SANS komt opnieuw met top-20 van veiligheidslekken

De heren van SANS hebben gisteren weer de top-20 met de belangrijkste beveiligingsrisico's in software gepresenteerd. Met deze top-20 proberen zij de makers van software te helpen bij het vaststellen van de meest kritische veiligheidslekken in hun programma's. Software bevat vaak meerdere veiligheidsrisico's die lang niet allemaal even belangrijk zijn. Het kan dan voor de ontwikkelaars lastig zijn om te bepalen welk lek als eerste gedicht moet worden en hier probeert SANS te helpen. De lijst wordt samengesteld in samenwerking met een groot aantal vooraanstaande onderzoekers en bedrijven die zich met het beveiligen van software bezighouden.
Sleutels - veiligheid
De lijst bestaat eigenlijk uit twee top-10's. Eén voor Windows en de software die draait onder dit besturingssysteem en één voor Unix en Linux en de bijbehorende applicaties. Veel van de problemen op de lijst zijn oude bekenden, maar er zijn dit keer ook een aantal nieuwe punten. Zo wordt er nu gewaarschuwd voor onder andere de gevaren van file sharing en instant messaging, welke te vinden zijn op plaats zeven en tien van de Windows-lijst. Verschillende file-sharingapplicaties kunnen door anderen misbruikt worden voor DoS-aanvallen of het ongevraagd starten van applicaties. Ook het ongevraagd delen van persoonlijke bestanden of bedrijfsgegevens vormt een serieus risico.

Met de hoeveelheid lekken en exploits in de verschillende browsers die de laatste tijd het nieuws hebben gehaald, is het niet vreemd dat deze categorie nu ook op de lijst te vinden is. Verschillende experts raadden eerder dit jaar aan om gebruik van Internet Explorer te minimaliseren om risico's te vermijden. De samenstellers van de top-20 willen zover niet gaan. Zij raden aan om Service Pack 2 te installeren en om alle ActiveX Controls uit te schakelen. Voor alle andere punten uit de lijst worden ook tips gegeven om de risico's te minimaliseren. Directeur Alan Paller heeft aangegeven dat de top-20 dit jaar zo compleet mogelijk moest worden en daarom zijn naast het melden van de veiligheidslekken nu ook verschillende oplossingen gegeven om ze te dichten.

