image

VS haalt uit naar leveranciers onveilige software: veiligere producten nodig

vrijdag 20 september 2024, 14:27 door Redactie, 23 reacties
Laatst bijgewerkt: 20-09-2024, 15:02

Jen Easterly, hoofd van het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security, heeft tijdens een keynote hard uitgehaald naar leveranciers van onveilige software en gesteld dat die veiligere producten moeten leveren. "We hebben geen cybersecurityprobleem, we hebben een softwarekwaliteitsprobleem. We hebben niet meer securityproducten nodig, we hebben veiligere producten nodig", zo liet ze weten.

De werkelijkheid is dat leveranciers de figuren zijn die de problemen aan hun producten toevoegen waar criminelen dan misbruik van kunnen maken om hun slachtoffers aan te vallen, legde Easterly uit tijdens haar keynote op een conferentie van securitybedrijf Mandiant. Ze hekelde ook de term 'kwetsbaarheden', omdat die volgens haar te mild is. Hierdoor wordt de verantwoordelijkheid verwaterd. Eigenlijk moet de term 'productdefect' worden gebruikt, merkte ze op.

In plaats van de schuld bij slachtoffers te leggen omdat die updates niet snel genoeg installeren zou er eigenlijk meer van softwareleveranciers moeten worden gevraagd, ging Easterly verder, zo meldt The Register. Terwijl er inmiddels een cybersecurity-industrie van miljarden dollars groot is, is er nog steeds een veel groter probleem met de kwaliteit van software dat ook tot een veel groter cybercrimeprobleem leidt.

De CISA-directeur stelde dat niemand een auto koopt of aan boord van een vliegtuig gaat als dat helemaal op eigen risico is, maar dit wel elke dag het geval is bij de software die voor de vitale infrastructuur wordt gebruikt. "We zijn slachtoffer van de mythe van techno-exceptionalisme", liet ze aan het publiek weten. Het CISA heeft de 'Secure by Design' plegde geïntroduceerd, waarmee bedrijven kunnen aangeven dat ze maatregelen nemen voor het ontwikkelen van veilige producten. De plegde is vrijwillig en er zijn geen gevolgen voor het niet naleven. Easterly wil dat graag veranderen. Zo zouden bedrijven en organisaties hun inkoopmacht moeten gebruiken om softwareleveranciers onder druk te zetten.

Reacties (23)
20-09-2024, 14:38 door Anoniem
In gerelateerd nieuws, OpenBSD gebruik explodeert.
20-09-2024, 15:33 door Anoniem
Ja, dit klopt precies.
20-09-2024, 15:51 door Anoniem
Het enige wat helpt is enorme boetes voor nalatigheid uitdelen, minimaal 25% omzet en gevangenis straf voor liegende accountmanagers / sales, moet je eens kijken hoe snel Sec in DevOps wordt uitgerold.
20-09-2024, 15:58 door Anoniem
Inderdaad, zoals dat Amerikaanse bedrijf dat aan hun protocol een "Security Object" heeft toegevoegd, en juist dat heeft een zeer zware kwetsbaarheid. Zou toch denken dat juist bij zoiets de meeste aandacht wordt besteed aan design, test, review, en vrijgave, maar zelfs dan gaat het nog fout.
20-09-2024, 16:28 door Anoniem
Zelfde verhaal als met security camera's.

Gelukkig heeft mijn app de mogelijkheid om het RTSPS protocol te gebruiken dat nodig is om de stream op de app veilig te bekijken na te zijn ingelogd. Hoewel de zaak bij mij is dichtgetimmerd, kom je via Shodan nog steeds streams tegen omdat de eigenaren kennelijk niet weten dat je de stream niet onbeveiligd op een server moet zetten waar iedereen vervolgens bij kan.

Behalve veilige software, moet ook de gebruiker leren om veiliger te werken.
20-09-2024, 16:49 door Anoniem
Een auto zonder veiligheidkooi, veiligheidgordels, airbags en andere veiligheidsvoorzieningen mag niet worden verkocht.

Onveilige software mag gewoon worden verkocht. Security leveranciers mogen deze bagger weer veilig maken.

Het is een markt die elkaar in stand houden en we verdienen we allemaal wat aan..

