De impact van kwetsbaarheden en updates
Een kwetsbaarheid kan iedereen raken. Als je meest intieme foto's door een foutje in de software voor de rest van de wereld te bewonderen zijn, baal je als een stekker. Zeker als het komt omdat je besloot om die ene beveiligingsupdate niet te installeren omdat daarmee ook je besturingssysteem een upgrade krijgt en je telefoon nog trager wordt.
Maar de gevolgen van kwetsbaarheden in software gaan voorbij het persoonlijke. Een incident met een computersysteem kan fatale gevolgen hebben als een ziekenhuis getroffen wordt. Onze maatschappij is ontregeld als door een probleem drie dagen lang onze supermarkten niet meer worden bijgevuld of geen betalingsverkeer mogelijk is. De consequenties voor onze democratische rechtsstaat, nadat we tegen beter weten in ons stemproces digitaliseren, hoeven we niets eens te bespreken.
En de risico's zijn er niet alleen voor de kwetsbare systemen zelf. Dat je het misschien niet zo'n probleem vindt dat anderen in je kinderkamer meekijken is tot daar aan toe, maar voor hetzelfde geld wordt je camera door anderen gebruikt om delen van het internet plat te leggen. Eén van de grootste DDoS-aanvallen op het internet werd gepleegd via slecht beveiligde webcams"Record-breaking DDoS reportedly delivered by >145k hacked cameras".
Ondanks het enorme belang van het snel oplossen van kwetsbaarheden in onze digitale infrastructuur, handelen we daar totaal niet naar. Het installeren van de patches waarmee die kwetsbaarheden worden weggewerkt, lijkt wel de allerlaagste prioriteit te hebben. Ter illustratie: de oplossing voor de kwetsbaarheid die de snelle verspreiding van het WannaCry-gijzelvirus mogelijk maakte, was al twee maandenDe beveiliging van onze digitale infrastructuur is om te huilen beschikbaar, maar bleek gewoon op veel plekken nog niet geïnstalleerd. Dat moet anders en hier zijn wat ideeën.
Johan
Wat ik mis in dit verhaal is de primaire vraag óf een produkt wel met het netwerk verbonden moet zijn. Voor veel produkten is het antwoord uiteraard bevestigend, maar misschien nog wel meer produkten zijn in feite onnodig verbonden.
Hoe belangrijk is het dat je onderweg alvast je kachel hoger kunt zetten als je dat afzet tegen de risico’s?
André
Wat ik niet begrijp is dat de overheden zelf ook vervallen aan Zero Days die door black hackers/spionnen van andere mogendheden kunnen worden misbruikt. Dan ben je als overheid wel erg kortzichtig. Alles wat je als AIVD of politie misbruikt kan ook tegen je worden misbruikt. Zo hebben alle Intel processoren achterdeurtjes. Zo zit er in elke computer een speciale processor die de achterdeur openzet. Kortweg de NSA kijkt met u mee en vermoedelijk zullen politie en AIVD de zelfde achterdeurtjes gebruiken. System 76, Gnu/Linux computer fabrikant, heeft dit weten uit te schakelen. Zolang we dat niet massaal uitschakelen of er nieuwe chips worden geproduceerd zonder dergelijke constructies is het belangrijk te beseffen dat je de boel nooit helemaal dicht krijgt en dus geen gevoelige informatie op een computer of laptop zet. Gewoon niet. Je hebt werkelijk open cource en met name vrije software nodig wil je zeker weten dat er geen achterdeurtjes zijn. Dan nog TIOT the internet of things. Niet aan beginnen. De draadloosheid maakt het spyware. Dat is misschien niet de intentie van de fabrikant, maar wel het gevolg van verouderde methoden en idd het uit blijven van veiligheidsupdates. De WPA handshake van een WiFi verbinding is gemakkelijk uit te lezen met de juiste WiFi dongle en het juiste programma. Tel daarbij de naïviteit en het gemakzuchtige van mensen bij op en je creëert een gecontroleerde politiestaat waarin elke gedachte wel naar boven komt waar je later op afgerekend kunt worden. Iedereen zou het boek 1984 moeten lezen en er over moeten discuseren. Dat is minder Science Fiction dan men verwacht.
Johan
Of ‘This perfect day’ (De dag der dagen) van Ira Levin.
thatanime
Prachtig artikel. Goed onderbouwd & uitgebreid maar tegelijkertijd niet te langdradig of onduidelijk.
Sophie
Heel goed artikel! Zet je aan het denken.
Re: 5. Misschien is het te extreem, maar we moeten ons afvragen of software die een jaar geen updates heeft gekregen verplicht open source zou moeten worden. Dat is natuurlijk makkelijker gezegd dan gedaan, maar ik vind het een interessant uitgangspunt.
Rejo Zenger
Kijk! Dat vind ik nou een interessante vraag! Ik heb hem hier beantwoord:
https://www.bof.nl/2018/09/06/een-verzekering-tegen-uitblijven-van-beveiligingsupdates/