Door Matthijs Abma

Feedback • 09-10-2004 16:00 29

09-10-2004 • 16:00

29

Bron: SANS

Lees meer

Beveiligingsindustrie wijst 25 gevaarlijkste programmeerfouten aan
Beveiligingsindustrie wijst 25 gevaarlijkste programmeerfouten aan Nieuws van 13 januari 2009
SANS presenteert jaarlijkse Top20 van veiligheidslekken
SANS presenteert jaarlijkse Top20 van veiligheidslekken Nieuws van 23 november 2005
Opnieuw kwetsbaarheden gevonden in IE en Mozilla
Opnieuw kwetsbaarheden gevonden in IE en Mozilla Nieuws van 8 januari 2005
Veiligheidslekken gevonden in Sun Java-plugin en Winamp
Veiligheidslekken gevonden in Sun Java-plugin en Winamp Nieuws van 26 november 2004
Marktaandeel Internet Explorer zakt onder 90 procent
Marktaandeel Internet Explorer zakt onder 90 procent Nieuws van 23 november 2004
Brits bedrijf: 'Mac OS X en BSD Unix veiligste systemen'
Brits bedrijf: 'Mac OS X en BSD Unix veiligste systemen' Nieuws van 3 november 2004
Mythen over veiligheid van Windows en Linux ontkracht
Mythen over veiligheid van Windows en Linux ontkracht Nieuws van 23 oktober 2004
Nieuwe kwetsbaarheden ontdekt in internetbrowsers
Nieuwe kwetsbaarheden ontdekt in internetbrowsers Nieuws van 22 oktober 2004
Ernstige lekken in bètaversie MSN Messenger 7
Ernstige lekken in bètaversie MSN Messenger 7 Nieuws van 8 oktober 2004
Steeds meer belangstelling voor biometrische beveiliging
Steeds meer belangstelling voor biometrische beveiliging Nieuws van 30 september 2004
Exploits ontdekt voor JPEG-bug in Windows
Exploits ontdekt voor JPEG-bug in Windows Nieuws van 25 september 2004
Gartner over gehypete securitytechnologieën
Gartner over gehypete securitytechnologieën Nieuws van 21 september 2004
Mozilla keert eerste beloning uit voor vinden veiligheidsbug
Mozilla keert eerste beloning uit voor vinden veiligheidsbug Nieuws van 17 september 2004
Wired interviewt security program manager Microsoft
Wired interviewt security program manager Microsoft Nieuws van 31 augustus 2004
Microsoft en beveiliging, de planning na Windows XP SP2
Microsoft en beveiliging, de planning na Windows XP SP2 Nieuws van 23 augustus 2004
Eerste lekken in Windows XP SP2 gevonden
Eerste lekken in Windows XP SP2 gevonden Nieuws van 18 augustus 2004
Jacht op lekken en bugs in Windows XP SP2 geopend
Jacht op lekken en bugs in Windows XP SP2 geopend Nieuws van 15 augustus 2004
Top 10 belangrijkste veiligheidsverbeteringen in SP2
Top 10 belangrijkste veiligheidsverbeteringen in SP2 Nieuws van 11 augustus 2004
SANS bestempelt IIS als meest onveilige Windows-software
SANS bestempelt IIS als meest onveilige Windows-software Nieuws van 11 oktober 2003
Top-20 van veiligheidslekken onder Windows en Unix
Top-20 van veiligheidslekken onder Windows en Unix Nieuws van 3 oktober 2002
Meer producten en artikelen
Bedrijfsnieuws

Reacties (29)

-Moderatie-faq
29
26
18
13
4
2
Wijzig sortering
Oceria 9 oktober 2004 16:23
Prettig is wel dat ze bij elk veiligheids probleem ook direct een oplossing proberen te geven. Zoals bijvoorbeeld bij Internet Explorer: upgraden en DirecX
(euhm... dat schrijf je dus als directX, maar ik bedoelde dus ActiveX)
uitzetten. Daar heb je als gewone PC gebruiker eveneens wat aan.
Hulde!

@ n4m3l355:
Heit feit dat de software makers de gaten nog steeds niet gedicht hebben is niet de schuld van de eindgebruiker, zeker niet als het "gesloten" software is zoals bijvoorbeeld Windows.
Ik vind het echter goed dat SANS een ieder die op de site komt ook mogelijkheden biedt om iig een work around toe te passen en zo minder kwetsbaar te worden. De lezer kan iig zelf bepalen of hij kwetsbaar blijft maar volle functionaliteit ter beschikking heeft of niet.
Het is inderdaad jammer dat weinig mensen SANS kennen, maar nu Tweakers er aandacht aan heeft besteed... wie weet. ;)

@ Olaf van der Spek:
\o/ :D sorry, je hebt gelijk ;)
n4m3l355
@Oceria9 oktober 2004 17:06
dat is zeker echter een tal van problemen zowel in de windows als linux omgeving zijn al langer bekend en het is wel jammer dat men nog steeds niet in staat is deze problemen op te lossen. ook vraag ik me af hoeveel gebruikers dit lezen. dus men kan voorstellen activex uit te schakelen echter ik denk dat 99% vd internetters niet eens weet wat SANS is.
Olaf van der Spek @Oceria9 oktober 2004 17:15
upgraden en DirecX uitzetten
ActiveX?
bmartens30 9 oktober 2004 17:13
De lijst die Sans heeft samengesteld is dynamisch en is proefondervindelijk vastgesteld.

De top-10 is niet aan een volgorde gebonden. Dit is gisteren nadrukkelijk vermeld tijdens de presentatie, maar het zijn de 10 meest belangrijke categorieen. Onder deze categorieen zitten weer subonderdelen en op dit moment zijn er ongeveer 242 vulnerabilities die het liefst zo snel mogelijk gestopt moeten worden.

