image

Security Tip van de Week: houd Windows, Java en Flash up-to-date

maandag 15 juli 2013, 10:27 door Danny Batenburg, 16 reacties

In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.

Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.

Deze week de Security Tip van Danny Batenburg

'Updates; gratis en net zo belangrijk als antivirus'
Software is nooit klaar. Gelukkig krijgen we als gebruikers altijd de laatste versie gratis, namelijk de update. Door het uitvoeren van updates verzeker je jezelf ook van een veiliger systeem. Updates worden door de softwarefabrikant uitgebracht om bijvoorbeeld nieuwe features te introduceren, maar ook om kwetsbaarheden te patchen omdat er exploits bekend zijn. Wanneer deze exploits bekend zijn, dan zitten ze in elk exploit pakket zoals bijvoorbeeld Metasploit.

Het is dan een wereldwijd bekende kwetsbaarheid geworden en die wordt ingezet bij het grootste deel van de aanvallen op systemen. Het niet updaten van je software maakt je kwetsbaar voor deze exploits, waardoor je een eenvoudig doelwit wordt voor cybercriminelen. Het laten vastlopen van systeembronnen, het verkrijgen van toegang tot jouw persoonlijke bestanden, bestandengegevens infecteren of zelfs het opnieuw formatteren van de harde schijf, zijn een handjevol mogelijkheden voor de cybercrimineel wanneer hij een kwetsbaarheid in jouw systeem heeft gevonden.

Het is ook mogelijk dat er zero-day exploits zijn, waar nog geen update voor is. Dan is beveiligingssoftware natuurlijk een preventie methode.
Met een update krijg je de laatste software gratis en het is net zo belangrijk als antivirus. Regelmatig updaten is dus een belangrijke stap naar veilig computergebruik.

Ben je benieuwd wat er veranderd is na een software update, dan kan dit worden teruggevonden in de changelog van de update. Hoe kun je eenvoudig updates laten uitvoeren? Laten we beginnen met het updaten van Windows.

Windows updates staan bekend om de langdurige installaties en worden daarom vaak uitgesteld of helemaal niet gedaan. Toch is het van wezenlijk belang om je besturingssysteem bij te werken. In Windows 7, Vista en zelfs XP hebben we de keuze uit een aantal manieren van updaten, te vinden in het configuratiescherm onder Windows Update 'instellingen wijzigen'.


  • De eerste optie neemt al het werk uit de handen van de gebruiker. Nieuwe updates worden automatisch opgehaald en elke dag op een vast tijdstip geïnstalleerd. Het nadeel is wel dat het systeem bij het afsluiten of de volgende keer opstarten tijd nodig kan hebben om installaties af te ronden.
  • De tweede optie is prettig voor de wat meer ervaren computergebruiker. Alle updates worden automatisch gedownload en klaargezet, maar de gebruiker bepaald welke updates wanneer geïnstalleerd worden. Dit voorkomt onverwacht lange opstarttijden, maar vereist wel enige discipline van de gebruiker.
  • Hetzelfde als optie 2, met als verschil dat er niets automatisch word gedownload. Tenzij er een reden is om zuinig met het dataverkeer om te gaan is dit niet aan te raden, simpelweg omdat het update proces langer duurt.
  • Tot slot kan je kiezen om in het geheel niet naar updates te zoeken, iets wat af te raden is.

Nu Windows bijgewerkt is, zijn we al een heel eind op weg.

Java is minstens zo belangrijk als de Windows systeemupdates omdat het dé grootste aanvalsvector voor drive-by malware is.

Het feit dat Java zo populair is (en dus bijna elk systeem het heeft) maakt het een geliefd doelwit. En dat is waar het allemaal fout gaat. Zo goed als Java is in het overbruggen van platformen, zo slecht is de beveiliging. Keer op keer worden er nieuwe zwakheden in de software gevonden waarmee de veiligheid van systemen ernstig gecompromitteerd wordt: men is in staat via exploits in de JVM systemen direct te infecteren met malware met alle gevolgen van dien: gigantische groepen gebruikers met kwetsbare systemen.

Het is verstandig te kijken of je Java überhaupt nodig hebt. Vaak komt het in de eerste plaats op computers omdat een website of een software er in een grijs verleden ooit om gevraagd heeft. De kans is groot dat je het allang niet meer gebruikt. In dat geval is de veiligste optie Java simpelweg te verwijderen. Als je het toch nodig hebt is het heel verstandig om alle oude versies te verwijderen, de meest recente versie te installeren en twee aanpassingen te maken bij de instellingen. Ga hiervoor naar configuratiescherm > Java.

  1. via update > advanced instellen; dat er dagelijks op updates wordt gecontroleerd en deze automatisch worden geïnstalleerd.
  2. de security settings aan te passen. Als er alleen lokaal geïnstalleerde Java applicaties worden gebruikt, is het niet nodig om Java content in de browser te ondersteunen. Mocht dit toch een vereiste zijn zet dan het veiligheidsniveau op de hoogste stand.


