Dit zijn geleerde lessen uit XZ kwetsbaarheid
De Linux wereld schrok onlangs op van nieuwe kwetsbaarheid in de XZ libraries, onderdeel van nogal wat Linux distributies. Dat dergelijke kwetsbaarheden blijven terugkeren, verwondert nauwelijks. Wat wel verbaast, is dat organisaties zo weinig ondernemen om zich te wapenen tegen dit type kwetsbaarheden en achterpoortjes. Het ligt niet aan een gebrek aan tools, wel aan een gebrek aan visie en beleid.
Hoewel de XZ kwetsbaarheid minder impact heeft dan Log4J, kent deze case wel een aantal merkwaardige eigenschappen. Zo blijkt dat de ontwikkelaar die de kwetsbaarheid inbouwde, zelf meewerkte aan het ontwikkelen en onderhouden van componenten van de XZ library. Dat liet deze persoon toe vertrouwen te wekken in de Linux wereld, waarna die kans zag achterpoortjes te gaan inbouwen. Bovendien had de ontwikkelaar een langetermijnvisie. Wie het tv format De Mol? kent, weet dat de mol meestal na acht afleveringen ontdekt wordt. Deze XZ mol slaagde erin zich anderhalf jaar schuil te houden. Net als alle deelnemers aan genoemd programma verdacht zijn, kan nu plots iedereen uit de Linux ontwikkelaarsgemeenschap een potentiele schurk zijn. Wie weet wat een ontwikkelaar tussen de vele lijnen code weggemoffeld heeft?
Uit deze nare cybercrime episode kunnen we een aantal lessen trekken.
- Weet dat het eraan komt
Solarwinds, Kaseya, Log4J, XZ,… De nieuwe bedreigingen voor de cybersecurity volgen elkaar in hoog tempo op. Zeker in de huidige geopolitieke omstandigheden kan je er donder op zeggen dat Russen, Chinezen, Iraniers en Noord Koreanen, en wellicht ook Amerikanen, Engelsen en Nederlanders, ergens wat regels code aan het schrijven zijn die overheidsinstanties, bedrijven en zelfs het hele internet plat kunnen leggen. Merk op dat 99 procent van internet draait op Linux, er zijn vast nog wat veelgebruikte libraries die niet helemaal safe zijn. Ga dus niet op je lauweren rusten nadat je Log4J of XZ aangepakt hebt. In de security wereld ben je nooit klaar.
- Voer een proactief beleid rond cybersecurity
De meeste aanvallen komen binnen via een onbeveiligde endpoint. We kunnen niet genoeg benadrukken hoe belangrijk het is elk endpoint te inventariseren en constant van de nodige updates en upgrades te voorzien. Wanneer een organisatie vertelt dat ze alle pc s geinventariseerd hebben, dan geldt de raad ze altijd nog eens te tellen. We weten immers: schaduw it zit overal. En zodra een afdeling een eigen budget kan besteden, ontstaat schaduw it. Daarom is het belangrijk om een tool in te zetten die alle endpoints kan ontdekken, inventariseren en controleren op patches en upgrades.
Verder lezen bij de bronLees ons boek
Gemeenten. Bewustzijn. Privacy.
Nieuwsbrief
Deze versturen we 3-4x per jaar.
Recente blogs
Meer recente berichten
Belang van data ethiek en privacy in de digitale wereld | Verder lezen | |
Governance artikel in wetsvoorstel NIS2 geeft bestuurder te veel ruimte | Verder lezen | |
Cybersecurity vaak te laat in beeld: tips voor een fundamentele aanpak | Verder lezen | |
Britse toezichthouder roept publiek op om privacybeleid apps te lezen | Verder lezen | |
Ook AIVD kijkt kritisch naar AWS cloudverhuizingsplan van SIDN | Verder lezen | |
Nederlandse bedrijven richten zich op quick wins bij implementatie NIS2 | Verder lezen | |
Mogelijk steviger toezicht op cybersecurity gemeentelijke websites | Verder lezen | |
Slimme camera s geven ouderenzorg privacy | Verder lezen | |
Ook AIVD kijkt kritisch naar AWS cloudverhuizingsplan van SIDN | Verder lezen | |
Bestuurders moeten verantwoordelijkheid nemen voor cybersecurity | Verder lezen |