MITRE publiceert nieuwe Top 25 van gevaarlijkste kwetsbaarheden
Cross-site scripting is de gevaarlijkste kwetsbaarheid in software, zo stelt de MITRE Corporation in een nieuwe Top 25 van "Most Dangerous Software Weaknesses". MITRE is de organisatie achter het Common Vulnerabilities and Exposures (CVE) systeem om kwetsbaarheden te identificeren.
De organisatie stelt jaarlijks een Top 25 vast van gevaarlijke kwetsbaarheden die veel in software voorkomen, eenvoudig zijn te vinden en misbruiken, en aanvallers de mogelijkheid geven om systemen volledig over te nemen, data te stelen of een denial of service uit te voeren. Volgens MITRE biedt de Top 25 projectmanagers, beveiligingsonderzoekers en onderwijzers inzicht in de gevaarlijkste en meest actuele kwetsbaarheden van dit moment.
De Top 25 is gebaseerd op zo'n 27.000 kwetsbaarheden die in 2018 en 2019 werden gevonden. Vervolgens werd er een scoreformule gebruikt om de ranking van elke kwetsbaarheid te bepalen. Deze formule kijkt hoe vaak de betreffende kwetsbaarheid voorkomt en de beoogde impact wanneer die wordt misbruikt.
Ten opzichte van de Top 25 van vorig jaar zijn er verschillende veranderingen doorgevoerd. In plaats van meer aandacht voor abstracte klassen van kwetsbaarheden is er meer ingezoomd op specifieke kwetsbaarheden. "Deze verandering zal gebruikers die de huidige bedreigingen voor systemen willen begrijpen erg veel helpen", aldus MITRE.
Zo stond vorig jaar "Improper Restriction of Operations within the Bounds of a Memory Buffer" nog op de eerste plek. Deze klasse van kwetsbaarheden is in de nieuwe Top 25 op plek vijf terug te vinden, terwijl cross-site scripting op de eerste plek staat. Ook specifieke geheugenkwetsbaarheden zoals Out-of-bounds Write en Out-of-bounds Read hebben een hogere klassering gekregen.
Ik zie geen enkele effort om dit soort issues de wereld uit te helpen. Er zijn bedrijfstakken die problemen voortvarender aanpakken en zorgen dat ze voor altijd wegblijven (bv luchtvaart). IT is steeds meer een remmende factor aan het worden voor de economie, kijk bv ook naar de issues met automatisering bij veel bedrijven.
Maar goed het zorgt voor een goedbelegde boterham ;-)
Ik zie geen enkele effort om dit soort issues de wereld uit te helpen. Er zijn bedrijfstakken die problemen voortvarender aanpakken en zorgen dat ze voor altijd wegblijven (bv luchtvaart). IT is steeds meer een remmende factor aan het worden voor de economie, kijk bv ook naar de issues met automatisering bij veel bedrijven.
Maar goed het zorgt voor een goedbelegde boterham ;-)
Zolang het allemaal niks mag kosten kan er ook geen tijd aan fatsoenlijke code worden gespendeerd en blijven we met dit probleem zitten. Auto's worden tenslotte ook niet steeds goedkoper; integendeel. Het ding is meer dat wanneer er iets met een auto fout gaat waardoor dodelijke ongelukken gebeuren dan snapt iedereen gelijk dat dit niet kan. Bij software.. ach, de tijd zal uitwijzen wie wanneer welk probleem ervaart; er zal zo 1-2-3 niet iemand aan dood gaan.
Dus.. trek de zak met geld (redelijkerwijs) verder open en zorg voor gekwalificeerde en gemotiveerde developers, en dan denk ik dat het een stuk beter gaat. Als tenminste dat extra geld niet ergens aan een management-stok blijft hangen. Maar om eerlijk te zijn denk ik dat we allemaal vinden dat het nog goedkoper moet kunnen, zodat er nog minder tijd aan kan worden gespendeerd waardoor de resultaten in de toekomst nog slechter worden.
Andere talen, en ook de talen die nu hip zijn, hebben weer hun eigen problemen en tekortkomingen. (Zoek maar eens op "rust security vulnerability".) C is een krachtige taal, gaat al een tijdje mee en heeft zich bewezen -- en is precies daarom voor bepaalde toepassingen de beste keuze. En zoals altijd, "with great power comes great responsibility". In iedere taal kun je de meest verschrikkelijke kwetsbaarheden creëren als je niet weet wat je doet.
Nee, er zijn nog te veel prutsende programmeurs. Amateurs?
Kijk naar XSS-DOM kwetsbaarheden, sinks en sources.
luntrus
Aan degene boven me die zegt dat C voor sommige toepassingen "de beste keuze is" ... klopt, voor device drivers en kernels enzo ... er is geen enkele reden om C te gebruiken voor huis tuin en keuken applicaties.
Andere talen, en ook de talen die nu hip zijn, hebben weer hun eigen problemen en tekortkomingen. (Zoek maar eens op "rust security vulnerability".) C is een krachtige taal, gaat al een tijdje mee en heeft zich bewezen -- en is precies daarom voor bepaalde toepassingen de beste keuze. En zoals altijd, "with great power comes great responsibility". In iedere taal kun je de meest verschrikkelijke kwetsbaarheden creëren als je niet weet wat je doet.
Om eerlijk te zijn ben ik ook helemaal niet een voorstander van rust. Die taal lijkt simpelweg te veel op C++. Als ze die taal meer op LISP (of ahum Go) hadden laten lijken (en daarmee bedoel ik simpel, geen fratsen en compact), maar dat hebben ze dus niet gedaan en alles lijkt erop dat ze C++ over willen doen. Maar C is toch echt wel van een andere orde en lang niet alle C programmeurs lijken te beseffen hoe "krachtig" de taal is en dus verzanden ze in pointer arithmetic en dat soort grappen. Vandaar ook dat zoveel bugs regelrecht afkomstig zijn uit C.
Untrusted code blijft een gevaar en dient op code niveau gemitigeerd en niet via lagen toegevoegde security tussen bijvoorbeeld browser en server. Waarom vindt men nog zoveel af te voeren jQuery bibliotheken met Erlend Oftedal's Retire.js?
Soms lijkt het wel alsof bepaalde belangen geen veiliger code tolereren.
luntrus
Afwijkingen daarop worden steeds minder getolereerd.
Zie de macht van MSM, Google, sociale media, overheden.
Daarom beweegt zich alles in ene richting en met de onvermijdelijke kwetsbaarheden dus.
Een gegeven vanaf de tijden van Babylon en daarvoor wellicht.
J.O.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
