Dit zijn geleerde lessen uit XZ kwetsbaarheid

8 mei 2024 | IB&P | nieuwsberichten, informatie, informatiebeveiliging (nieuws)

De Linux wereld schrok onlangs op van nieuwe kwetsbaarheid in de XZ libraries, onderdeel van nogal wat Linux distributies. Dat dergelijke kwetsbaarheden blijven terugkeren, verwondert nauwelijks. Wat wel verbaast, is dat organisaties zo weinig ondernemen om zich te wapenen tegen dit type kwetsbaarheden en achterpoortjes. Het ligt niet aan een gebrek aan tools, wel aan een gebrek aan visie en beleid.

Hoewel de XZ kwetsbaarheid minder impact heeft dan Log4J, kent deze case wel een aantal merkwaardige eigenschappen. Zo blijkt dat de ontwikkelaar die de kwetsbaarheid inbouwde, zelf meewerkte aan het ontwikkelen en onderhouden van componenten van de XZ library. Dat liet deze persoon toe vertrouwen te wekken in de Linux wereld, waarna die kans zag achterpoortjes te gaan inbouwen. Bovendien had de ontwikkelaar een langetermijnvisie. Wie het tv format De Mol? kent, weet dat de mol meestal na acht afleveringen ontdekt wordt. Deze XZ mol slaagde erin zich anderhalf jaar schuil te houden. Net als alle deelnemers aan genoemd programma verdacht zijn, kan nu plots iedereen uit de Linux ontwikkelaarsgemeenschap een potentiele schurk zijn. Wie weet wat een ontwikkelaar tussen de vele lijnen code weggemoffeld heeft?

Uit deze nare cybercrime episode kunnen we een aantal lessen trekken.

Weet dat het eraan komt

Solarwinds, Kaseya, Log4J, XZ,… De nieuwe bedreigingen voor de cybersecurity volgen elkaar in hoog tempo op. Zeker in de huidige geopolitieke omstandigheden kan je er donder op zeggen dat Russen, Chinezen, Iraniers en Noord Koreanen, en wellicht ook Amerikanen, Engelsen en Nederlanders, ergens wat regels code aan het schrijven zijn die overheidsinstanties, bedrijven en zelfs het hele internet plat kunnen leggen. Merk op dat 99 procent van internet draait op Linux, er zijn vast nog wat veelgebruikte libraries die niet helemaal safe zijn. Ga dus niet op je lauweren rusten nadat je Log4J of XZ aangepakt hebt. In de security wereld ben je nooit klaar.

Voer een proactief beleid rond cybersecurity

De meeste aanvallen komen binnen via een onbeveiligde endpoint. We kunnen niet genoeg benadrukken hoe belangrijk het is elk endpoint te inventariseren en constant van de nodige updates en upgrades te voorzien. Wanneer een organisatie vertelt dat ze alle pc s geinventariseerd hebben, dan geldt de raad ze altijd nog eens te tellen. We weten immers: schaduw it zit overal. En zodra een afdeling een eigen budget kan besteden, ontstaat schaduw it. Daarom is het belangrijk om een tool in te zetten die alle endpoints kan ontdekken, inventariseren en controleren op patches en upgrades.

Verder lezen bij de bron

Over
Laatste berichten

IB&P

Kennisdeler bij IB&P

Vanuit IB&P houden we je graag op de hoogte van het laatste nieuws op het gebied van informatiebeveiliging en privacy. We plaatsen iedere werkdag gemiddeld twee nieuwsberichten en bundelen deze elke week in een mooi overzicht.

Laatste berichten van IB&P (alles zien)

Belang van data ethiek en privacy in de digitale wereld - 19 juli 2024
Governance artikel in wetsvoorstel NIS2 geeft bestuurder te veel ruimte - 19 juli 2024
Cybersecurity vaak te laat in beeld: tips voor een fundamentele aanpak - 18 juli 2024

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Meer info

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

Het beheren van verwerkersovereenkomsten

Om ervoor te zorgen dat derde partijen ook de juiste beveiligingsmaatregelen nemen, moet je afspraken maken in een verwerkersovereenkomst. Het is niet genoeg om deze overeenkomst eenmalig af te sluiten; je moet regelmatig controleren of de verwerker zich aan de AVG houdt

Verder lezen

Bedrijfscontinuïteit volgens BIO, NIS2, ISO 27001 en NEN 7510

BCM is een belangrijk onderdeel binnen verschillende belangrijke beveiligings- en normstandaarden, zoals de BIO, NIS2, ISO 27001 en NEN 7510.

Verder lezen

De kracht van ambassadeurs

Hoe zorg je voor een informatieveilige omgeving en hoe maak je medewerkers bewust van hun belangrijke rol? Informatieveiligheidsambassadeurs kunnen hierin het verschil maken.

Verder lezen

Iedere maandag het nieuwsoverzicht om 09:00 in je mailbox? Abonneer je hier

Meer recente berichten

Belang van data ethiek en privacy in de digitale wereld	19 juli 2024 \| IB&P \| nieuwsberichten, informatie, privacy (nieuws)	Verder lezen
Governance artikel in wetsvoorstel NIS2 geeft bestuurder te veel ruimte	19 juli 2024 \| IB&P \| informatiebeveiliging (nieuws), nieuwsberichten, opinie	Verder lezen
Cybersecurity vaak te laat in beeld: tips voor een fundamentele aanpak	18 juli 2024 \| IB&P \| nieuwsberichten, informatie, informatiebeveiliging (nieuws)	Verder lezen
Britse toezichthouder roept publiek op om privacybeleid apps te lezen	18 juli 2024 \| IB&P \| nieuwsberichten, informatie, privacy (nieuws)	Verder lezen
Ook AIVD kijkt kritisch naar AWS cloudverhuizingsplan van SIDN	17 juli 2024 \| IB&P \| nieuwsberichten, informatie, privacy (nieuws)	Verder lezen
Nederlandse bedrijven richten zich op quick wins bij implementatie NIS2	17 juli 2024 \| IB&P \| nieuwsberichten, informatie, informatiebeveiliging (nieuws)	Verder lezen
Mogelijk steviger toezicht op cybersecurity gemeentelijke websites	16 juli 2024 \| IB&P \| nieuwsberichten, informatie, informatiebeveiliging (nieuws)	Verder lezen
Slimme camera s geven ouderenzorg privacy	16 juli 2024 \| IB&P \| informatie, privacy (nieuws), nieuwsberichten	Verder lezen
Ook AIVD kijkt kritisch naar AWS cloudverhuizingsplan van SIDN	15 juli 2024 \| IB&P \| nieuwsberichten, informatie, privacy (nieuws)	Verder lezen
Bestuurders moeten verantwoordelijkheid nemen voor cybersecurity	15 juli 2024 \| IB&P \| nieuwsberichten, informatie, informatiebeveiliging (nieuws)	Verder lezen