Expert: aantal lekken zegt niets over veiligheid software
Het aantal kwetsbaarheden dat in een programma of besturingssysteem wordt gevonden zegt niets over de veiligheid van de betreffende software, zo stelt it-blogger Graham Cluley. Aanleiding is het jaaroverzicht van de website CVE Details, waarin staat vermeld dat Mac OS X de software met de meeste kwetsbaarheden in 2015 was. Ook was Apple het bedrijf dat met de meeste beveiligingslekken te maken kreeg.
"Het fundamentele probleem met dit soort overzichten, en de nieuwsberichten die hierop volgen, is de aanname dat meer beveiligingsupdates gelijk staat aan een grotere kwetsbaarheid, iets wat niet zo is." Cluley schrijft dat het aantal kwetsbaarheden niets zegt over de ernst van de lekken of dat ze ook daadwerkelijk zijn aangevallen. "Een enkel kritiek beveiligingslek in de ene software kan veel belangrijker zijn dan honderd minder belangrijke lekken in een ander product." Een overzicht van het aantal kwetsbaarheden is dan ook geen goede manier om de minst veilige software of softwareleverancier te bepalen, zo stelt de blogger.
Reacties (12)
Gezien zijn bloghistorie https://www.intego.com/mac-security-blog/author/graham-cluley/ lijkt hij me toch een voorkeur te hebben voor Apple's producten om over te schrijven.
ik wil bijna 'doh' roepen..
veiligheid: aantal lekken x severity van de lekken x hoe makkelijk het is om te exploiten
veiligheid: aantal lekken x severity van de lekken x hoe makkelijk het is om te exploiten
Door Anoniem: Gezien zijn bloghistorie https://www.intego.com/mac-security-blog/author/graham-cluley/ lijkt hij me toch een voorkeur te hebben voor Apple's producten om over te schrijven.
Natuurlijk schrijft hij voor Intego alleen over de Mac.Dat is het enige platform waar Intego wat mee doet.
Maar Graham schrijft ook - buiten zijn eigen blog https://www.grahamcluley.com - voor veel andere blogs, oa:
ESET: http://www.welivesecurity.com/author/gcluley/
HEAT: https://heatsoftware.com/security-blog/author/graham-cluley/
Sophops: https://nakedsecurity.sophos.com/author/graham-cluley/
Door Anoniem: ik wil bijna 'doh' roepen..
veiligheid: aantal lekken x severity van de lekken x hoe makkelijk het is om te exploiten
x aantal installaties.veiligheid: aantal lekken x severity van de lekken x hoe makkelijk het is om te exploiten
Peter
06-01-2016, 11:53 door
dutchfish
Door Anoniem: ik wil bijna 'doh' roepen..
veiligheid: aantal lekken x severity van de lekken x hoe makkelijk het is om te exploiten
veiligheid: aantal lekken x severity van de lekken x hoe makkelijk het is om te exploiten
Ook dat klopt niet helemaal. ik zou hier aan toe willen voegen:
Slechts één onontdekte zeroday voor een periode van 3 jaar is voldoende om je 'security' aan gort te schieten. In 'security land ' telt niet kwantiteit maar kwaliteit. Statistieken geven meestal een 'totaal' verkeerd beeld. In zoverre kan ik het eens zijn met het stukje, echter niet over de vervolg conclusies.
Zijn statement klopt ook, maar meer om andere redenen. Het feit dat applicatie x meer kwetsbaarheden heeft dan applicatie y betekent nog niet dat applicatie x onveiliger is. En dat heeft echter niks te maken met de ernst van de kwetsbaarheden. Het feit dat je niet weet of er meer kwetsbaarheden in applicatie zijn of niet, creëert de situatie waarin je dat dus niet kan vergelijken op die manier. Applicatie y kan morgen immers de grootste kwetsbaarheid allen tijden bevatten. En die kwetsbaarheid is er vandaag dan ook al, alleen weten we het niet.
Wel kan gesteld worden dat iPhones die niet op de laatste versie van iOS draaien (9.2) in potentie kwetsbaarder zijn dan Android toestellen die niet op de laatste Android versie draaien. Om dat te beoordelen zul je wel inhoudelijk naar de kwetsbaarheden moeten kijken. Het risicoprofiel lijkt in dit geval wel negatiever uit te vallen voor de iPhone, dan voor de Android. Ware het niet dat er een stuk minder iPhones niet op de laatste iOS zitten, dan Androids die niet op de laatste Android zitten.
