VS zoekt informatie over oplossen veelvoorkomende kwetsbaarheden
De Amerikaanse overheid zoekt informatie over en feedback op het oplossen van veelvoorkomende kwetsbaarheden zoals SQL injection, path traversal en hardcoded wachtwoorden. Ook wordt gezocht naar antwoorden op hoe leveranciers veiligere software kunnen maken en hoe organisaties die software afnemen omgaan met de veiligheid hiervan. Vorig jaar publiceerden internationale cyberagentschappen, waaronder het Nationaal Cyber Security Centrum (NCSC), een rapport genaamd "Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software" (pdf).
Daarin worden softwareleveranciers opgeroepen om principes voor veilige softwareontwikkeling te volgen. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft nu om reacties op het document gevraagd, maar ook om informatie over en feedback op aanvullende onderwerpen. Het gaat dan bijvoorbeeld om het oplossen van veelvoorkomende kwetsbaarheden. "In het nieuws zien we geregeld voorbeelden van kwetsbaarheden waarvoor al jarenlang, of zelfs decennia, effectieve oplossingen bestaan."
Het CISA noemt als voorbeeld SQL injection, path traversal en hardcoded wachtwoorden. De overheidsinstantie wil weten wat de obstakels zijn om dit soort kwetsbaarheden te verhelpen, hoe potentiële klanten kunnen beoordelen welke softwareleveranciers deze beveiligingslekken niet in hun software hebben zitten en welke aanpassingen er aan het Common Vulnerabilities and Exposures (CVE) moet worden doorgevoerd om ervoor te zorgen dat meer bedrijven veelvoorkomende kwetsbaarheden identificeren en onderzoek doen om ze te verhelpen. Daarnaast wil het CISA ook weten wat de financiële impact van softwarelekken op leveranciers is en hoe softwareleveranciers bepalen welke kwetsbaarheden ze verhelpen.
Een ander onderwerp dat op de lijst staat is de tegenzin van bedrijven om te upgraden naar nieuwe veiligheidsfeatures of netwerkprotocollen die softwareleveranciers hebben ontwikkeld. Dergelijke upgrades vereisen acties van de klant, maar die blijken de beveiligingsverbeteringen niet door te voeren omdat het tijd of geld kost. Het CISA wil nu weten wat de primaire obstakels zijn waarom klanten geen upgrades uitvoeren die hun risico verminderen en wanneer klanten besluiten upgrades wel uit te voeren. De feedback die het CISA ontvangt kan als aanvulling aan gepubliceerde rapport worden toegevoegd.
Elke update of upgrade die gedrag verandert (en dat doen ze, anders is het uitbrengen ervan zinloos) kost tijd en moeite om aan de gang te krijgen en levert bij gebruikers irritatie op - wat ook weer tijd en moeite kost.
Ik zie het al gebeuren dat ik elke maand mijn voordeurslot moet vervangen en een sleutel onder een andere hoek moet insteken. Accepteert ook geen hond.
En veel bedrijven zijn enorm hardleers. Als je ziet hoe vaak en hoe lang al Cisco moet melden dat er sprake was van een "geheim" beheeraccount met hardcoded wachtwoord in hun firmware, en veel klanten ondanks dat bij spullen van Cisco blijven zweren, gaat het initiatief van de US gov. heus geen zoden aan de dijk zetten.
https://www.schneier.com/blog/archives/2023/10/cisco-cant-stop-using-hard-coded-passwords.html
Dus alles stored procedure achtig, waarbij alleen paramters gevuld mogen worden met wat verwacht wordt (bv getal en dus niet quote etc)
En veel bedrijven zijn enorm hardleers. Als je ziet hoe vaak en hoe lang al Cisco moet melden dat er sprake was van een "geheim" beheeraccount met hardcoded wachtwoord in hun firmware, en veel klanten ondanks dat bij spullen van Cisco blijven zweren, gaat het initiatief van de US gov. heus geen zoden aan de dijk zetten.
https://www.schneier.com/blog/archives/2023/10/cisco-cant-stop-using-hard-coded-passwords.html
Dus alles stored procedure achtig, waarbij alleen paramters gevuld mogen worden met wat verwacht wordt (bv getal en dus niet quote etc)
[1] https://en.wikipedia.org/wiki/ActiveX#History
Surprise! Opnieuw geen goed idee, zie (Engelstalig) https://www.theregister.com/2024/01/04/microsoft_windows_app_installation/.
"Autorun" kon overigens met:
Dus alles stored procedure achtig, waarbij alleen paramters gevuld mogen worden met wat verwacht wordt (bv getal en dus niet quote etc)
We zeggen hetzelfde.
Geen "SELECT 1 FROM tabel where (en dan hier lekker zelf alles opbouwen in jouw eigen code)"
Maar echt "SELECT 1 FROM tabel where x = ?" en dat alleen ? aan de kant van de database mag worden samengevoegd.
En dat vaste stuk ook aan de kant van de database vast ligt (want anders kan een aanvaller alsnog wel z'n eigen query samenstellen).
Het lost het niet helemaal op, maar het verhelpt wel al vele vergissingen.
Dus alles stored procedure achtig, waarbij alleen paramters gevuld mogen worden met wat verwacht wordt (bv getal en dus niet quote etc)
en hun werk maar half doen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