SANS, uit naam van Ross Patel gaf aan dat er ruim 3000 bekende exploits zijn, maar de focus ligt op deze 20.

Er komen binnenkort een aantal bedrijven die gratis tests uitvoeren conform de SANS-lijst. Deze bedrijven moeten dan ook geaccrediteerd zijn door Sans, want anders weet je nog niet zeker of je grotendeels veilig bent.

In ieder geval een uitstekend initiatief en hoe meer mensen het zich bewust zijn, hoe veiliger het gaat worden.
Verwijderd 9 oktober 2004 20:52
Op plaats 1 hoort eigenlijk nog altijd de human factor te staan :) Bij alle OS'en. Nog steeds een ondergeschoven kindje, en daardoor niet serieus genomen. Altijd maar zeiken op bugs, en gaten maar ondertussen wel als root of administrator inloggen om te werken. ;)
wzzrd @Verwijderd10 oktober 2004 10:30
Dat staat er ook: bij beide OS'en staat iets als "Authentication" wat neerkomt op het gebruik van algemeen bekende of zwakke passwords. Menselijke 'fouten' dus. En de lijst schijnt niet echt een top-20 te zijn, maar meer een opsomming van punten in een willekeurige volgorde. Dus...
Ritch 9 oktober 2004 18:24
Zij raden aan om Service Pack 2 te installeren
Lekker dat de Windows familie alleen uit Windows XP lijkt te bestaan.
LollieStick @Ritch9 oktober 2004 18:58
Ze bedoelen te zeggen dat je de laatste Service Pack(s) moet installeren en de ActiveX controls uit moet zetten om de beveiliging van Internet Explorer te vergroten.
ivog 9 oktober 2004 20:09
Wat ik nog mis in de lijst van Windows vulnerabilities is: 'Je PC met vertrouwelijke gevens op straat zetten omdat je denkt dat er een virus op zit' ;)
Kurgan @ivog10 oktober 2004 00:44
Tsja het grootste veiligheidslek is vaak de gebruiker zelf... Ik denk dat we allemaal wel iemand kennen die ondanks herhaaldelijke adviezen zijn PC totaal niet beschermd heeft, en dan helpen al die patches natuurlijk niet.
alt-92 9 oktober 2004 16:07
Klik eens op het woordje SANS bij bron?
Verwijderd @alt-929 oktober 2004 16:57
Niet iedereen gebruikt XP natuurlijk dus dat argument gaat niet echt op naar mijn idee.
Je kunt altijd Firefox proberen. Alleen maar positieve feedback.
http://www.mozilla.org/products/firefox/
Oh jah, een linkje zou handig zijn.
http://www.sans.org/top20/
Ik kan op die pagina geen verwijzing naar Apple Macintosh vinden. Helaas ben ik niet zo thuis in al die jargon.
Verwijderd @Verwijderd11 oktober 2004 12:22
Alleen maar positieve feedback...

Ja dag, de negatieve laten ze gewoon niet zien. Kan die van mij nergens vinden (google balk kan alleen verbreed worden door een scriptje, niet gewoon door een optie) |:(
Verwijderd @alt-929 oktober 2004 16:12
Als je dat zo allemaal leest wat er allemaal gevraalijk is dan zou je nog amper op internet durven komen... Maw, zorg steeds voor een backup en zorg dat je kunt formateren, voor de rest moet je je nergens zorgen om maken, als het misloopt, format en weer verder :)
Olaf van der Spek @Verwijderd9 oktober 2004 17:14
Maw, zorg steeds voor een backup en zorg dat je kunt formateren, voor de rest moet je je nergens zorgen om maken, als het misloopt, format en weer verder
En hoe voorkom je dat je backup ook besmet raakt?
a.prinsen @Olaf van der Spek9 oktober 2004 17:51
Door je backup te maken voordat je hem aansluit op internet... :)
Apache @SuiSqu9 oktober 2004 16:23
Wie heeft dan nog een format nodig?

