Dit zijn geleerde lessen uit XZ kwetsbaarheid

8 mei 2024 | IB&P | nieuwsberichten, informatie, informatiebeveiliging (nieuws)

De Linux wereld schrok onlangs op van nieuwe kwetsbaarheid in de XZ libraries, onderdeel van nogal wat Linux distributies. Dat dergelijke kwetsbaarheden blijven terugkeren, verwondert nauwelijks. Wat wel verbaast, is dat organisaties zo weinig ondernemen om zich te wapenen tegen dit type kwetsbaarheden en achterpoortjes. Het ligt niet aan een gebrek aan tools, wel aan een gebrek aan visie en beleid.

Hoewel de XZ kwetsbaarheid minder impact heeft dan Log4J, kent deze case wel een aantal merkwaardige eigenschappen. Zo blijkt dat de ontwikkelaar die de kwetsbaarheid inbouwde, zelf meewerkte aan het ontwikkelen en onderhouden van componenten van de XZ library. Dat liet deze persoon toe vertrouwen te wekken in de Linux wereld, waarna die kans zag achterpoortjes te gaan inbouwen. Bovendien had de ontwikkelaar een langetermijnvisie. Wie het tv format De Mol? kent, weet dat de mol meestal na acht afleveringen ontdekt wordt. Deze XZ mol slaagde erin zich anderhalf jaar schuil te houden. Net als alle deelnemers aan genoemd programma verdacht zijn, kan nu plots iedereen uit de Linux ontwikkelaarsgemeenschap een potentiele schurk zijn. Wie weet wat een ontwikkelaar tussen de vele lijnen code weggemoffeld heeft?

Uit deze nare cybercrime episode kunnen we een aantal lessen trekken.

Weet dat het eraan komt

Solarwinds, Kaseya, Log4J, XZ,… De nieuwe bedreigingen voor de cybersecurity volgen elkaar in hoog tempo op. Zeker in de huidige geopolitieke omstandigheden kan je er donder op zeggen dat Russen, Chinezen, Iraniers en Noord Koreanen, en wellicht ook Amerikanen, Engelsen en Nederlanders, ergens wat regels code aan het schrijven zijn die overheidsinstanties, bedrijven en zelfs het hele internet plat kunnen leggen. Merk op dat 99 procent van internet draait op Linux, er zijn vast nog wat veelgebruikte libraries die niet helemaal safe zijn. Ga dus niet op je lauweren rusten nadat je Log4J of XZ aangepakt hebt. In de security wereld ben je nooit klaar.

Voer een proactief beleid rond cybersecurity

De meeste aanvallen komen binnen via een onbeveiligde endpoint. We kunnen niet genoeg benadrukken hoe belangrijk het is elk endpoint te inventariseren en constant van de nodige updates en upgrades te voorzien. Wanneer een organisatie vertelt dat ze alle pc s geinventariseerd hebben, dan geldt de raad ze altijd nog eens te tellen. We weten immers: schaduw it zit overal. En zodra een afdeling een eigen budget kan besteden, ontstaat schaduw it. Daarom is het belangrijk om een tool in te zetten die alle endpoints kan ontdekken, inventariseren en controleren op patches en upgrades.

Verder lezen bij de bron

Over
Laatste berichten

IB&P

Kennisdeler bij IB&P

Vanuit IB&P houden we je graag op de hoogte van het laatste nieuws op het gebied van informatiebeveiliging en privacy. We plaatsen iedere werkdag gemiddeld twee nieuwsberichten en bundelen deze elke week in een mooi overzicht.

Laatste berichten van IB&P (alles zien)

Gemeenten vrezen problemen met nieuwe Archiefwet - 23 mei 2025
Europese database voor kwetsbaarheden: leuk, maar link - 23 mei 2025
AP voert steekproeven uit onder gemeenten - 22 mei 2025

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Meer info

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

Waarom interne audits voor privacy leiden tot verbeteringen

Privacy staat hoog op de agenda bij gemeenten. In deze blog leggen we uit waarom interne audits zo belangrijk zijn en hoe je ze praktisch kunt inrichten.

Verder lezen

Wat betekent de AI-verordening voor informatiebeveiliging bij gemeenten?

Het gebruik van AI neemt in rap tempo toe. Wat betekent dat voor je informatiebeveiliging als gemeente?

Verder lezen

De 5 meest gemaakte fouten in verwerkersovereenkomsten

: Een van de belangrijkste eisen uit de AVG is het afsluiten van een verwerkersovereenkomst wanneer je persoonsgegevens door een externe partij laat verwerken. In de praktijk gaat dat echter nog vaak mis. Verwerkersovereenkomsten zijn te vaag, onvolledig of sluiten niet aan op de werkelijkheid. In deze blog lees je de vijf meest voorkomende fouten én hoe je ze voorkomt.

Verder lezen

Iedere maandag het nieuwsoverzicht om 09:00 in je mailbox? Abonneer je hier

Meer recente berichten

Gemeenten vrezen problemen met nieuwe Archiefwet	23 mei 2025 \| IB&P \| nieuwsberichten, informatie, privacy (nieuws)	Verder lezen
Europese database voor kwetsbaarheden: leuk, maar link	23 mei 2025 \| IB&P \| nieuwsberichten, informatie, informatiebeveiliging (nieuws)	Verder lezen
AP voert steekproeven uit onder gemeenten	22 mei 2025 \| IB&P \| nieuwsberichten, informatie, privacy (nieuws)	Verder lezen
Chinese hackers misbruiken SAP-kwetsbaarheid	22 mei 2025 \| IB&P \| informatie, informatiebeveiliging (nieuws), nieuwsberichten	Verder lezen
Nederlands Register voor Functionarissen voor Gegevensbescherming is actief	21 mei 2025 \| IB&P \| nieuwsberichten, informatie, privacy (nieuws)	Verder lezen
Zorgen over decentraal hosten verkiezingsuitslagen	21 mei 2025 \| IB&P \| nieuwsberichten, informatie, informatiebeveiliging (nieuws)	Verder lezen
Privacyexperts vrezen dat Brussel met nieuw plan encryptie ondermijnt	20 mei 2025 \| IB&P \| privacy (nieuws), nieuwsberichten, informatie	Verder lezen
SANS: top-5 opkomende cyberaanvalstechnieken in 2025	20 mei 2025 \| IB&P \| nieuwsberichten, informatie, informatiebeveiliging (nieuws)	Verder lezen
Biometrische gegevens en gezichts niet samen in register	19 mei 2025 \| IB&P \| nieuwsberichten, informatie, privacy (nieuws)	Verder lezen
Ook Utrecht wil minderen met Amerikaanse tech	19 mei 2025 \| IB&P \| nieuwsberichten, informatie, informatiebeveiliging (nieuws)	Verder lezen