NL systeembeheerders lui met patchen
Vier miljoen Windows machines van Nederlandse eindgebruikers zijn in het geval van een Microsoft noodpatch na twee weken gepatcht, iets waar bedrijven nog van kunnen leren, aldus Microsoft tegenover Security.nl. De ongeveer miljoen zakelijke computers moeten vaak veel langer wachten totdat essentiële updates geïnstalleerd worden. SANS publiceerde onlangs een lijst met vaak voorkomende beveiligingslekken binnen bedrijven. Volgens Ruud de Jonge, Director Developer & Platform Enthusiasm van Microsoft Nederland, is het ondanks alle communicatie lastig voor systeembeheerders om de juiste prioriteit tussen de oren te krijgen. "Er lopen heleboel systeembeheerders in Nederland rond die nog niet begrijpen dat ze systeembeheerder zijn." Volgens De Jonge hebben veel bedrijven geen IT-organisatie of een hele beperkte.
Thuisgebruikers doen het daarentegen stukken beter, mede omdat ze over het algemeen Windows Updates hebben ingeschakeld. Bij zakelijke gebruikers is dat niet zo, die zijn afhankelijk van de automatiseringsafdeling, gaat De Jonge verder. "En daar zit meestal tijd tussen en de afdeling moet vervolgens bepalen om de update ook daadwerkelijk uit te rollen en dat is niet altijd even duidelijk."
Testen
Een vaak gehoorde reden om met patchen te wachten is dat veel bedrijven eerst willen testen. De kwaliteit van de updates is inmiddels zo dat bijvoorbeeld Philips ze meteen durft uit te rollen. "In de praktijk zien we dat het meestal goed gaat", merkt De Jonge op. Hij voegt daaraan toe dat "meestal" binnen het support contract met zaken als aansprakelijkheid en verzekeringen niet goed genoeg is. "Daarom zullen wij altijd zeggen testen."
Sommige experts vinden dat Microsoft automatisch alle systemen moet kunnen upgraden, om zo problemen te voorkomen. Onlangs verplichtte de softwaregigant gebruikers van MSN om een update te installeren, anders konden ze de software niet meer gebruiken. Dit zijn echter uitzonderingen. "Er is natuurlijk een grens in hoeverre we in kunnen grijpen in de software van een individuele gebruiker. Voor je het weet haal je allerlei discussies op je hals dat Microsoft ingrijpt in de persoonlijke levenssfeer." De Jonge wijst naar de discussies over Windows en Office Genuine Advantage programma.
Formeel is en blijft Microsoft de eigenaar van de software. Toch is het voorzichtig met het forceren van updates. Daarbij wil het legitieme gebruikers belonen, door die bijvoorbeeld gratis Security Essentials te laten downloaden. Het afsluiten van illegale gebruikers of terugroepen van licenties als de gebruiker met patchen achterloopt lijkt niet aan de orde. "Dat ligt zeer gevoelig."
Reverse engineering
Voor bedrijven en thuisgebruikers is het van groot belang dat ze zo snel mogelijk hun machines updaten. Zodra Microsoft de patches online zet, is het soms een kwestie van twee uur voordat aanvallers de patch uit elkaar getrokken hebben voor het maken van hun eigen exploit. Door alle informatie die Microsoft uitbrengt wordt het voor aanvallers die de kwetsbaarheid nog niet ontdekt hadden eenvoudiger om hier toch misbruik van te maken. "Iets wat steeds vaker voorkomt."
Om reverse engineering en misbruik tegen te gaan neemt Microsoft van tevoren contact op met anti-virusbedrijven en IDS/IPS leveranciers zodat die hun signatures kunnen aanpassen en nog te verschijnen exploits detecteren. Op deze manier krijgen klanten van deze bedrijven de tijd om hun patches in hun eigen tempo uit te rollen. De informatie die Microsoft verstrekt gaat ver, zegt De Jonge. Het gaat niet alleen om de patches, maar in sommige gevallen levert de softwaregigant ook de exploitcode voor het onderliggende lek. "Op deze manier kunnen ze vooruitlopen op de exploit die waarschijnlijk binnen een paar uur na het uitbrengen van de patch zal verschijnen.”
Schakel
Aanvallers kiezen steeds vaker voor applicaties van derden en laten daarbij lekken in Windows zelf links liggen. Volgens De Jonge maakt het aanvallers niet uit hoe ze het systeem overnemen. Ze gaan daarbij altijd voor de zwakste schakel. "En wat dat betreft denk ik dat wij qua OS een toch wat sterkere schakel beginnen te worden. En het ligt voor de hand dat men nu gaat kijken welke broeders het wat minder goed op orde hebben." Met name verschillende plugins zoals die van Flash en Adobe Reader vormen een geliefd doelwit.
Firefox is sinds kort begonnen met het waarschuwen van gebruikers die een lekke Adobe plugin draaien. De Jonge laat weten dat Microsoft in het verleden verschillende keren een security advisory over de software van een andere leverancier heeft uitgebracht. "De vraag is of wij dit in het Windows Update mechanisme moeten meenemen. Ik denk dat de complexiteit om dat voor elkaar te krijgen immens is." Al bij het toevoegen van de eigen software en updates noemt De Jonge dit complex, "laat staan bij de software van derden, maar ik geef toe dat het een intrigerend concept is."
Een vaak gehoorde reden om met patchen te wachten is dat veel bedrijven eerst willen testen. De kwaliteit van de updates is inmiddels zo dat bijvoorbeeld Philips ze meteen durft uit te rollen. "In de praktijk zien we dat het meestal goed gaat", merkt De Jonge op. Hij voegt daaraan toe dat "meestal" binnen het support contract met zaken als aansprakelijkheid en verzekeringen niet goed genoeg is. "Daarom zullen wij altijd zeggen testen."
