is het erg de vraag of we wel weten hoeveel 0days in diverse browsers op dit moment misbruikt worden ?
04-10-2012, 16:51 door golem
Eigenlijk zegt hij dus dat duitsland het verkeerd heeft gedaan. :)
04-10-2012, 18:52 door Anoniem
Helemaal eens met Ivo, waarom zou je een andere browser installeren? IE doet het goed ja.
04-10-2012, 19:21 door Anoniem
Door Anoniem: Die Opstelten wordt steeds gekker. En die NCSC stelt dus ook niks voor met hun verkeerde adviezen.

~
Mystic
Opstelten is iemand die een vertrouwen in zijn ambtenaren heeft.
Helaas is het budget -ons dus- te weinig om daat enig vertrouwen in algemene zin aan te verbinden.

Thaddy
05-10-2012, 00:21 door Bitwiper
Door Redactie: Het Nationaal Cyber Security Center (NCSC) heeft juist gehandeld door geen alternatieve browser te adviseren toen er een nieuw lek in Internet Explorer werd ontdekt. Dat laat minister Opstelten van Veiligheid en Justitie weten. De zero-day kwetsbaarheid werd voor gerichte aanvallen gebruikt.
Aanvallen op zero-day kwetsbaarheden zijn inderdaad vaak gericht - totdat ze gepubliceerd worden, zoals bij deze kwetsbaarheid het geval was.

Vanaf dat moment kun je wachten op artikelen zoals http://www.security.nl/artikel/43225/1/Datingsite_besmet_bezoekers_via_IE-lek.html.
05-10-2012, 09:50 door Anoniem
wat een maloot!
welke internetexp ik gebruikt maak ik zelf wel UIT opzouten
of was het nou opstelten?
05-10-2012, 11:45 door Anoniem
Kunnen we elke uiting van Ivo niet gewoon direct onder het kopje 'kolder' archiveren ? Die man heeft gewoon 0 verstand van techniek en z'n integriteit komt niet verder dan z'n eigen portomonnee ...

PS: De vraag van de Tweede Kamer was weldegelijk gegrond n.a.v. de actie van Duitsland, als NL tot een beslissing komt die 180 graden tegenover de beslissing van Duitsland (NL meest belangrijke handelspartner !), dan mag daar best een kritische kanttekening en/of wat onderbouwing bij gevraagd worden; lijkt me juist zeer zorgvuldig & wenselijk.
06-10-2012, 17:51 door Anoniem
Firefox is de beste reden om IE te dumpen. Voor mij persoonlijk iig wel.
06-10-2012, 18:06 door [Account Verwijderd]
[Verwijderd]
08-10-2012, 09:30 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.