Het Deense Secunia lanceert binnenkort de uiteindelijke versie van een universele Windows patchtool, die bijna alle applicaties op het systeem kan patchen. De eerste versie van de patchtool zal alleen Engelse versies van softwareprogramma's ondersteunen, maar er wordt gewerkt aan een gelokaliseerde versie, zo laat CSO Thomas Kristensen in een interview met Security.nl weten. Veel mensen vinden dat Microsoft in een Windows een generieke patchtool had moeten inbouwen, zodat eindgebruikers eenvoudig alle geinstalleerde applicaties kunnen bijwerken. "De oorspronkelijke leverancier van de software is altijd de eerste verantwoordelijke", merkt Kristensen op.

Microsoft had volgens de Deen echter iets van een oplossing in Windows moeten inbouwen om andere applicaties te updaten, of het in ieder geval eenvoudiger voor andere partijen moeten maken om dit te doen. "Het zou goed voor gebruikers zijn geweest als het besturingssysteem of Microsoft [het updaten van applicaties] had gedaan." Kristensen noemt Android smartphones, iPhone en Windows Phone 7 als platformen waar het wel gebeurt en waar het goed werkt. "Je zou iets soortgelijks ook in de pc-wereld kunnen doen."

Het idee voor een generieke patchtool voor Windows is iets dat al langer leeft, maar voorheen werd er altijd gezegd dat softwareleveranciers niet wilden dat anderen hun patches zouden verspreiden. Die situatie is echter veranderd, zegt Kristensen. Secunia schakelde verschillende advocaten in om uit te zoeken of een generieke Windows patchtool juridisch wel was toegestaan. Uiteindelijk vond men verschillende manieren om het te doen. Toch was dat niet het belangrijkste aspect, merkt Kristensen op. "Drie jaar geleden zeiden de softwareleveranciers nog dit is onze software en je mag het niet aanraken. Wij zijn zelf in staat om onze gebruikers te updaten." Die houding is in de afgelopen drie jaar radicaal omgedraaid, aangezien veel bedrijven niet in staat zijn hun gebruikers te updaten. "Elke dag raken mensen weer besmet omdat ze niet gepatcht zijn."

Veel softwareleveranciers zullen een initiatief om hun gebruikers updates te laten installeren dan ook niet meer in de weg staan. "Bij het installeren van updates volgen we altijd hun richtlijnen en best practices. Dat is van essentieel belang." Op deze manier is Secunia niet aansprakelijk en kan de gebruiker op ondersteuning van de leverancier rekenen. Met name leveranciers van software die vaak wordt aangevallen vinden het al lang best dat iemand anders het update probleem oplost. "Niemand wil zo als Adobe in de aandacht komen."

Updaters
Het is echter de vraag of mensen die hun software niet via de updater van hun softwareleverancier updaten, dat wel doen via een generieke patchtool van Secunia. Volgens Kristensen is er echter een verschil met deze updaters en de Secunia Personal Software Inspector. "Wij vertellen ze nadrukkelijk dat er een beveiligingsupdate klaarstaat. Daar reageren veel mensen op, terwijl je bij de updates van andere leveranciers niet weet waarom je een update moet installeren." Regelmatig komt het voor dat leveranciers in hun updates, al dan niet security gerelateerd, nieuwe features en opties stoppen waar de eindgebruiker niet op zit te wachten. Die is daardoor huiverig om updates uit te rollen. Een ander punt dat voor de PSI spreekt, is dat het één tool is, in tegenstelling tot de talloze verschillende updaters die de leveranciers gebruiken. "Dat is eenvoudiger voor mensen om bekend mee te raken en laat ze in één keer hun systeem patchen."

Veel updaters van softwareleveranciers vragen bij het openen van een bestand of men de applicatie wil updaten, maar de meeste gebruikers klikken de boodschap dan weg omdat ze het documenten willen bekijken en niet het programma willen bijwerken. "Dat is één van de dingen die er mis zijn met deze updaters." Kristensen kan niet zeggen welke updater het slechtst is. "Wat ze zo slecht maakt, is dat ze allemaal verschillen en op verschillende wijze communiceren. Als ze allemaal even slecht, maar hetzelfde waren, was het eenvoudiger voor gebruikers om hiermee om te gaan."

Stiekem patchen
Sinds de komst van Google Chrome is gebleken dat het stiekem patchen van gebruikers zeer succesvol is. "Vanuit de beveiliging van de gebruiker gekeken is er geen twijfel dat de aanpak van Google en Microsoft zeer effectief is. Er zijn veel goede dingen over te zeggen", laat de Deen weten. Hij waarschuwt dat leveranciers die "stiekem patchen" dit niet moeten gebruiken om nieuwe software en plugins te verspreiden. In dat licht vallen Microsoft en Google volgens Kristensen nog wel mee, maar er zijn ook partijen die bij de installatie van een update allerlei toolbars en andere ongevraagde producten installeren. "Dan is de stille aanpak een stuk erger."

Als het aan Kristensen zou liggen gaat Google een model hanteren waarbij gebruikers kunnen kiezen of ze stiekem willen patchen of niet. "Voor negen van de tien mensen is stil patchen prima, maar dring het niet aan iedereen op. Dat is de enige kritiek die ik op de Google updater heb." Soms kan er een reden zijn waarom mensen een oude versie willen gebruiken, een keuze die men bij programma's die stiekem patchen niet heeft.

Wat betreft de tientallen miljoenen ongepatchte internetgebruikers komt dit volgens Kristensen niet omdat het mensen niets kan schelen. "Het probleem is dat ze het gewoon niet weten." Dat laat meteen de noodzaak van automatisch updaten voor de meeste gebruikers zien.

Naast de Personal Software Inspector waarmee Secunia verouderde applicaties in kaart brengt, is er ook de Online Software Inspector. De versimpelde tool scant via de browser alleen de populairste programma's op beveiligingslekken. Hiervoor is echter wel Java noodzakelijk, terwijl de plugin de laatste tijd regelmatig onder vuur ligt. Java-exploits worden met grote maat ingezet om systemen te infecteren, terwijl maar weinig websites Java gebruiken. Kristensen laat weten dat om de programma's te scannen, er toegang tot de lokale harde schijf van de gebruiker nodig is. "En dat kun je op twee manieren doen: Java of ActiveX." ActiveX zou betekenen dat men Internet Explorer moet gebruiken, vandaar dat er voor Java werd gekozen. "We wilden zo browser-onafhankelijk als mogelijk zijn."

Zowel de PSI als OSI blijken te werken, want gebruikers van de software zijn beter gepatcht dan doorsnee gebruikers. Daarnaast lopen internetgebruikers zonder de patchtools vaak meerdere patches van een bepaald programma achter. "En dat is een probleem, want hoe ouder het lek, hoe betrouwbaarder de exploits." Een ander kenmerk van PSI-gebruikers is dat ze alternatieve oplossingen voor populaire programma's gebruiken, zoals Foxit Reader in plaats van Adobe Reader. De PSI heeft inmiddels meer dan 3 miljoen gebruikers en de OSI wordt zo'n 3000 keer per dag uitgevoerd.

De vraag blijft echter hoe een tool als de PSI bij de doorsnee eindgebruiker terechtkomt. Een mogelijke optie is het vooraf te installeren op nieuwe computers, iets waar Secunia voor openstaat. "Het belangrijkste om een groter publiek te bereiken is echter het automatisch updaten en gelokaliseerde versies, zodat er geen Engels is vereist."

Op dit moment is Adobe Flash Player de minst gepatchte applicatie, gevolgd door Sun Java, Adobe Reader, Apple QuikTime en Adobe Air.