Kortom: aantal kwetsbaarheden zegt niets over de veiligheid van software. Niet gepatchte kwetsbaarheden zegt wel iets over de veiligheid van software. De mate waarin de kwetsbaarheid voorkomt is daarmee ook een factor. Namelijk hoe meer potentiële slachtoffers zijn, des te groter de kans dat er exploits voor kwetsbaarheden komen. En als er dan vele niet gepatchte kwetsbaarheden zijn, dan zou je zo maar eens slachtoffer kunnen worden.
Wel kan gesteld worden dat iPhones die niet op de laatste versie van iOS draaien (9.2) in potentie kwetsbaarder zijn dan Android toestellen die niet op de laatste Android versie draaien. Om dat te beoordelen zul je wel inhoudelijk naar de kwetsbaarheden moeten kijken. Het risicoprofiel lijkt in dit geval wel negatiever uit te vallen voor de iPhone, dan voor de Android. Ware het niet dat er een stuk minder iPhones niet op de laatste iOS zitten, dan Androids die niet op de laatste Android zitten.
Kortom: aantal kwetsbaarheden zegt niets over de veiligheid van software. Niet gepatchte kwetsbaarheden zegt wel iets over de veiligheid van software. De mate waarin de kwetsbaarheid voorkomt is daarmee ook een factor. Namelijk hoe meer potentiële slachtoffers zijn, des te groter de kans dat er exploits voor kwetsbaarheden komen. En als er dan vele niet gepatchte kwetsbaarheden zijn, dan zou je zo maar eens slachtoffer kunnen worden.
06-01-2016, 12:54 door
_R0N_
Het aantal gevonden lekken leidt zelfs tot veiligere software..
Een gapend gat wat niet gevonden wordt is veel gevaarlijker.
Een gapend gat wat niet gevonden wordt is veel gevaarlijker.
Droog cveeeetjes strepen
Cluley heeft een punt dat hier al impliciet gemaakt is.
Onder
https://www.security.nl/posting/456667/Expert%3A+aantal+lekken+zegt+niets+over+veiligheid+software
Plaatste ik deze reactie
In plaats van een andere uitgebreide reactie om het luchtig en humoristisch te houden.
Waar het precies aan ligt weet ik niet maar gelaagde humor wordt op dit forum slecht opgepikt, alles moet worden uitgelegd.
Hierbij dan, alsnog de niet geplaatste reactie, door een OS X gebruiker die een algemeen punt maakt dat (in variatie weliswaar) voor alle leveranciers uit dat CVE overzicht kan gelden.
Lijstjes
Lijstjes, grafiekjes en getalletjes doen het altijd goed.
Het liefst zonder context natuurlijk want anders wordt het te ingewikkeld.
Nee harde feiten, tellen en strepen.
Neem Apple bijvoorbeeld
Heeft er iemand de moeite genomen ..
1) door te klikken naar
http://www.cvedetails.com/vulnerability-list/vendor_id-49/year-2015/Apple.html
2) pagina 1 tot en met pagina 14 te inventariseren om welke soorten kwetsbaarheden het gaat?
Want dat is het hem een beetje met het algemene filter "fabrikant".
De ene fabrikant is de andere niet.
Apple levert bijvoorbeeld verschillende soorten hardware producten met bijbehorende verschillende soorten software producten.
3) Over hoeveel soorten hardware producten zijn de bijbehorende software lekken verspreid?
Operating system Mac OS X is geen iOs bijvoorbeeld.
4) Hoeveel lekken van het totaal zijn er door Apple zelf gevonden en gepatched?
5) Hoeveel lekken zijn er eigenlijk überhaupt misbruikt?
Terug naar Flash
Hoeveel lekken in Flash zijn er het afgelopen jaar eigenlijk voor Mac OS X (iOS kent geen flash) misbruikt?
Sla er maar op na, ..
Steeds ging misbruik van lekken in Flash gepaard met bijvoorbeeld de Angler Exploit kit.
Voor wie is die kit bedoeld?
Werkt niet het hè op Mac Os X.
Staar je je blind op de lekken van een ander die niet misbruikt worden terwijl onderwijl jouw systeem op slot wordt gezet.
Bitcointjes paraat om eindelijk uit te geven?
Apple is een voorbeeld, want (!) een zelfde soort verhaaltje maar dan heel anders is ook voor andere leveranciers te houden.
Algemeen kritisch punt is dus : met alles op één grote hoop gooien valt misschien sappig nieuws te maken..
..maar je hebt er als lezer geen ene mallemoer aan.