Vreemd toch?
20-09-2024, 17:43 door Xavier Ohole
Luisteren jullie? Microsoft? Hoewel het natuurlijk hopeloos is: Windows is verrot tot op het bot, wat zeg ik, tot in het bot! Dat krijg je nooit meer goed.
21-09-2024, 09:27 door Anoniem
Sinds msdos is er nooit kwaliteits uit de vs gekomen
21-09-2024, 09:29 door Anoniem
Lekken verplicht gratis fixen zolang de software gebruikt wordt door meer dan 5% van de gebruikers. Dan gaan ze wel veilige software maken ipv crappy meuk laten beta testen door gebruikers en ze dan betaald service geven.
21-09-2024, 10:30 door Anoniem
De man heeft volkomen gelijk. Als je dezelfde bagger levert in een andere markt, zeg de voedselmarkt dan wordt je opgeknoopt en terecht.
Het is voor mij al jaren een raadsel hoe het kan dat software leveranciers weg komen met de abominabele rommel die zij voor extreem veel geld produceren.
En de ontwikkelaars zelf, die de eigenlijk bron van deze ellende zijn, maar vrolijk om het half jaar een "nieuwe werkwijze" bedenken. Zoals de onzin van Scrum/Agile, dat letterlijk nergens het probleem van de gatenkaas zelfs maar benoemt, laat staan aanpakt. Nee, kringgesprekken en de opdrachtgever de schuld geven, dat gaat het wel oplossen.
21-09-2024, 13:03 door Anoniem
De software industrie interesseert het niet zo veel. Sinds 2003 is er de ISO 21827. Deze norm kan worden gezien als referentiemodel voor ‘security engineering’ en als raamwerk voor assessment van de volwassenheid (‘maturity’) van een organisatie die software ontwikkelt en ook als raamwerk voor verbetering van het ontwikkelproces van software.

Onze vakgenoot Ezebuike Michael heeft veel hierover geschreven zie:
https://www.linkedin.com/pulse/understanding-iso-21827-standard-systems-security-maturity-michael-fusye/

Ook op security.nl is over de ISO 21827 geschreven. zie
https://www.security.nl/posting/10748/Verdringt+de+ISO+21827+de+ISO+17799%3F
21-09-2024, 14:31 door Anoniem
Door Anoniem: De man heeft volkomen gelijk. Als je dezelfde bagger levert in een andere markt, zeg de voedselmarkt dan wordt je opgeknoopt en terecht.
Het is voor mij al jaren een raadsel hoe het kan dat software leveranciers weg komen met de abominabele rommel die zij voor extreem veel geld produceren.
En de ontwikkelaars zelf, die de eigenlijk bron van deze ellende zijn, maar vrolijk om het half jaar een "nieuwe werkwijze" bedenken. Zoals de onzin van Scrum/Agile, dat letterlijk nergens het probleem van de gatenkaas zelfs maar benoemt, laat staan aanpakt. Nee, kringgesprekken en de opdrachtgever de schuld geven, dat gaat het wel oplossen.

Nou, nou, nou... opgeknoopt worden om abominabele rommel. Kan het misschien een tintje grijs a.u.b. Dat soort krachttermen veroorzaken dat we in een steeds verder gesegregeerde samenleving duikelen!

Ik heb in de periode dat ik overstapte naar foss (free operating system software) echt niet als prangende motivatie gevoeld dat ik voorheen abominabele rommel gebruikte.
22-09-2024, 10:35 door Anoniem
Microsoft heeft hier ooit een strategie voor bedacht namelijk SD3 + C

Secure by Design
Secure by Default
Secure in Deployment
Communication

Misschien nog wat beter aan de uitvoering werken.
22-09-2024, 11:17 door Anoniem
In de analoge wereld, sluiten we onze deuren met een slot. Is dat slot 100% veilig? Kan je het uberhaubt 100% veilig krijgen?
Zodra je d'r een sleutel in kan doen wat het slot kan openen is dat gelijk de zwakheid van het slot.
Het wordt echter lastiger -bij zo'n analoog slot- als er een slot op een slot wordt geaakt, mede door de fysieke aanwezigheid die daar gepaard mee gaat om al die sloten te oeten passeren. Maar dan nog, de best beveiligde bank wordt beroofd, en de nog beter beveiligde gevangenis kan uit ontsnapt worden.

Nu, ter vergelijking met de digitale wereld, waar je als mega-voordeel hebt, dat je er niet fysiek bij aanwezig behoeft te zijn. Al die managers-bla-bla met certificeringen en daarbij behorende standaarden zijn ook door de crimineel eigen te maken en met reverse-engineering -van wat voor software dan ook- komen de zwakheden van de gebruikte sloten op sloten (,op sloten. enz.) bovendrijven waar dan omheen gewerkt kan worden.

Wil je dit voorkomen, dan moet je live monitoren, zoals een beveiliger in de analoge wereld, heb je zo'n mens ook nodig die monitort welke verbindingen er worden gemaakt en wat er bij dat geklop-aan-de-port allemaal gebruikt wordt.
Maar dan nog, kan het zo zijn dat een menselijke beveiliger niet door heeft dat het om een inbreker gaat.
Dus , net als in de analoge wereld, als er een sleutel is voor een slot, krijg je het nooit 100% veilig!
22-09-2024, 12:06 door Anoniem
Door Anoniem: De man heeft volkomen gelijk.
Jen Easterly is een vrouw
22-09-2024, 13:58 door wim-bart
Door Anoniem: De man heeft volkomen gelijk. Als je dezelfde bagger levert in een andere markt, zeg de voedselmarkt dan wordt je opgeknoopt en terecht.
Het is voor mij al jaren een raadsel hoe het kan dat software leveranciers weg komen met de abominabele rommel die zij voor extreem veel geld produceren.
En de ontwikkelaars zelf, die de eigenlijk bron van deze ellende zijn, maar vrolijk om het half jaar een "nieuwe werkwijze" bedenken. Zoals de onzin van Scrum/Agile, dat letterlijk nergens het probleem van de gatenkaas zelfs maar benoemt, laat staan aanpakt. Nee, kringgesprekken en de opdrachtgever de schuld geven, dat gaat het wel oplossen.

