Is er al onderzoek gedaan naar, en een uitslag bekend van, waarom in 2019, met name overheden, lekken in VPN-serversoftware niet hadden gepatcht, terwijl er allang updates beschikbaar waren? (zie o.a. https://www.security.nl/posting/643499/Deel+ministerie+J%26V+maandenlang+kwetsbaar+door+Pulse+Secure-lek).

En waarom bizarre vragen stellen, zoals Alsof cybercriminelen 90 dagen wachten met het exploiten van kwetsbaarheden nadat ze deze hebben ontdekt en natuurlijk niet aan de softwaremaker hebben gemeld.

De volledige vraag luidt als volgt:
(bold door mij)

Dat klinkt al heel wat minder bizar.

"Lek" is m.i. veel te vaag.

Of, wanneer en op welke wijze een ICT kwetsbaarheid of een andere situatie die ICT risico's oplevert, en voor welke partij(en) precies, gemeld mag/moet worden, is veel te afhankelijk van de situatie om daar een standaard termijn aan te knopen. Immers, zodra iemand zo'n kwetsbaarheid en/of risico ontdekt, is er sprake van security by obscurity.

Heel vaak zijn fixes voor kwetsbaarheden helemaal niet ingewikkeld, en zadelen leveranciers gebruikers op met onnodige risico's uit -eigen- economische overwegingen. Lees de timelines maar eens van openbaringen op de Full Disclosure maillijst; de meesten zijn om te janken qua tijdsduur en communicatie, of worden niet als kwetsbaarheid beschouwd door de leverancier.

Had ik 90 dagen moeten wachten voordat ik https://www.security.nl/posting/646927/IBM+Aspera+Connect+security schreef? Waarbij een leverancier willens en wetens (https://www.ibm.com/support/pages/security-bulletin-denial-service-vulnerability-affecting-aspera-connect-37-or-38), vandaag precies 90 dagen later, software beschikbaar blijft stellen met daarin een (ingetrokken) https certificaat voor local.connectme.us met bijbehorende private key?

Moet ik het feit dat Chrome en Safari de gebruiker niet waarschuwen (en Firefox mogelijk, maar niet zeker) dat bovengenoemd certificaat is ingetrokken, eerst aan Google, Safari en Mozilla melden en dan 90 dagen wachten voordat ik dit schrijf?

had 10 jaar eerder ook echt al wel urgent geweest, maar beter laat dan nooit.
Er zit alleen vast wel iets aan te komen waarvoor Citrix alsnog als ongevaarlijk en niet-kwetsbaar moet worden bestempeld waarbij er enkel beperkt tijd en ruimte is om uitgebreid en gefundeerd bij de bevindingen en ervaringen stil te staan.

Die 90 dagen lijken me vooral bedoeld voor situaties waar ontdekken van het lek niet triviaal en niet te verwachten is.


Je beschrijft de rationale achter de patch Tuesday.


Gedachten over de redenen voor dergelijke misstanden zijn eigenlijk niet meer dan speculatie. Dus misschien toch beter wachten en de verantwoordelijke partijen blijven spammen.

Juist de echte antwoorden krijgen we nooit.
Geen echte Full Disclosure of nog meer disclosure naar de cybercriminelen kant dan t.b.v. de beveiliging. Relatief gezien dan.
Men wil liever door blijven rommelen.
#sockpuppet

Dat krijg je als je als melder je eigen standaards stelt voor wat er een kwetsbaarheid is en wat de leverancier naar jouw
oordeel moet doen om het op te lossen. Dan ga je teleurgesteld worden, maar dat roep je dan wel over jezelf af.

Wat doe jij als je buurman op zondag avond aanbelt en zegt "ik vind het een troep in uw tuin en ik vind dat u dat moet
opruimen en als het morgenavond niet OK is ga ik er mee rond dat u een slechte buurman bent en ga ik tegen de
gemeente vertellen dat uw troep in de tuin een risico vormt van brand".

Dan ga je ook niet enthousiast je laarzen aantrekken, een dag vrij nemen, en de rotzooi opruimen.
Maar dit is wel de manier waarop "vulnerabilities" gemeld worden. Vaak is het gezever (zie bijv "kr00k") en is het in
het proces van de leverancier helemaal niet zo simpel om dat even op te lossen (bijvoorbeeld omdat er heel veel
versies in omloop zijn, dat zag je ook bij dat Citrix lek).
De fabrikant dan aan je zelfgedefinieerde standaards houden (waarvan geen sprake is in de overeenkomst tussen
leverancier en klant) gaat dan niet echt werken.

