Google: kwart ontdekte zerodays te voorkomen door beter patchen
Een kwart van alle ontdekte zerodaylekken in 2020 had voorkomen kunnen worden als de betreffende ontwikkelaar het onderliggende probleem beter had verholpen, zo claimt Google op basis van eigen onderzoek. Voor het onderzoek werd er gekeken naar 24 actief aangevallen zerodaylekken die vorig jaar werden ontdekt.
In zes gevallen bleek dat de zerodaylekken een variant waren van eerder verholpen kwetsbaarheden. De patches die de betreffende ontwikkelaars eerder hadden uitgerold bleken niet volledig waardoor het onderliggende probleem op een iets andere wijze nog steeds was te misbruiken.
De zes zerodaylekken van vorig jaar waren varianten van in totaal negen eerdere kwetsbaarheden, waarvan er vier ook als zeroday waren misbruikt. In sommige gevallen volstond het voor de aanvallers om één of twee regels code van de oude zeroday-exploits aan te passen om een nieuwe werkende zeroday-exploit te krijgen. "Als meer kwetsbaarheden beter en uitgebreider worden gepatcht, zal het lastiger voor aanvallers zijn om zerodays te misbruiken", zegt Maddie Stone van Google Project Zero.
Twee van de kwetsbaarheden waarop Stone doelt waren aanwezig in Google Chrome. De overige vier bevonden zich in Microsoft Internet Explorer, Mozilla Firefox, Apple Safari en Windows. Drie van deze beveiligingslekken rapporteerde het Google Project Zero-team aan Google en Microsoft, maar werden niet goed door beide bedrijven verholpen, stelt Stone.
"Het correct en volledig patchen van een kwetsbaarheid is geen druk op de knop: het vereist een investering, prioritering en planning. Dit zal geen verrassing zijn voor securityteams in een organisatie, maar deze analyse is een goede reminder dat er nog steeds veel werk te verzetten is", aldus Stone. De investeringen verschillen per organisatie. Toch ziet Stone een aantal onderwerpen dat overal terugkomt, zoals voldoende personeel en middelen, volwassen processen, beloningsstructuren, automatisering en testing en samenwerken.
Wellicht wordt dit veroorzaakt door een draconisch change management wat hen verbiedt om meer te wijzigen dan wat er direct betrokken is bij een gemeld incident?
Je legt de vinger op de juiste zere plek. Zij die de beslissingen nemen hebben er geen of onvoldoende verstand van en zij die het kunnen weten, kunnen en mogen zelfs de juiste beslissingen niet nemen. Dit geldt maatschappij breed. In de politiek, voor management in bedrijven en bij de ambtenarij. Dus er wordt geen ruimte gelaten om tot een betere security te komen op zo'n manier.
Daarnaast zijn de trouwe behulpzame en vaak slecht functionerende "bovenbazen" op geen enkele manier ter verantwoording te roepen. Ze schuiven het af of op het gemeen (jij en ik) of op de onderkaste. Deze lieden brengen zeker hun rendement vaak niet op, maar blijven doorgaan via netwerken en de inner circle. Zo blijft alles zo het was, glas, plas.
Erger je niet is een leuk spel voor een developer,
#sockpuppet
Wellicht wordt dit veroorzaakt door een draconisch change management wat hen verbiedt om meer te wijzigen dan wat er direct betrokken is bij een gemeld incident?
Precies, precies! Ik denk meer dat het een sign of the times is. Iedereen lekker snel zijn eigen projectje of taaltje beginnen. Dat nodejs zit vol met ongepatchde modules. Maar toch lekker doorbouwen, want `trendy projectje en c/c++ kan ik niet`.
En dan die snowflake opensource developers, met hun mentaliteit dat ze gratis werk leveren en dat dit daarom niet bekritiseerd mag worden (anders wordt je geblokkeerd github).
Laatst een redhat senior software engineer, die het geen probleem vond dat zijn code je root filesystem opnieuw mount op een andere plek, omdat de code toch in een container moest draaien. Totaal geen goede exception handling (volgens mij).
Als arts zouden handelen als de meeste mensen in de IT. Zou een tandarts hersenchirurgie doen met een spatel.
Als arts zouden handelen als de meeste mensen in de IT. Zou een tandarts hersenchirurgie doen met een spatel.
Enige wat tegen dit onkruid gewassen is, is vanaf scratch beginnen en dat secuur en gestructureerd te werken gaan. OpenBSD is een goed voorbeeld hoe het ook kan. Focus op kwaliteit, primaire functionaliteit en veiligheid, en niet allerlei zinloze code aan je product toevoegen omdat het een hype is, zoals Apple bijvoorbeeld doet.
Zorg eerst eens dat de basis goed is.
Wellicht wordt dit veroorzaakt door een draconisch change management wat hen verbiedt om meer te wijzigen dan wat er direct betrokken is bij een gemeld incident?
https://www.security.nl/posting/688919/Google+waarschuwt+voor+kritieke+kwetsbaarheden+in+Android
Iets met de pot en de ketel
prutsers zijn een bron van misere, maar allen voor de vlugge winst gaan, das net zo erg denk ik!
Daarmee zeg ik niet dat je broncode (als die niet publiek is) hoeft te delen, maar alleen de fout.
Zo kunnen SAST-tools worden voorzien van regels die dat soort fouten opmerken en kan iedereen leren (mits je maar zo een tool gebruikt).
We houden helaas te graag onze fixes voor onszelf, niet uniek voor onze line of business overigens.
Voorbeeldje:
XSS in CMS xyz wordt veroorzaakt omdat param.* is uitgelezen ipv die te filteren.
Daar bestaan SAST regels voor, zodat als je die tools gebruikt jouw site niet dezelfde fout zal bevatten.
Of goto fail; goto fail; (lang gelden alweer): die fout pikken SAST tools tegenwoordig ook wel op.
Mensen die websites draaien met "verlaten code", waar nooit meer een update voor komt, of iemand moet een fork maken en de code voortzetten. Weak PHP, weak javascript. Injectie, scam. spam, onvoldoende server beveiliging achterliggend.
Ik zie het nog steeds niet fundamenteel verbeteren. Echt een "neverending story" en Big Tech is hierbij zelf niet onschuldig en houdt dit ook in zekere zin om allerlei gronden in stand.
Tenminste mijn "two cents" (esser agaroth).
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
