De XZ-kwetsbaarheid uitgelegd – en hoe dit te voorkomen

We hebben nog maar net de meest recente bedreigingen tegen de cybersecurity aangepakt, of daar is de volgende al. Recent was heel wat te doen rond de kwetsbaarheid in de XZ libraries. Iedereen die een Linux-distributie gebruikt die van XZ gebruikt maakt, moet dus aan het patchen slaan. Het is een nieuwe ‘wake-up’ call voor iedereen die met IT en security bezig is, om zowel een beleid uit te werken, als de nodige tools in te zetten. 

Hoewel de XZ-kwetsbaarheid een stuk minder impact heeft dan Log4J, kent deze case toch wel een aantal merkwaardige eigenschappen. Zo blijkt dat de ontwikkelaar die de kwetsbaarheid inbouwde, zelf meewerkte aan het ontwikkelen en onderhouden van componenten van de XZ library. Dat liet deze persoon toe vertrouwen te wekken in de Linux-wereld, waarna die kans zag achterpoortjes te gaan inbouwen. Bovendien had de ontwikkelaar een langetermijnvisie. Wie het TV-format ‘Wie is de Mol’ kent, weet dat ‘de mol’ meestal na acht afleveringen ontdekt wordt. Deze XZ-mol slaagde erin zich anderhalf jaar schuil te houden. Net als alle deelnemers aan Wie is de Mol verdacht zijn, kan nu plots iedereen uit de Linux-ontwikkelaarscommunity een potentiële schurk zijn. Wie weet immers wat een ontwikkelaar tussen de vele lijnen code weggemoffeld heeft?

Uit deze nare cybercrime-episode kunnen we een aantal lessen trekken.

1. Rust niet op je lauweren – Solarwinds, Kaseya, Log4J, XZ,… de nieuwe bedreigingen voor de cybersecurity volgen elkaar steeds sneller op. Zeker in de huidige geopolitieke omstandigheden kan je er donder op zeggen dat Russen, Chinezen, Iraniërs, Noord-Koreanen… (trouwens, wellicht ook Amerikanen, Engelsen, Nederlanders…) ergens wat regels code aan het schrijven zijn die overheidsinstanties, bedrijven, tot zelfs het hele internet plat kunnen leggen. 99% van het internet draait op Linux – er zijn vast nog wat veelgebruikte libraries die niet helemaal safe zijn. Ga dus niet op je lauweren rusten nadat je Log4J of XZ aangepakt hebt. In de security-wereld ben je nooit klaar. 
2. Endpoint management is belangrijk – De meeste aanvallen komen nog steeds binnen via een onbeveiligde endpoint. We kunnen niet genoeg benadrukken hoe belangrijk het is ieder endpoint te inventariseren en constant van de nodige updates en upgrades te voorzien. Wanneer een organisatie me vertelt dat ze alle PCs geïnventariseerd  hebben, raad ik ze altijd aan toch nog eens te tellen. We weten immers: shadow-IT zit overal. En zodra een afdeling een eigen budget kan besteden, ontstaat shadow-IT. Daarom is het bijzonder belangrijk om een tool in te zetten die alle endpoints kan ontdekken, inventariseren en controleren op patches en upgrades. 
3. Maak een goede inventaris van je software – Zoals de gebeurtenissen rond XZ en Log4J duidelijk maken, is waakzaamheid niet alleen geboden op het vlak van hardware. Ook de software die je gebruikt, kan je maar beter goed inventariseren. In de moderne manier van werken worden applicaties opgebouwd op basis van componenten en libraries van verschillende oorsprong. Deze softwarecomponenten en libraries worden vaak hergebruikt en gedeeld. Het is zaak deze lappendeken aan componenten goed in kaart te brengen en te weten waar welke library ingezet wordt. Dat is dan ook precies de reden waarom de zogeheten ‘Software Bill of Materials’ (SBOM) de laatste tijd zoveel aan belang heeft gewonnen. 
4. Een plan van aanpak voor als het mis loopt – Een hack of een aanval kan je nooit helemaal voorkomen, hoe goed je ook voorbereid bent. Zorg er daarom voor dat je een plan van aanpak klaar hebt voor die ene dag waarop alles misgaat. Weet welke instanties je moet informeren over de datalek, weet welke delen van je netwerk je eventueel moet uitschakelen… Door een weldoordacht plan op te stellen – en het ook daadwerkelijk te volgen – kan je vermijden dat het probleem alleen maar groter wordt.
5. Hoe gaan je IT-partners met cybersecurity om? – Terecht wordt tegenwoordig meer aandacht besteed aan de hele supply chain. Het is niet voldoende om je eigen omgeving helemaal in kaart te brengen, het is cruciaal om ook te weten dat de partijen waar je mee samenwerkt, hun zaakjes goed op orde hebben. Werk dus met ze samen aan een veilig ecosysteem.
6. Heb je al een IT-hygiëne taskforce? – De persoon die de kwetsbaarheid inbouwde in de XZ-library had een langetermijnvisie. Anderhalf jaar werkte die geduldig mee bij de ontwikkeling van Linux, tot-ie toesloeg. Ik zou bijna denken: hadden we allemaal maar zo’n langetermijnvisie. Omdat alles zo snel moet gaan, is er nauwelijks nog tijd om de meest basale aspecten van cybersecurity op orde te krijgen. Toegegeven, het is een tijdrovende klus om alle software en hardware te inventariseren en controleren. Maar toch wil ik ervoor pleiten om iedere organisatie te voorzien van een IT-hygiëne afdeling, die continu de basis onderhoudt. Een afdeling die niet onder tijdsdruk staat en zich niet moet plooien naar de waan van de dag. Maar die er wél voor zorgt dat alle cyberhygiëne-maatregelen genomen worden. 

Iedereen maakt wel eens fouten en leert zo een wijze – en soms dure – les. Waar het op aankomt is: maak hooguit nieuwe fouten, maar trap niet telkens weer in dezelfde val. Door te zorgen voor een goede basishygiëne op vlak van cybersecurity en door de juiste lessen te trekken uit een event als de XZ-kwetsbaarheid, wapent een organisatie zich tegen de problemen die ongetwijfeld snel opnieuw de kop zullen opsteken.