Vrouw.

En inderdaad scrum/agile is gewoon een excuus om snel zonder te documenteren rotzooi onder tijdsdruk in productie te gooien.
22-09-2024, 18:31 door Anoniem
Door Anoniem: Het enige wat helpt is enorme boetes voor nalatigheid uitdelen, minimaal 25% omzet en gevangenis straf voor liegende accountmanagers / sales, moet je eens kijken hoe snel Sec in DevOps wordt uitgerold.

Stokslagen voor de developer die de buggy commit maakte. Of gewoon 3 maandsalarissen inleveren.

Opbokken met dat excuus verhaal dat het aan anderen ligt, gewoon de schuld leggen bij degene die aanwijsbaar de fout maakt.

(en , zo klinkt zo'n verhaal even niet zo leuk he, als de bal in het eigen technerd kamp gelegd wordt. ? )
22-09-2024, 18:44 door Anoniem
Door Anoniem: Sinds msdos is er nooit kwaliteits uit de vs gekomen

Bijzonder dat je MSDOS dan onder kwaliteit schaart .
En bedoel je echt "de VS" te schrijven , of dacht je aan Microsoft ?

Er zijn nogal weinig andere landen waar OSen vandaan gekomen zijn, eigenlijk.

Unix (en ontzettend veel afgeleiden ) - VS .
AmigaOS - VS
BeOS - VS
MacOS - VS
Multics - VS
OS/360 - VS
TSS - VS
OS/400 - VS
RSX-11 , VMS (PDP/VAX) - VS
vxworks - VS
QNX - VS
CP/M - VS
MSDOS,WIndows,Windows NT - VS
Plan 9 - VS

Iets anders van elders :
RiscOS (ARM) - UK . (min of meer homecomputer)
Minix - NL (door een Amerikaan) , en meer onderwijs proof of concept dan 'OS' . Plus conceptueel nogal 'Unix' .
Oberon - CH (ook onderwijs project , door Mr Pascal N Wirth)
Iets dat op ICT 1900 (jaren 60 mainframe draaide) - UK
Vast wel iets op Soviet unie hardware , hoewel die meen ik een hoop kloonden .

Een heel dun lijstje, OSen zonder roots in de VS.
22-09-2024, 18:45 door Anoniem
Door wim-bart:
Door Anoniem: De man heeft volkomen gelijk. Als je dezelfde bagger levert in een andere markt, zeg de voedselmarkt dan wordt je opgeknoopt en terecht.
Het is voor mij al jaren een raadsel hoe het kan dat software leveranciers weg komen met de abominabele rommel die zij voor extreem veel geld produceren.
En de ontwikkelaars zelf, die de eigenlijk bron van deze ellende zijn, maar vrolijk om het half jaar een "nieuwe werkwijze" bedenken. Zoals de onzin van Scrum/Agile, dat letterlijk nergens het probleem van de gatenkaas zelfs maar benoemt, laat staan aanpakt. Nee, kringgesprekken en de opdrachtgever de schuld geven, dat gaat het wel oplossen.

Vrouw.

En inderdaad scrum/agile is gewoon een excuus om snel zonder te documenteren rotzooi onder tijdsdruk in productie te gooien.

Alsof de software branch een methode nodig gehad heeft als excuus voor dat probleem.
Als de (tijds)druk er is wordt het proces vanzelf vloeibaar genoeg.
22-09-2024, 23:58 door Anoniem
Van oudsher zijn er twee OS'n met een werkelijke focus op security.
OpenBSD en OpenVMS.
By design, by config etc.

Ze hadden ook hun, met name configuratie, uitdagingen.
Er zijn dus ook cve's voor te vinden. Maar een enkele per paar jaar.
Niet enkele per dag.
23-09-2024, 04:13 door Anoniem
Door Anoniem: <knip>
Ik heb in de periode dat ik overstapte naar foss (free operating system software) echt niet als prangende motivatie gevoeld dat ik voorheen abominabele rommel gebruikte.

FOSS staat voor Free Open Source Software.
23-09-2024, 14:15 door Anoniem
Secure programmeren wordt nog steeds niet geleerd.
Stap 1 is om dat te doceren door highly skilled people die dat wel kunnen.
23-09-2024, 15:45 door Anoniem
Door Anoniem: Secure programmeren wordt nog steeds niet geleerd.
Stap 1 is om dat te doceren door highly skilled people die dat wel kunnen.
Ah je weet het hè, those who can do, those who can't teach.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.