Je gooit gewoon je PC weg als je leuke home movies kan maken met Pamela & Paris :P
_Thanatos_ 9 oktober 2004 18:37
Beetje paranoide om ActiveX uit te zetten. ActiveX wordt idd misbruikt, maar gebruikers vergeten dat er ook positief gebruik van gemaakt wordt. Maar door dit soort belachelijke uitspraken zijn gebruikers veel huiveriger voor het aanzetten van ActiveX, als dat voor een bepaalde site moet.

Niet-ondertekende ActiveX, die moet je juist uitzetten. En bij wel-ondertekende applets gewoon laten vragen.
Verwijderd @_Thanatos_11 oktober 2004 13:38
En laat gator corporation nu net ondertekende active X hebben, jeweetwel die spy company die ook je financieele transacties mag volgen volgens hun licentie voorwaarden en die bekend werd met kazaa geloof ik.

Het is wel te begrijpen dat steeds meer programma's bij levering met spyware komen aangezien voor veel programmeurs dat nu nog de enige bron van inkomsten is, ikzelf heb echter een bijzonder sterke afkeur van spyware,dus helaas geen inkomsten hieruit.
_Thanatos_ @Verwijderd12 oktober 2004 19:21
Dan vraag ik me af wie de ondertekening heeft goedgekeurd. Zo'n applet moet toch door een hele reeks tests van MS? Een soort WHQL maar dan voor applets?

Anyway, ik doelde een beetje op een terminal server, waarmee je via de "webverbinding" een verbinding opzet. Enorm handig en toegankelijk, maar wel ActiveX.
Verwijderd @_Thanatos_10 oktober 2004 00:05
Beetje paranoide om ActiveX uit te zetten. ActiveX wordt idd misbruikt, maar gebruikers vergeten dat er ook positief gebruik van gemaakt wordt. Maar door dit soort belachelijke uitspraken zijn gebruikers veel huiveriger voor het aanzetten van ActiveX, als dat voor een bepaalde site moet.

Ik kan zo 123 niet iets verzinnen wat op internet met activeX handig zou zijn? Op een intranet in erg beperkte mate, maar op internet...??

Zat laatst in de postbank site om mijn saldo uit te printen van mijn spaarrekening, en daar werd met een activeX script de printopdracht aangeroepen. Waarom o waarom toch....?? Dat gaat namelijk ook perfect met javascript, en dat werkt ook na installatie van SP2 (idd, het activeX scriptje geeft nu een fijne waarschuwing dat 'ie het niet meer doet vanwege security blabla etc etc. Bedankt meneer postbank. Bedankt meneer activeX).

Oftewel: maak aub je site cross-browser en cross-platform, dat scheelt je een hele hoop gedoe achteraf. En ja, dat betekent geen activeX gebruiken voor openbare internet sites.
Verwijderd 9 oktober 2004 17:52
Ik heb in mijn Linksys de firmware van HyperWRT zitten en daar kan ik de activeX-elementen al in uitschakelen. Scheelt mij hier thuis een berg gezeik... :)
Verwijderd 9 oktober 2004 16:06
Service pack 2 is die voor XP neem ik aan voor het gemak. Niet iedereen gebruikt XP natuurlijk dus dat argument gaat niet echt op naar mijn idee.

Oh jah, een linkje zou handig zijn :+
Verwijderd @Verwijderd9 oktober 2004 16:55
Verwijderd.
ferdinand 10 oktober 2004 15:03
Zij raden aan om Service Pack 2 te installeren en om alle ActiveX Controls uit te schakelen.
Uitschakelen van de belangrijkste features van een programma vind ik nogal een tijdelijke oplossing. Zoiets zou ik verwachten als je binnen 2 weken een patch verwacht en dat je je maar even zonder die feature moet behelpen.
De mensen die genoeg weten van computers zullen Internet Explorer niet gebruiken en de mensen die dat niet weten zullen ook niet genoeg kennis hebben om ActiveX uit te schakelen.
ActiveX zou standaard uit moeten staan

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq