BLOG – De Linux-wereld schrok onlangs op van nieuwe kwetsbaarheid in de ‘XZ libraries’, onderdeel van nogal wat Linux-distributies. Dat dergelijke kwetsbaarheden blijven terugkeren, verwondert nauwelijks. Wat wel verbaast, is dat organisaties zo weinig ondernemen om zich te wapenen tegen dit type kwetsbaarheden en achterpoortjes. Het ligt niet aan een gebrek aan tools, wel aan een gebrek aan visie en beleid.
Hoewel de XZ-kwetsbaarheid minder impact heeft dan Log4J, kent deze case wel een aantal merkwaardige eigenschappen. Zo blijkt dat de ontwikkelaar die de kwetsbaarheid inbouwde, zelf meewerkte aan het ontwikkelen en onderhouden van componenten van de XZ library. Dat liet deze persoon toe vertrouwen te wekken in de Linux-wereld, waarna die kans zag achterpoortjes te gaan inbouwen. Bovendien had de ontwikkelaar een langetermijnvisie. Wie het tv-format ‘De Mol?’ kent, weet dat ‘de mol’ meestal na acht afleveringen ontdekt wordt. Deze XZ-mol slaagde erin zich anderhalf jaar schuil te houden. Net als alle deelnemers aan genoemd programma verdacht zijn, kan nu plots iedereen uit de Linux-ontwikkelaarsgemeenschap een potentiële schurk zijn. Wie weet wat een ontwikkelaar tussen de vele lijnen code weggemoffeld heeft?
Weet welke instanties je moet informeren over de datalek
Uit deze nare cybercrime-episode kunnen we een aantal lessen trekken.
- Weet dat het eraan komt
Solarwinds, Kaseya, Log4J, XZ,… De nieuwe bedreigingen voor de cybersecurity volgen elkaar in hoog tempo op. Zeker in de huidige geopolitieke omstandigheden kan je er donder op zeggen dat Russen, Chinezen, Iraniërs en Noord-Koreanen (en wellicht ook Amerikanen, Engelsen en Nederlanders) ergens wat regels code aan het schrijven zijn die overheidsinstanties, bedrijven en zelfs het hele internet plat kunnen leggen. Merk op dat 99 procent van internet draait op Linux – er zijn vast nog wat veelgebruikte libraries die niet helemaal safe zijn. Ga dus niet op je lauweren rusten nadat je Log4J of XZ aangepakt hebt. In de security-wereld ben je nooit klaar.
- Voer een proactief beleid rond cybersecurity
De meeste aanvallen komen binnen via een onbeveiligde endpoint. We kunnen niet genoeg benadrukken hoe belangrijk het is elk endpoint te inventariseren en constant van de nodige updates en upgrades te voorzien. Wanneer een organisatie vertelt dat ze alle pc’s geïnventariseerd hebben, dan geldt de raad ze altijd nog eens te tellen. We weten immers: schaduw-it zit overal. En zodra een afdeling een eigen budget kan besteden, ontstaat schaduw-it. Daarom is het belangrijk om een tool in te zetten die alle endpoints kan ontdekken, inventariseren en controleren op patches en upgrades.
- Denk niet aan hardware alleen
Zoals de gebeurtenissen rond XZ en Log4J duidelijk maken, is waakzaamheid niet alleen geboden op het vlak van hardware. Ook de software die je gebruikt, kan je maar beter goed inventariseren. In de moderne manier van werken worden applicaties opgebouwd op basis van componenten en libraries van verschillende oorsprong. Deze softwarecomponenten en libraries worden vaak hergebruikt en gedeeld. Het is zaak deze lappendeken aan componenten goed in kaart te brengen en te weten waar welke library ingezet wordt. Dat is dan ook precies de reden waarom de zogeheten ‘Software Bill of Materials’ (SBOM) de laatste tijd zoveel aan belang heeft gewonnen.
- Zorg dat je een plan klaar hebt
Een hack of een aanval kan je nooit helemaal voorkomen, hoe goed je ook voorbereid bent. Zorg er daarom voor dat je een plan van aanpak klaar hebt voor die ene dag waarop alles misgaat. Weet welke instanties je moet informeren over de datalek, weet welke delen van je netwerk je eventueel moet uitschakelen… Door een weldoordacht plan op te stellen – en het ook daadwerkelijk te volgen – kan je vermijden dat het probleem alleen maar groter wordt.
- Hou je supply chain in de gaten
Terecht wordt tegenwoordig meer aandacht besteed aan de hele supply chain. Het is niet voldoende je eigen omgeving in kaart te brengen, het is cruciaal om ook te weten dat de partijen waarmee je samenwerkt hun zaakjes op orde hebben. Werk dus samen aan een veilig ecosysteem.