Dat reken ik security.nl op zich niet direct aan, al heeft zij natuurlijk in haar selectie keuze en bij haar samenvattingen wel de kritische mogelijkheid om dit soort terugkerende domme cve-vink lijstjes niet te reproduceren of op zijn minst dan van ('nog meer') kritisch commentaar te voorzien (om er toch nog iets eigens aan te geven en de eigen Nederlandse doelgroep van kwaliteit te blijven voorzien in 2016).
Al zou je de expertise van Cluley geheel in twijfel trekken en hem voorgoed verbieden (heel graag) nog van allerlei Clickbait-'bla' over OS X op het voor de helft met tenenkrommende 'Inte-Bla'-forum van waar de achterlijke FUD-idi van een J.L. ook scriberend actief is, dan nog heeft hij hier gewoon een goed punt : Dom gegenereerde lijstjes op het web pleuren met gemakzuchtige niet ter zake doende conclusies is dom.
De meerderheid van de naschrijvende pers gedraagt zich ontzettend dom.
Zo komt het dat we voortdurend worden bestookt met domme berichten die ergens hun domme oorsprong vinden als bijvoorbeeld marketing instrumentje in de vorm van gratis reclame van AV bedrijf Y of X.
Maar ik snap het wel, dergelijke lijsten helemaal na en uitpluizen om er met complexe deelvergelijkingen die wel realistisch zijn echt zinnige conclusies aan te verbinden is echt werken en kost tijd.
Tijd is geld en dat heeft niet elke redactie.
Dan heb je op zich altijd nog de vrije keus niet mee te doen aan dat stupide naschrijf circus.
Hoe security.nl zich daarin verhoudt laat ik aan een ieder zelf te beoordelen.
Gezien de reacties onder het eerdere artikel (of het gebrek daaraan) voldoet security.nl ruim voldoende aan het niveau van de lezersgroep waarbij ik het volkomen gebrek aan enige kennis van Mac OS X en andere APple producten bij de meerderheid van reagerende lezers maar nog even niet heb meegenomen om het flatteus te houden)[/i].
De titel zou ik iets aanpassen : aantal gevonden lekken zegt niet alles over veiligheid software
En uiteindelijk is het de dagelijkse praktijk die telt en niet de theoretische discussie eromheen.
Mac /Apple gebruikers hebben structureel nagenoeg geen last van malware en attacks, zelfs niet met ongepatchte systemen, dat is de realiteit. Wat je daar van vind is iets anders maar het blijft een realiteit die steeds meer gebruikers aantrekt; gewoon een device kunnen aanzetten zonder dat je bang hoeft te zijn dat ineens de boel op slot zit.
Algemene stelregel : als je nou niets weet en ook niets zinnigs te melden hebt over een product of besturingssysteem waar je niets van weet of helemaal geen ervaring mee hebt, mag je best ook gewoon een topic overslaan en een keer geen lulkoek produceren, daar wordt het niveau op deze site dan niet slechter van en de sfeer waarschijnlijk stukken beter.
Winst dus voor iedereen, erbij vanuitgaande dat je erop uit bent op deze site iets positiefs te doen.
Zou het lukken...?
Niet omdat ik me erger (do I?) maar dan toch op zijn minst in naam van meer gewenste kwaliteit.
;)
P,s,
en hou een keer op met glazen bollen voorspellingen als "maar het gaat veranderen voor OS X". Als je die glazen bol bezit doe er dan op andere manier je voordeel mee, veel geld verdienen of een oorlog voorkomen, veel nuttiger want die andere voorspellingen komen al 15 jaar eigenlijk niet uit.
Cluley heeft een punt dat hier al impliciet gemaakt is.
Onder
https://www.security.nl/posting/456667/Expert%3A+aantal+lekken+zegt+niets+over+veiligheid+software
Plaatste ik deze reactie
Handstandje maken?
Ik mis een referentie lijstje bij het droog cveeeetjes strepen.
Het lijstje daadwerkelijk in het echhie misbruikte kwetsbaarheden per product (ipv fabrikant).
Geeft vast een 'net ff ander score beeld'
:p
Ik mis een referentie lijstje bij het droog cveeeetjes strepen.
Het lijstje daadwerkelijk in het echhie misbruikte kwetsbaarheden per product (ipv fabrikant).
Geeft vast een 'net ff ander score beeld'
:p
In plaats van een andere uitgebreide reactie om het luchtig en humoristisch te houden.
Waar het precies aan ligt weet ik niet maar gelaagde humor wordt op dit forum slecht opgepikt, alles moet worden uitgelegd.
Hierbij dan, alsnog de niet geplaatste reactie, door een OS X gebruiker die een algemeen punt maakt dat (in variatie weliswaar) voor alle leveranciers uit dat CVE overzicht kan gelden.
