Test

Dit is een popup

Nieuws

Ook na Heartbleed blijven openbrontoepassingen kwetsbaar

In 2013 werden meer dan 46 miljoen openbron-Javacomponenten met bekende beveiligingsproblemen gedownload, volgens de laatste cijfers.

De gevolgen van Heartbleed liggen nog vers in het geheugen, een paar weken nadat de bug in OpenSSL catastrofaal dreigde te worden voor internetgebruikers overal ter wereld.

Het probleem zou hackers in staat hebben kunnen stellen om de inhoud van beveiligde communicaties zoals wachtwoorden en kredietkaarttransacties te onthullen. En om de zaken er nog erger op te maken, ontdekte men een paar weken later nog een andere (losstaande) zwakte, dit keer in OAuth en OpenID. Volgens één onderzoeker is dat nog maar het topje van de ijsberg.

[related_article id=”161920″]

Aanvaller heeft voorsprong
Miljoenen gebruikers van openbronapplicaties gebaseerd op Java zijn kwetsbaar door problemen die in sommige gevallen al jaren bestaan, waarschuwt hij. En die toepassingen worden tot op vandaag gedownload.

Brian Fox van Sonatype schreef woensdag een nieuwsbericht "met openhangende mond" waarin hij uitlegt dat de meeste projecten dan wel reageren en de bestaande lekken snel dichten, maar dat het echte probleem ligt bij de gebruikers, "die de oplossing niet zo snel zullen gebruiken".

"Aangezien aanvallers door hetzelfde mechanisme op de hoogte gebracht worden als degene die het probleem opmerkt en aanpakt, hebben zij een voorsprong: het is in het algemeen makkelijker om zwaktes uit te buiten dan om het volledige framework van je applicatie te updaten", schrijft hij.

De voorbeelden zijn hallucinant: honderdduizenden getroffen versies van veelgebruikte, populaire Java-apps werden door tienduizenden organisaties gedownload en gebruikt.

Fox zegt dat getroffen versies van Struts, een veelgebruikt framework voor applicaties, meer dan 80.500 keer gedownload werden door meer dan tienduizend organisaties in de negen maanden na de ontdekking en bekendmaking van een belangrijk probleem in de code.

Tegelijkertijd blijft ook Bouncy Castle de populairste white room-implementatie van cryptografische algoritmes in Java. Terwijl een versie die een fout bevatte die een inbreker de mogelijkheid geeft om versleutelde data te compromitteren meer dan 20.000 keer gedownload werd in de vijf jaar na de bekendmaking van dat probleem. "Dit zorgt ervoor dat die dingen die je probeert te versleutelen volledig open zijn", zegt hij.

Heartbleed bezorgt IT-organisaties misschien wel rillingen, maar Fox waarschuwt dat vele openbrontoepassingen niet zo snel geüpdatet worden als zou moeten.

En dat, is de duidelijke ondertoon van zijn betoog, zou wel eens tot een aanval met een omvang en hoeveelheid schade kunnen leiden die vergelijkbaar is met Heartbleed.

De gevolgen van Heartbleed liggen nog vers in het geheugen, een paar weken nadat de bug in OpenSSL catastrofaal dreigde te worden voor internetgebruikers overal ter wereld.

Het probleem zou hackers in staat hebben kunnen stellen om de inhoud van beveiligde communicaties zoals wachtwoorden en kredietkaarttransacties te onthullen. En om de zaken er nog erger op te maken, ontdekte men een paar weken later nog een andere (losstaande) zwakte, dit keer in OAuth en OpenID. Volgens één onderzoeker is dat nog maar het topje van de ijsberg.

[related_article id=”161920″]

Aanvaller heeft voorsprong
Miljoenen gebruikers van openbronapplicaties gebaseerd op Java zijn kwetsbaar door problemen die in sommige gevallen al jaren bestaan, waarschuwt hij. En die toepassingen worden tot op vandaag gedownload.

Brian Fox van Sonatype schreef woensdag een nieuwsbericht "met openhangende mond" waarin hij uitlegt dat de meeste projecten dan wel reageren en de bestaande lekken snel dichten, maar dat het echte probleem ligt bij de gebruikers, "die de oplossing niet zo snel zullen gebruiken".

"Aangezien aanvallers door hetzelfde mechanisme op de hoogte gebracht worden als degene die het probleem opmerkt en aanpakt, hebben zij een voorsprong: het is in het algemeen makkelijker om zwaktes uit te buiten dan om het volledige framework van je applicatie te updaten", schrijft hij.

De voorbeelden zijn hallucinant: honderdduizenden getroffen versies van veelgebruikte, populaire Java-apps werden door tienduizenden organisaties gedownload en gebruikt.

Fox zegt dat getroffen versies van Struts, een veelgebruikt framework voor applicaties, meer dan 80.500 keer gedownload werden door meer dan tienduizend organisaties in de negen maanden na de ontdekking en bekendmaking van een belangrijk probleem in de code.

Tegelijkertijd blijft ook Bouncy Castle de populairste white room-implementatie van cryptografische algoritmes in Java. Terwijl een versie die een fout bevatte die een inbreker de mogelijkheid geeft om versleutelde data te compromitteren meer dan 20.000 keer gedownload werd in de vijf jaar na de bekendmaking van dat probleem. "Dit zorgt ervoor dat die dingen die je probeert te versleutelen volledig open zijn", zegt hij.

Heartbleed bezorgt IT-organisaties misschien wel rillingen, maar Fox waarschuwt dat vele openbrontoepassingen niet zo snel geüpdatet worden als zou moeten.

En dat, is de duidelijke ondertoon van zijn betoog, zou wel eens tot een aanval met een omvang en hoeveelheid schade kunnen leiden die vergelijkbaar is met Heartbleed.

analyseapplicatiesBeveiligingbeveiligingbugheartbleedjavanieuwsopen bronopen sourceopenbronveiligheid

Gerelateerde artikelen

Volg ons

ICT Jaarboek 2021-2022 – TechPulse Business

ICT Jaarboek 2021-2022 – TechPulse Business

Bestel nu!