Zo nu en dan kom je software tegen waarvan je denkt "dat is verrekt handig, waarom is daar nog niet eerder aan gedacht". Dat gevoel bekroop ons bij de Secunia Network Software Inspector (NSI), de grote broer van de Online en Personal Software Inspector die bij menig Security.NL lezer ongetwijfeld bekend is.

Het patchen van software is voor zowel systeembeheerders als thuisgebruikers een ware hel. Menig programma beschikt niet over een automatische update functie, en veel geïnstalleerde, maar weinig gebruikte software raakt in de vergetelheid, waarna er nooit meer iets gepatcht wordt. Gevolg is lekke applicaties en geïnfecteerde Windows machines. Het Deense Secunia, al enige tijd bekend vanwege de uitgebreide lekkendatabase die het bedrijf bijhoudt, zag haar kans schoon. Met de enorme kennis van lekke applicaties moest er toch een mogelijkheid zijn om het patchleed te verzachten? Eind 2006 verscheen de Personal Software Inspector. Via een online scan konden consumenten zien hoe lek hun machine wel niet was. Voor ondernemingen hadden de Denen een uitgebreidere oplossing in gedachten, de Network Software Inspector.

De opzet van de NSI is vrij eenvoudig. Er is een agent die op elk systeem wordt geïnstalleerd als een service en op ingestelde tijden het systeem scant of bedrijven gebruiken de Network Software Inspector die vanaf een server en via een eenvoudige GUI alle clients op het netwerk controleert. In dit geval moet de NSI software wel admintoegang hebben en horen zaken als remote registry en bestands- en printer delen op de client actief te zijn. Na het scannen worden de resultaten via HTTPS naar Secunia gestuurd en kunnen managers of systeembeheerders op hun eigen pagina inloggen en daar de resultaten van het netwerk zien, inclusief grafieken, bijbehorende rapportages en
management samenvattingen.

Ook is het mogelijk om via de webinterface de agents aan te sturen. Op die manier kan een systeembeheerder online zijn machinepark op lekke applicaties controleren. Naast alle overzichten van lekke applicaties geeft de software ook tips voor het installeren van updates en patches. Gebruikers van de Network Software Inspector hebben tevens toegang tot de uitgebreide beschrijving van beveiligingslekken die Secuna biedt, en die niet voor consumenten beschikbaar zijn.

Privacy en hackers

Niet alle bedrijven zal het lekker zitten dat informatie over beveiligingslekken naar Secunia wordt gestuurd, en dat die informatie ook via een weblogin toegankelijk is. Nu kun je de login sessie aan een IP-adres koppelen, het geeft toch te denken. Een aanvaller hoeft alleen maar de login te bemachtigen om meteen te zien welke applicaties het aan te vallen bedrijf draait en welke kwetsbaar zijn. CTO Thomas Kristensen ziet hier echter geen gevaar in: "De gegevens zou ik niet zo vertrouwelijk beschouwen, maar we moeten ze wel beschermen. Als ze uitlekken is dit het meest schadelijk voor Secunia. We verzamelen alleen meta data, en in het ergste geval zou een aanvaller van een specifieke PC de kwetsbaarheden weten. Hackers weten in het algemeen welke applicaties kwetsbaar zijn, en dat er binnen bedrijven altijd machines zijn die niet zijn geupdate. Het verkrijgen van de informatie van de Network Software Inspector levert dan ook niet veel op."

"Als een aanvaller een specifiek netwerk wil binnen komen, dan stuurt die wel een e-mail naar bepaalde werknemers met een link die gekoppeld is aan een exploit. De waarde wat betreft ongepatchte beveiligingslekken is dan ook veel groter voor de klant dan voor een aanvaller," zegt Kristensen.

Paranoïde of niet, het is goed voor te stellen dat bedrijven niet willen dat hun gegevens naar Denemarken worden gestuurd. Daarnaast kan ook wetgeving of andere beperkingen een rol spelen waarom dit soort informatie niet verspreid mag worden. Daarom is er ook een Hosted Server optie, waarbij bedrijven de Secunia software lokaal op een server installeren. De enige communicatie die dan plaatsvindt zijn de updates tussen de lokale server en de beveiligingslekken database van Secunia. Bedrijven die deze optie willen moeten wel 5000 euro voor de serverlicentie betalen.

