Nieuws

maandag 2 juli 2018

Trend: hardware kwetsbaarheden

Geschreven door Daan Vellinga

Recent zijn er twee nieuwe varianten van Spectre en Meltdown gepubliceerd. Kwetsbaarheden waar veel systemen aan lijden worden regelmatig bekend gemaakt. Om de zoveel tijd zit er een praktisch toepasbare aanval bij. Dat maakt zo'n bekendmaking dan "een grote". Spectre en Meltdown zijn echter bijzonder omdat ze in een "categorie" van kwetsbaarheden vallen waar we de afgelopen jaren niet zo vaak praktisch tegen aan liepen: kwetsbaarheden in hardware.

In onze ervaring zijn de meest belangrijke kwetsbaarheden in informatiesystemen op dit moment nog steeds zwakheden in applicatiesoftware. Er lijkt echter een opkomende trend te zijn van (onderzoek naar) kwetsbaarheden in firmware en specifieke hardware. Dan heb ik het niet over de veelvoud aan lekken (backdoors …) in routers en NAS appliances, maar curiosa zoals de oude Etherleak kwetsbaarheid waar ik recentelijk nog tegenaan liep. De ontdekking van de nieuwe Spectre en Meltdown varianten (3a en 4) zie ik als een beweging die we wel vaker meemaken: groot nieuws wakkert meer onderzoek aan. (Denk aan al het uitgevoerde  onderzoek naar kwetsbaarheden in SSL/TLS implementaties, mede aangewakkerd door Heartbleed.) Samen met kwetsbaarheden als Rowhammer en Broadpwn zouden Spectre en Meltdown wel eens een tijdperk kunnen inluiden van problemen waar iedereen last van heeft, en die zo complex en diepgeworteld zijn dat ze heel moeilijk op te lossen zijn.

Naast het gebruikelijke advies om een goed updatebeleid te voeren is defence in depth hier ook essentieel. Specifiek bij dit soort kwetsbaarheden is er een reële kans dat je systemen al kwetsbaar waren op het moment dat je ze kocht, en pas maanden na het openbaar maken van het probleem kunnen worden gepatcht. Laten we daar bij voorbaat vanuit gaan, en er voor zorgen dat het uitbuiten van dit type kwetsbaarheid niet de enige hobbel is die aanvallers hoeven te nemen. Zorg daarom altijd voor scheiding van omgevingen, en zorg dat kwetsbaarheden op applicatieniveau, netwerkniveau, maar ook op organisatorisch en menselijk niveau worden herkend, erkend en opgelost.

Print

Tags:

x

Nieuwsbrief

 

Blijf op de hoogte van de laatste security ontwikkelingen door je nu in te schrijven voor de Vest nieuwsbrief!


Ja, ik wil die nieuwsbrief!


 


Security 15 Minutes Live

Met Marc Hullegie

IT Tomorrow

met Marc Hullegie