Firefox is sinds kort begonnen met het waarschuwen van gebruikers die een lekke Adobe plugin draaien. De Jonge laat weten dat Microsoft in het verleden verschillende keren een security advisory over de software van een andere leverancier heeft uitgebracht. "De vraag is of wij dit in het Windows Update mechanisme moeten meenemen. Ik denk dat de complexiteit om dat voor elkaar te krijgen immens is." Al bij het toevoegen van de eigen software en updates noemt De Jonge dit complex, "laat staan bij de software van derden, maar ik geef toe dat het een intrigerend concept is."
Klopt, alleen staat die standaard op 3:00 snachts! En als je computer dan niet aanstaan heb je een probleem, want hij haalt niets in.
En als je dan die tijd goed hebt ingesteld krijg zo'n leuke update die hem terug zet naar default settings.
En kies je voor om te downloaden & installeren krijg je een venster dat aangeeft dat je 30 seconde de tijd om te annuleren omdat je anders al je niet opgeslagen werk kwijt bent :D
Laat nu Microsoft is goed en vooral zeer kritisch naar zich zelf kijken i.p.v van de grote broer te spelen die alles beter weet.
Eerder vanuit commercieel belang dan vanuit veiligheid, wat er tegenwoordig al niet wordt geïnstalleerd als je de default installatie doorloopt.
Soms ben je namelijk minder te schaden door een lek, dan een patch die een level 1 veroorzaakt binnen het bedrijf.
MS mag eerst zelf perfecte software gaan afleveren voor ze met dit soort vingertjes zwaait imo.
En als je dan die tijd goed hebt ingesteld krijg zo'n leuke update die hem terug zet naar default settings.
En kies je voor om te downloaden & installeren krijg je een venster dat aangeeft dat je 30 seconde de tijd om te annuleren omdat je anders al je niet opgeslagen werk kwijt bent :D
Laat nu Microsoft is goed en vooral zeer kritisch naar zich zelf kijken i.p.v van de grote broer te spelen die alles beter weet.
Voor dat soort updates waarvoor een herstart niet noodzakelijk is kan je nl. ook gewoon een groepsbeleid instellen waardoor je van die updates niets meer merkt.
Tevens kan je op dezelfde manier zowel gebruikers de mogelijkheid bieden om updates te kiezen & te laten installeren, plus verplichte herstarts uitstellen tot de gebruiker zelf afsluit, de éérste melding tot herstart maximaal een half uur & opvolgende meldingen een heel etmaal uit stellen.
a) desinteresse- of niet ter zake kundig zijn in beveiling, of
b) bang zijn dat patches mislukken en het systeem faalt
Wat je daar tegen kan doen laat ik graag aan deskundigen over, maar ik vermoed dat het uitkomt op
a) educatie
b) droog rampoefeningen verplicht opnemen in de jaarlijkse systeemevaluatie (oid)
Iedere systeem beheerder heus wel hoe hij Windows zo moet instellen dat het up-to-date word gehouden en veilig is.
Maar een normale thuisgebruiker weet dit niet, een systeem dat zo is ingesteld vanaf de installatie zelf is zo onveilig als het maar kan. Natuurlijk, geen systeem is veilig zonder een goede antivirus. Maar up-to-date zijn is al een grote stap in de goede richting.
Al is het maar dat hij de update inhaalt! het is laakbaar dat hier geen rekening mee is gehouden.
Om over hun gebrekkig functionerende beheer tools nog maar te zwijgen.
Voorbeeld 1:
Om in te loggen op een domein moet het werkstation contact kunnen maken met de domeinserver. Echter, als ik een Windows XP werkstation aanmeld in het domein en dan de netwerkkabel uit de computer trek, dan is het nog weleens mogelijk om in te loggen met de domeinnaam in het inlogvenster vermeld (dus op het oog op het domein inloggen), terwijl dat eigenlijk niet hoort te kunnen.
Voorbeeld 2:
Ik weet van Server 2003 dat een eenmaal ingestelde domein policy effectief kan blijven nadat je hem via de policy beheertool hebt uitgeschakeld. Ik vind dat zoiets gewoon niet hoort te kunnen. Het is namelijk enorm irritant.
Voorbeeld 3:
Wat er allemaal ingeschakeld staat als Microsoft software net geinstalleerd is. Wat ik als gewoonte aan heb moeten leren is vanalles uitschakelen dat Microsoft standaard heeft ingeschakeld. Want anders gaan mijn eindgebruikers klagen over allerlei volstrekt overbodige services en meldingen die de workflow vertragen en venstertjes waar ze niks van snappen.
Voorbeeld 4:
Ik heb te vaak een update van Service Pack 3 voor Windows XP zien mislukken.
Mijn ervaringen met een geslaagde installatie van Service Pack 3 zijn daarbij ook nog eens niet al te positief.
Een aantal door ons veelgebruikte beheer trucs werken dan namelijk ineens niet meer zo goed.
Nu weet ik wel dat er mensen zijn die gaan roepen dat je moet gaan werken conform richtlijnen zoals Microsoft die opstelt, maar aan die richtlijnen heb ik geen donder als ik merk dat software niet doet wat het volgens de specificaties zou moeten doen. En daarom zoek ik weleens mijn toevlucht tot beheer trucs. Dat het dan niet werkt zoals het zou moeten werken wordt door mijn werkgever namelijk minder relevant gevonden dan dat het werkt.
Microsoft neemt dus vaak beslissingen bij het ontwerpen van software waar ik en velen met mij niet blij van worden.
En dan verbaasd deze Microsoft medewerker zich er over dat systeembeheerders "lui" zijn met het installeren van updates.
Die man heeft duidelijk geen benul van de dagelijkse praktijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.