Fabrikanten
Via CVE Details kan ook een overzicht van softwareleveranciers met de meeste kwetsbaarheden opgevraagd. Dan wordt de lijst van 2015 door Apple aangevoerd. Apple kreeg vorig jaar 654 lekken toegekend.
Via CVE Details kan ook een overzicht van softwareleveranciers met de meeste kwetsbaarheden opgevraagd. Dan wordt de lijst van 2015 door Apple aangevoerd. Apple kreeg vorig jaar 654 lekken toegekend.
Lijstjes
Lijstjes, grafiekjes en getalletjes doen het altijd goed.
Het liefst zonder context natuurlijk want anders wordt het te ingewikkeld.
Nee harde feiten, tellen en strepen.
Neem Apple bijvoorbeeld
Heeft er iemand de moeite genomen ..
1) door te klikken naar
http://www.cvedetails.com/vulnerability-list/vendor_id-49/year-2015/Apple.html
2) pagina 1 tot en met pagina 14 te inventariseren om welke soorten kwetsbaarheden het gaat?
Want dat is het hem een beetje met het algemene filter "fabrikant".
De ene fabrikant is de andere niet.
Apple levert bijvoorbeeld verschillende soorten hardware producten met bijbehorende verschillende soorten software producten.
3) Over hoeveel soorten hardware producten zijn de bijbehorende software lekken verspreid?
Operating system Mac OS X is geen iOs bijvoorbeeld.
4) Hoeveel lekken van het totaal zijn er door Apple zelf gevonden en gepatched?
5) Hoeveel lekken zijn er eigenlijk überhaupt misbruikt?
Terug naar Flash
Hoeveel lekken in Flash zijn er het afgelopen jaar eigenlijk voor Mac OS X (iOS kent geen flash) misbruikt?
Sla er maar op na, ..
Steeds ging misbruik van lekken in Flash gepaard met bijvoorbeeld de Angler Exploit kit.
Voor wie is die kit bedoeld?
Werkt niet het hè op Mac Os X.
Staar je je blind op de lekken van een ander die niet misbruikt worden terwijl onderwijl jouw systeem op slot wordt gezet.
Bitcointjes paraat om eindelijk uit te geven?
Apple is een voorbeeld, want (!) een zelfde soort verhaaltje maar dan heel anders is ook voor andere leveranciers te houden.
Algemeen kritisch punt is dus : met alles op één grote hoop gooien valt misschien sappig nieuws te maken..
..maar je hebt er als lezer geen ene mallemoer aan.
Dat reken ik security.nl op zich niet direct aan, al heeft zij natuurlijk in haar selectie keuze en bij haar samenvattingen wel de kritische mogelijkheid om dit soort terugkerende domme cve-vink lijstjes niet te reproduceren of op zijn minst dan van ('nog meer') kritisch commentaar te voorzien (om er toch nog iets eigens aan te geven en de eigen Nederlandse doelgroep van kwaliteit te blijven voorzien in 2016).
Al zou je de expertise van Cluley geheel in twijfel trekken en hem voorgoed verbieden (heel graag) nog van allerlei Clickbait-'bla' over OS X op het voor de helft met tenenkrommende 'Inte-Bla'-forum van waar de achterlijke FUD-idi van een J.L. ook scriberend actief is, dan nog heeft hij hier gewoon een goed punt : Dom gegenereerde lijstjes op het web pleuren met gemakzuchtige niet ter zake doende conclusies is dom.
De meerderheid van de naschrijvende pers gedraagt zich ontzettend dom.
Zo komt het dat we voortdurend worden bestookt met domme berichten die ergens hun domme oorsprong vinden als bijvoorbeeld marketing instrumentje in de vorm van gratis reclame van AV bedrijf Y of X.
Maar ik snap het wel, dergelijke lijsten helemaal na en uitpluizen om er met complexe deelvergelijkingen die wel realistisch zijn echt zinnige conclusies aan te verbinden is echt werken en kost tijd.
Tijd is geld en dat heeft niet elke redactie.
Dan heb je op zich altijd nog de vrije keus niet mee te doen aan dat stupide naschrijf circus.
Hoe security.nl zich daarin verhoudt laat ik aan een ieder zelf te beoordelen.
Gezien de reacties onder het eerdere artikel (of het gebrek daaraan) voldoet security.nl ruim voldoende aan het niveau van de lezersgroep waarbij ik het volkomen gebrek aan enige kennis van Mac OS X en andere APple producten bij de meerderheid van reagerende lezers maar nog even niet heb meegenomen om het flatteus te houden)[/i].