- Zet een permanente it-hygiëne-taskforce op
De persoon die de kwetsbaarheid inbouwde in de XZ-library had een langetermijnvisie. Anderhalf jaar werkte hij of zij geduldig mee aan de ontwikkeling van Linux, tot het moment van toeslaan. Je zou bijna denken: hadden we allemaal maar zo’n langetermijnvisie. Omdat alles zo snel moet gaan, is er nauwelijks tijd om de meest basale aspecten van cybersecurity op orde te krijgen. Toegegeven, het is een tijdrovende klus om alle software en hardware te inventariseren en controleren. Maar toch pleit ik ervoor om elke organisatie te voorzien van een afdeling it-hygiëne die continu de basis onderhoudt. Een afdeling die niet onder tijdsdruk staat en zich niet moet plooien naar de waan van de dag. Maar die wél voor waakt dat alle cyberhygiëne-maatregelen genomen worden.
Iedereen maakt fouten en leert zo een wijze – en soms dure – les. Waar het op aankomt is: maak hooguit nieuwe fouten, maar trap niet in dezelfde val. Door te gaan voor een basishygiëne op vlak van cybersecurity en door de juiste lessen te trekken uit een event als de XZ-kwetsbaarheid, wapent een organisatie zich tegen de problemen die ongetwijfeld snel opnieuw de kop zullen opsteken.
Wytze Rijkmans is regional vice president bij Tanium
FUD en klok en klepel.
de XZ kwetsbaarheid zat alleen in upstream code.
En zover upstream dat alleen bleeding edge OS releases kwetsbaar waren.
Je hebt dus alleen te maken met die code als je bleeding edge release gebruikt en die dan nog eens update.
Dat doen alleen ontwikkelaars van de packages in de distro zelf.
De geleerde lessen :
Niets want dat FUD en klok/klepel goed is voor sommige business was al bekend
Wie de puntjes met elkaar verbindt om het plaatje te kleuren en verhaaltje af te maken weet dat het downlevelen van Dino om marketing gaat want opzettelijk een backdoor aanbrengen in software wordt niet alleen door schurken gedaan als we kijken naar successen door opsporingsdiensten. Voor iemand die graag oude koeien uit de sloot haalt is vergeetachtigheid aangaande de lessen van Edward Snowden dan ook opmerkelijk. Op de kop af zo’n 10 jaar geleden wees ik dan ook al op de sores om de sources omdat personele governance met een link naar de zorgplicht van NIS2 niet om de techniek maar de loyaliteit gaat. En dat is niet exclusief voor open source want leesbaarheid van de code zegt dus nog niks over de betrouwbaarheid als we kijken naar het begrip backdoor om via de bleeding edge toegang te krijgen tot de back-end.
Never waste a good crisis is het business as usual want schaduw-IT ontstaat vooral door het free in FOSS van gratis wat voor een slecht contractmanagement zorgt. Dat is geen FUD maar de statistische realiteit op grond van feiten als we kijken naar eerdee impact van kwestbaarheden met Log4J en de ’terugroepacties’ vanuit leveranciers. Het is alleen jammer dat link over SBOM – tegen de (expert)regels in – verwijst naar website van Tanium waardoor wij van WC-eend, adviseren WC-eend gehalte hoog is.
Want ik ben het helemaal eens over nog altijd niet geleerde lessen in het configuratie management, zeker als het gaat om het eerdere idee van BYO.
wie de linkjes clickt weet dat het uplevelen van de auteur om marketing gaat.
Het artikel gaat over de xz kwetsbaarheid, ik zeg niet dat voorzichtigheid mbt CM niet op zijn plaats is.
whitebox/blackbox zou niets over de betrouwbaarheid zeggen –> stemmingmakerij.
Leesbaarheid is goed maar biedt geen garantie.
Stel je nu voor om extra te scannen op backdoors implemented door de opsporingsdiensten..
Misschien dat NIS2 juist checkt dat die er wel in moeten zitten 🙂
Opensource biedt verder gewoon LCM, LTS.
Ik meen dat ik wel eens pleidooi hield voor regelmatig updaten.
Log4J zat in allerlei betaalde en supported software. inderdaad : “terugroepacites vanuit leverenciers”
Schaduw-IT met bleeding edge xz 😛
Bring your own bleeding edge xz 😛
over statistische realiteit gesproken..
Ik heb geen actieve herinnering aan een pleidooi van Dino over de planning, het testen en het eventueel terugdraaien van updates want details over definities leren dat het systeembeheer wat meer is dan het patchen van software. Het opstarten met de verkeerde systeemparameters kan leiden tot een gegevensverlies want een statistische realiteit van fouten in de configuratie met definitie van schaduw IT moet niet onderschat worden. De frustaties die leiden tot olifantenpaadjes welke uiteindelijk een backdoor worden gaat vooral om begrijpend lezen van het beleid.
Wat betreft situational awareness op basis van OODA-loop en contractuele beheermodellen is een pleidooi als een advies waar stemmingmakerij voor actie zorgt. Nietszeggende reactie is dan ook niet inhoudelijk als er op de man gespeeld wordt want lessen in het configuratie management leren dat personele issues niet om een screening van de code gaat. Anderhalf jaar meewerken aan een project om dan het geld binnen te harken ken ik, potentiële schurken zijn vaak mensen die ook een hypotheek moeten betalen. Wat betreft open sores blijf ik dan ook bij mijn eerdere pleidooi want er zit een wereld van verschil tussen de governance van Linux en de anarchistische projecten met een levensduur tot de volgende kapitaalinjectie.