Maar moeten we dan niet in de eerste plaats naar onszelf wijzen (de analogie met eigen tuin opruimen is wel een mooi voorbeeld, behalve "manen", een briefje en een bezoekje van een door de gemeente aangestelde omgevingsmedewerker, die vervolgens ook niets mee doet (zijn opdracht), wordt er niet al te veel "opgezomerd" tegenwoordig, zeker door een deel van de bewoners). Het lijken de gezapige dagen van Piet Paaltjes wel, "security through obscurity met de trekschuit", vervolgens theetje drinken - overvaren - Overtoom.

Als je niet voldoende patcht, upgrade en update, eigen schuld dikke bult. Als je niet door hebt dat cybercriminelen en malcreanten altijd voor hetzelfde laaghangende fruit gaan, idem dito. Die systemen dus voor de op kieren staande rammelende "windows" (kon "windows" niet nalaten te vermelden dit keer, maar het kan ook iets anders zijn).

Dezelfde kwetsbare routes, zelfde uitvoerbare bestanden, zelfde obfuscatie methoden, zelfde dlls, zelfde plekken waar er gekeken moet worden naar injectie dumps....en toch ...... gaat het bij sommige lieden en ook bij sommige bedrijven steeds weer mis. En dan weer de terugkerende jeremiade & litanie over de gevolgen van toenemende ransomware en data breaches. Hoe zou dat nu toch komen?

Zo draaien we in hetzelfde kringetje rond als een hond achter de eigen staart.

In de tussentijd blijft de Word Press website developer verder kwetsbare PHP inkloppen, vervangt de onderhouder van het CMS de verlaten plug-in code niet, en stelt de settings verkeerd in. De hoster laat het ook nog afweten waar het header security e.d. betreft. Want ja voor dat geld, he... en we moeten ook nog iets exorbitants uitkeren straks. Dus daar ga je dan,
en zo herhaalt zich alles weer. In het "voorkomen is beter dan genezen" land wordt weinig volgens dit motto gedaan.

Explosies van malware, met een vloedgolf van digitaal en andere virus als gevolg.

luntrus

Je hebt gelijk dat niet alle kwetsbaarheden even groot zijn, en melders zaken niet altijd goed begrijpen en/of overzien. Daar komt bij dat mensen allerlei redenen kunnen hebben om (in hun ogen) misstanden te melden.

Aan de andere kant worden we overspoeld met kwetsbare software en systemen, en hebben veel fabrikanten er geen of weinig geld voor over om fouten te herstellen, vooral als hun spulleboel functioneel voldoet. En is het dus in hun belang om zo lang mogelijk te wachten met het herstellen van fouten, waarbij zij er niet voor schromen om melders erop te wijzen geheimhouding te betrachten om "gebruikers niet in gevaar te brengen" (of zelfs met juridische stappen te dreigen). Gemakshalve "vergetende" dat gebruikers al in gevaar zijn zodra iemand zo'n kwetsbaarheid kan vinden, en het nog maar de vraag is of gebruikers niet beter af zouden zijn als zij onmiddellijk op de hoogte van de kwetsbaarheid gesteld zouden worden (en passende maatregelen kunnen nemen om zich te beschermen, eventueel door systemen tijdelijk uit te schakelen of door op software van een andere leverancier over te stappen).

Feit is dat Citrix, na te zijn gewezen op een ernstige kwetsbaarheid, niet meteen een patch heeft uitgebracht, maar een workaround publiceerde - die niet op alle versies van hun gateway-achtige producten bescherming bleek te bieden. Door die workaround te analyseren, wisten ook minder ethische mensen waar de kwetsbaarheid uit bestond en hebben dat gepubliceerd - ruim voordat Citrix definitieve patches uitbracht.

Op z'n zachtst gezegd vind ik het opmerkelijk dat veel software- (en hardware-) makers kennelijk nauwelijks of niet zelf naar kwetsbaarheden in hun producten zoeken - die derden vervolgens blijken te kunnen vinden (vaak zonder sources en met een simpel PCtje op de keukentafel). Als software/hardwaremakers beter hun best zouden doen op dit punt, zouden zij veel minder last en te vrezen (imagoschade) hebben van melders die hun agenda proberen te bepalen. Helaas doen zij dat niet en zien melders, die ICT security en privacy een warm hart toedragen, zich genoodzaakt om kwetsbaarheden te melden - via "responsible-" en/of "coordinated-" tot full-disclosure. Don't shoot the messenger: zij/hij is niet degene die de kwetsbaarheid geïmplementeerd heeft - die kwaadwillenden al eerder gevonden kunnen hebben en wellicht allang misbruiken.

Overheid....ze besteden meer tijd aan het onderzoeken achteraf dan aan preventie.


En zo is het altijd al geweest en ik spreek uit ervaring.

Want met het vingertje wijzen is een stuk makkelijker dan het beoordelen en vrijmaken van resources voor preventief werken.Laat staan dat het begrepen wordt.