De XZ-kwetsbaarheid uitgelegd – en hoe dit te voorkomen

We hebben nog maar net de meest recente bedrei­gingen tegen de cyber­se­cu­rity aangepakt, of daar is de volgende al. Recent was heel wat te doen rond de kwets­baar­heid in de XZ libraries. Iedereen die een Linux-distri­butie gebruikt die van XZ gebruikt maakt, moet dus aan het patchen slaan. Het is een nieuwe ‘wake-up’ call voor iedereen die met IT en security bezig is, om zowel een beleid uit te werken, als de nodige tools in te zetten. 

Hoewel de XZ-kwets­baar­heid een stuk minder impact heeft dan Log4J, kent deze case toch wel een aantal merk­waar­dige eigen­schappen. Zo blijkt dat de ontwik­ke­laar die de kwets­baar­heid inbouwde, zelf meewerkte aan het ontwik­kelen en onder­houden van compo­nenten van de XZ library. Dat liet deze persoon toe vertrouwen te wekken in de Linux-wereld, waarna die kans zag achter­poortjes te gaan inbouwen. Bovendien had de ontwik­ke­laar een lange­ter­mijn­visie. Wie het TV-format ‘Wie is de Mol’ kent, weet dat ‘de mol’ meestal na acht afle­ve­ringen ontdekt wordt. Deze XZ-mol slaagde erin zich anderhalf jaar schuil te houden. Net als alle deel­ne­mers aan Wie is de Mol verdacht zijn, kan nu plots iedereen uit de Linux-ontwik­ke­laars­com­mu­nity een poten­tiële schurk zijn. Wie weet immers wat een ontwik­ke­laar tussen de vele lijnen code wegge­mof­feld heeft?

Uit deze nare cyber­crime-episode kunnen we een aantal lessen trekken.

1. Rust niet op je lauweren – Solar­winds, Kaseya, Log4J, XZ,… de nieuwe bedrei­gingen voor de cyber­se­cu­rity volgen elkaar steeds sneller op. Zeker in de huidige geopo­li­tieke omstan­dig­heden kan je er donder op zeggen dat Russen, Chinezen, Iraniërs, Noord-Koreanen… (trouwens, wellicht ook Ameri­kanen, Engelsen, Neder­lan­ders…) ergens wat regels code aan het schrijven zijn die over­heids­in­stan­ties, bedrijven, tot zelfs het hele internet plat kunnen leggen. 99% van het internet draait op Linux – er zijn vast nog wat veel­ge­bruikte libraries die niet helemaal safe zijn. Ga dus niet op je lauweren rusten nadat je Log4J of XZ aangepakt hebt. In de security-wereld ben je nooit klaar. 
2. Endpoint mana­ge­ment is belang­rijk – De meeste aanvallen komen nog steeds binnen via een onbe­vei­ligde endpoint. We kunnen niet genoeg bena­drukken hoe belang­rijk het is ieder endpoint te inven­ta­ri­seren en constant van de nodige updates en upgrades te voorzien. Wanneer een orga­ni­satie me vertelt dat ze alle PCs geïn­ven­ta­ri­seerd  hebben, raad ik ze altijd aan toch nog eens te tellen. We weten immers: shadow-IT zit overal. En zodra een afdeling een eigen budget kan besteden, ontstaat shadow-IT. Daarom is het bijzonder belang­rijk om een tool in te zetten die alle endpoints kan ontdekken, inven­ta­ri­seren en contro­leren op patches en upgrades. 
3. Maak een goede inven­taris van je software – Zoals de gebeur­te­nissen rond XZ en Log4J duidelijk maken, is waak­zaam­heid niet alleen geboden op het vlak van hardware. Ook de software die je gebruikt, kan je maar beter goed inven­ta­ri­seren. In de moderne manier van werken worden appli­ca­ties opgebouwd op basis van compo­nenten en libraries van verschil­lende oorsprong. Deze soft­wa­re­com­po­nenten en libraries worden vaak herge­bruikt en gedeeld. Het is zaak deze lappen­deken aan compo­nenten goed in kaart te brengen en te weten waar welke library ingezet wordt. Dat is dan ook precies de reden waarom de zogeheten ‘Software Bill of Materials’ (SBOM) de laatste tijd zoveel aan belang heeft gewonnen. 
4. Een plan van aanpak voor als het mis loopt – Een hack of een aanval kan je nooit helemaal voorkomen, hoe goed je ook voor­be­reid bent. Zorg er daarom voor dat je een plan van aanpak klaar hebt voor die ene dag waarop alles misgaat. Weet welke instan­ties je moet infor­meren over de datalek, weet welke delen van je netwerk je eventueel moet uitscha­kelen… Door een weldoor­dacht plan op te stellen – en het ook daad­wer­ke­lijk te volgen – kan je vermijden dat het probleem alleen maar groter wordt.
5. Hoe gaan je IT-partners met cyber­se­cu­rity om? – Terecht wordt tegen­woordig meer aandacht besteed aan de hele supply chain. Het is niet voldoende om je eigen omgeving helemaal in kaart te brengen, het is cruciaal om ook te weten dat de partijen waar je mee samen­werkt, hun zaakjes goed op orde hebben. Werk dus met ze samen aan een veilig ecosysteem.
6. Heb je al een IT-hygiëne taskforce? – De persoon die de kwets­baar­heid inbouwde in de XZ-library had een lange­ter­mijn­visie. Anderhalf jaar werkte die geduldig mee bij de ontwik­ke­ling van Linux, tot-ie toesloeg. Ik zou bijna denken: hadden we allemaal maar zo’n lange­ter­mijn­visie. Omdat alles zo snel moet gaan, is er nauwe­lijks nog tijd om de meest basale aspecten van cyber­se­cu­rity op orde te krijgen. Toege­geven, het is een tijd­ro­vende klus om alle software en hardware te inven­ta­ri­seren en contro­leren. Maar toch wil ik ervoor pleiten om iedere orga­ni­satie te voorzien van een IT-hygiëne afdeling, die continu de basis onder­houdt. Een afdeling die niet onder tijdsdruk staat en zich niet moet plooien naar de waan van de dag. Maar die er wél voor zorgt dat alle cyber­hy­giëne-maat­re­gelen genomen worden. 

Iedereen maakt wel eens fouten en leert zo een wijze – en soms dure – les. Waar het op aankomt is: maak hooguit nieuwe fouten, maar trap niet telkens weer in dezelfde val. Door te zorgen voor een goede basis­hy­giëne op vlak van cyber­se­cu­rity en door de juiste lessen te trekken uit een event als de XZ-kwets­baar­heid, wapent een orga­ni­satie zich tegen de problemen die onge­twij­feld snel opnieuw de kop zullen opsteken.