Het volgende item op de lijst is Adobe Flash.

Adobe Flash is een volledig mediaplatform. Talloze sites gebruiken het voor animaties, video, audio en interactie met de gebruiker. Surfen zonder Flash is onhandig, veel acties zelfs onmogelijk. Kortom, van Flash kom je niet af. Een kijkje op de lijst met security fixes van de software laat echter geen ruimte voor twijfel. Ook met dit pakket is het extreem belangrijk dat je de meest recente versie gebruikt.

Als je Internet Explorer of Firefox gebruikt, moet Adobe Flash handmatig worden geïnstalleerd. Kijk op deze pagina (een link naar je eigen systeem) om te zien hoe vaak er bij jou op updates worden gecontroleerd.

Een andere optie is overstappen naar Google Chrome. De Chrome browser biedt geïntegreerde ondersteuning voor Adobe Flash. Dat heeft 2 voordelen: ten eerste hoeft Flash niet meer direct op Windows geïnstalleerd te worden. Dit maakt het lastiger voor malware om bugs in Flash te misbruiken. Maar belangrijker is dat browserupdates updates direct via Google Chrome meekomen en automatisch worden geïnstalleerd.

Danny Batenburg is Security Consultant bij SpicyLemon

Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.

Update: typo in titel aangepast

Reacties (16)
15-07-2013, 10:40 door Anoniem
"Als er alleen lokaal geïnstalleerde Java applicaties worden gebruikt, is het niet nodig om Java content in de browser te ondersteunen. Mocht dit toch een vereiste zijn zet dan het veiligheidsniveau op de hoogste stand."

Het grappige is dat dit advies op den duur de veiligheid juist slechter zal maken!
Ales alle security consultants dit soort tips geven en de wereld gaat deze opvolgen, dan zullen de
hackers reageren door hun kwaadaardige applets "signed" aan te bieden, en dan wordt het probleem
juist groter in plaats van kleiner, omdat in Java een signed applet meer op het systeem mag doen.
15-07-2013, 10:52 door Anoniem
[admin] Thanks, je hebt helemaal gelijk. Het is aangepast [/admin]
15-07-2013, 11:02 door Anoniem
Staat met PRISM Windows niet wagenwijd open? Google Chrome is sowieso een groot lek naar o.a. Google toe?
Stap over op Linux/BSD (ook netjes de updates bijhouden) met Midora of Opera dan zit je een stuk safer kwa security.
15-07-2013, 12:15 door Zipper306
Overstappen naar google chrome ?
Die google chrome browser is pure spyware van aller ergste soort.

Die google chrome browser moet per direct verboden worden.
15-07-2013, 13:09 door RuudU
Het wil maar niet tot diverse botte hersentejs, zoals van Oracle en de Consumentenbond (Ook Gij Brutus) doordringen dat Java updates NIET WERKEN onder Windows Vista, 7, 8

Onder "werken" versta ik dat iets moet functioneren onder gebruik van het veiligheidsconcept van Windows. Ik werk dus onder een beperkt account want zo en niet anders is het juist. Wie het anders wil doen moet dat zelf weten, maar een leverancier die een besturingssysteem alleen ondersteund bij onveilig gebruik, is gewoon malafide.

Er wordt een update aangekondigd (rechts onder naast de klok) en die wordt geaccepteerd (uitvoeren) Dat heeft zoals verwacht tot gevolg dat User Account5 Controll om het wachtwoord van een beheerder vraagt. Dat wordt uiteraard gegeven.

De installatie wil beginnen, om vrijwel gelijk te worden afgebroken met de melding dat de vereiste bestanden niet konden worden gedownload.

In een artikel over het onveilige Java in De Digitaalgids, rept de Consumentenbond hier met geen woord over en daarop gewezen volgt als antwoord dat zij het niet merken, maar dat het "mogelijk komt doordat wij met een beheersaccount werken". Maar zoals ik het doe, zo laten de deskundigen van de bond weten, zou het ook moeten werken: hier staat het (verwijzing naar de site van Java waarvan ik vertel dat het niet werkt :-) En trouwens, ook op internet is er niets over te vinden. (zijn we nog te redden!)
15-07-2013, 13:53 door Spiff has left the building
Door Danny Batenburg:
Nu Windows bijgewerkt is, zijn we al een heel eind op weg.

Het vervelende is echter dat het uitvoeren van Windows Update geen 100 procent garantie geeft dat alle Windows-kwetsbaarheden waar een patch voor bestaat ook werkelijk gepatched worden.