Prestaties

In tegenstelling tot de consumenten versies, beschikt de Network Software Inspector over 3 scan mogelijkheden: Inspecteren van applicaties op standaard locaties, inspecteren van applicaties in niet-standaard locaties en het inspecteren van alle dll, .exe en .ocx bestanden, iets wat beter niet via het netwerk kan worden gedaan. Voor het scannen via de NSI moet er eerst een host worden aangemaakt. De hosts zijn weer onder te brengen in verschillende groepen. Zo kun je bijvoorbeeld voor verschillende afdelingen binnen het
bedrijf een groep maken. Het scannen verloopt vrij vlotjes en was op de meeste testmachines binnen enkele minuten afgerond. Zijn er trouwens applicaties die de NSI niet herkent, dan kunnen die eenvoudig worden aangemeld. De kans hierop is klein, want Secunia monitort meer dan 5890 applicaties (waarbij een bepaalde serie van een applicatie, bijvoorbeeld Opera 9.00, 9.01, 9.23, als 1 applicatie wordt beschouwd).

Rapportage

Om indruk op het management te maken rolt er na elke scan een uitgebreid overzicht uit. Niet alleen staat het aantal gescande hosts, gevonden lekken en niet meer ondersteunde applicaties vermeld. Alle aangetroffen beveiligingslekken worden verdeeld naar impact. Zelfs de mogelijke gevolgen, zoals het stelen van informatie, omzeilen van de beveiliging, uitvoeren van willekeurige code, etc., staan netjes weergegeven en zijn zelfs voor minder technische managers begrijpelijk. Managers die zullen inzien dat de tool met zijn 20 euro per jaar per werkplek (of 18 euro voor 3 jaar, 16 euro voor 5 jaar) een zinvolle investering is. Een virusscanner biedt tenslotte weinig bescherming tegen een lekke versie van Adobe Reader of QuickTime.

Conclusie

De Network Software Inspector is een krachtige inspectie-tool met een hoog "what you see is what you get" gehalte. Het is belangrijk om het niet als een patch management tool te zien, want dat is het niet. In dit interview liet Kristensen weten dat het patchen van lekken nog toekomstmuziek is. Toch is het de vraag "echte" patch management tools zoveel applicaties als Secunia herkennen en zo eenvoudig zijn te bedienen. Wat bedieningsgemak betreft, komt de ontwikkelaar over een paar weken met een nieuwe interface die nog intuïtiever zou moeten werken. De huidige interface was voor veel gebruikers nog steeds te lastig. De nieuwe versie biedt dan ook meer begeleiding.

Een ander groot voordeel is dat er verschillende API’s beschikbaar zijn en komen, zodat de output en resultaten van de applicatie zelf verwerkt, of naar een andere applicatie gestuurd kunnen worden. Op deze manier kan een ander programma of patch management tool, aan de hand van de resultaten van de NSI, bepaalde updates downloaden en uitrollen.

Normaliter zijn we niet zo snel positief, maar de NSI doet wat het moet doen en doet het ook nog eens goed. De enige minpunten aan deze zeer handige tool zijn volgens ons het feit dat de resultaten van de scans online staan en dat je standaard geen optie hebt om het sturen van informatie naar Secunia uit te schakelen, hoewel daar natuurlijk de Hosted Server editie uitkomst biedt. Qua prijs is de Network Inspector een no-brainer. Het enige dat nog ontbreekt is het automatisch patchen van alle lekke applicaties op het systeem, maar dat is zoals gezegd iets dat nog even op zich laat wachten. Zonder twijfel een onmisbaar stuk gereedschap voor systeembeheerders en IT-managers.

Lezers die de NSI zelf willen proberen kunnen hier een trial aanvragen. Wie Nederland als land invult wordt met voorrang behandeld.