De titel zou ik iets aanpassen : aantal gevonden lekken zegt niet alles over veiligheid software
En uiteindelijk is het de dagelijkse praktijk die telt en niet de theoretische discussie eromheen.
Mac /Apple gebruikers hebben structureel nagenoeg geen last van malware en attacks, zelfs niet met ongepatchte systemen, dat is de realiteit. Wat je daar van vind is iets anders maar het blijft een realiteit die steeds meer gebruikers aantrekt; gewoon een device kunnen aanzetten zonder dat je bang hoeft te zijn dat ineens de boel op slot zit.
Algemene stelregel : als je nou niets weet en ook niets zinnigs te melden hebt over een product of besturingssysteem waar je niets van weet of helemaal geen ervaring mee hebt, mag je best ook gewoon een topic overslaan en een keer geen lulkoek produceren, daar wordt het niveau op deze site dan niet slechter van en de sfeer waarschijnlijk stukken beter.
Winst dus voor iedereen, erbij vanuitgaande dat je erop uit bent op deze site iets positiefs te doen.
Zou het lukken...?
Niet omdat ik me erger (do I?) maar dan toch op zijn minst in naam van meer gewenste kwaliteit.
;)
P,s,
en hou een keer op met glazen bollen voorspellingen als "maar het gaat veranderen voor OS X". Als je die glazen bol bezit doe er dan op andere manier je voordeel mee, veel geld verdienen of een oorlog voorkomen, veel nuttiger want die andere voorspellingen komen al 15 jaar eigenlijk niet uit.
06-01-2016, 17:25 door
karma4
Eerst was het Apple kent geen 4ussen/malware.
Blijkt dat niet waar te zijn.
Toen was het dat het aantal fouten veel minder is.
Blijkt dat ook niet waar te zijn.
Ken je de mop over de paashaas kerstman en de duivel....
Het aantal gevonden fouten wordt gezien als een maatstaf hoeveel er nog in zitten. Het is een aanname dat je die vind uit een onbekend aantal. Om echt een schatting te maken zou je een aantal bekende fouten moeten introduceren en dan kijken hoe snel die gevonden worden.
Op zich een slecht idee omdat je dan bewust b.v backdoors inbouwd.
Blijkt dat niet waar te zijn.
Toen was het dat het aantal fouten veel minder is.
Blijkt dat ook niet waar te zijn.
Ken je de mop over de paashaas kerstman en de duivel....
Het aantal gevonden fouten wordt gezien als een maatstaf hoeveel er nog in zitten. Het is een aanname dat je die vind uit een onbekend aantal. Om echt een schatting te maken zou je een aantal bekende fouten moeten introduceren en dan kijken hoe snel die gevonden worden.
Op zich een slecht idee omdat je dan bewust b.v backdoors inbouwd.
de duivel....
Advocaat spelen, van de duivel zo je wil, is een vak.
Een vak dat je duidelijk niet beheerst omdat je het overzicht niet hebt en ook nooit zult hebben.
Dat is geen mop maar een trieste waarheid waarvan de uitkomst niet uitstijgt boven dan die van blinde trollen.
Realiteit en waarheid zijn geen statische begrippen, behalve voor diegenen die buiten de realiteit leven in het eigen tijdloze universum van vastgeroeste perceptie.
Hebben we het nog niet over de kwalijke lange termijn effecten binnen de werkelijke maatschappij van diegenen die niet in staat zijn humor en nuances daarbinnen op waarde te schatten en te plaatsen binnen de tijdelijke context waarbinnen zij thuishoort.
"Hi,.. I'm a .." ?
Not a Windows operating system but an idiot sir, a true idiot.
Leuk appel de meeste lekken. Ken je nog de opmerking van appel een Apple krijgt geen virussen. Zoals je al aan het logo kan zie de appel is al rot voor je hem koopt.
Door Anoniem:
De mop bestaat, hij is gebruikt door https://www.facebook.com/Fons-Jansen-234072696632542/ de duivel....
Dat is geen mop maar een trieste waarheid waarvan de uitkomst niet uitstijgt boven dan die van blinde trollen.http://www.vagalume.com.br/fons-jansen/kinderen-aller-landen.html bekend van onder andere "lachend de kerk uit". Je hebt het nodige gemist om los te komen van vastgeroeste percepties (geloof!).
De humor met cabaret waren de sterkste kanten.
Je reactie komt vanuit je zelf en tekent je zelf wat je bent en hoe je je zelf noemt.
Dank je, er is nog het nodig te doen ik zal me nog niet gaan vervelen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