Een kwetsbaarheid in MSXML 4.0 SP2 wordt al gedurende lange tijd niet gepatched via Windows/Microsoft Update.
Zie:
https://www.security.nl/artikel/46991/1/MS_ignores_XML_update_issue.html
Eerste twee delen in Engels,
deel drie en vier daaronder is de tekst in het Nederlands.
15-07-2013, 16:51 door [Account Verwijderd]
[Verwijderd]
15-07-2013, 17:01 door Anoniem
Installeer gewoon geen Java. En als je klant het nodig heeft dan inderdaad goed up-to-date houden.
WSUS voor Windows computers.
Adobe Flash gebruiken we WPKG en dan word het binnen een week uitgerold.
15-07-2013, 17:21 door softwaregeek
Ik zou zeggen; als je Java niet nodig hebt, verwijder het van je systeem. Java is een groot security probleem!
15-07-2013, 17:49 door Anoniem
Door Zipper306: Overstappen naar google chrome ?
Die google chrome browser is pure spyware van aller ergste soort.

Die google chrome browser moet per direct verboden worden.

Ja hoor, krijgen we daar gezeur weer. Er is helemaal niks mis met Google Chrome, het is ook geen spyware, dat zit gewoon tussen je oren hoor.
16-07-2013, 10:29 door Anoniem
Volgens mij is zijn de pdf-lezers vergeten als Adobe PDF Reader, Foxit PDF Reader, PDF-XChange Viewer, Sumatra PDF e.a. PDF blijkt ook nogal vaak misbruikt te worden voor aanvallen.
16-07-2013, 13:26 door schele
Nou gaan we zo de "update je systemen" topics recyclen? Ene keer over java, dan nog eens windows, dan de anti virus, hoppa 3 artikels met security tip van de week. Update je software, we weten het nu wel.
16-07-2013, 13:55 door Anoniem
Zeker weten dat dat van Google Chrome tussen de oren zit. IHet is minstens net zo lek als de rest. Alle browsers zijn net zo ruk. Maar het ligt uit eindelijk toch vaak aan de gebruiker. Kunnen wel dingen gaan verbieden en beveiligen maar zolang er nog steeds gebruikers zijn die niet goed weten wat ze doen maakt het niet uit wat je gebruikt.
Als jij weet wat je doet zul je bijna niet besmet raken.
16-07-2013, 20:34 door Briolet
Door RuudU: Het wil maar niet tot diverse botte hersentejs, zoals van Oracle en de Consumentenbond (Ook Gij Brutus) doordringen dat Java updates NIET WERKEN onder Windows Vista, 7, 8

Op de mac vergelijkbare problemen bij user accounts. t/m Snow Leopard, en waarschijnlijk ook Leopard, werkt een software update perfect. Je moet dan alleen de beheerders naam en wachtwoord invullen om de test en er op volgende installatie door te voeren.

Echter, vanaf Mountain Lion lopen de updates via de AppStore. Sommige updates ziet een user account wel, maar de belangrijkste, zoals Java, zie je niet als je vanaf een user account checkt. Juist omdat de meeste updates wel vanaf een user account werken, krijg je de indruk dat je alles weer up to date hebt.

Dus één belangrijke security tip mist nog in bovenstaand kader: Log periodiek in als beheerder en doe ook vanaf daar update checks.
17-07-2013, 12:41 door Anoniem
Bij Ubuntu/Lubuntu zie je de updates ook alleen bij het hoofd accoount, bij de extra gebruikers accounts zie je geen updates.
29-07-2013, 16:15 door NeedMoreInput
Weer een artikel hoe je updates dient in te stellen. Natuurlijk prettig voor de standaard gebruiker, echter vraag ik mij af in hoeverre dat deze community raakt. Dat is natuurlijk persoonlijk, maar geeft mij weinig vertrouwen in de kwaliteit van de topics.
Echter, indien iemand nog niet weet dat updates belangrijk zijn dan dien je eerder algemeen in te haken op het bewustzijn.Waarbij dit natuurlijk een stap in de juiste richting is, maar ik mis wel wat extra voorzichtigheid.

Achteraf in logfiles gaan kijken wat een update gedaan heeft lijkt mij mosterd na de maaltijd. Verdiep je svp eerst in de updates alvorens ze blind te installeren en achteraf te moeten troubleshooten. Ook al blader je er snel doorheen, maar weet op zn minst welke produkten het raakt en wat het doet. (Weet wat je doet)

Daarnaast, uit ervaring, blijkt dat zelfs windows updates (ondanks ze worden weergegeven als geïnstalleerd) weleens fout kunnen gaan, maar niet als zodanig door Microsoft worden weergegeven.. Blind vertrouwen op Microsoft of dergelijke zaken mag mi niet zomaar worden vertrouwd. Gebruik daarom altijd een extra tool (zie onder).

Ik mis referenties naar 3rd party tooling zoals psi secunia (desktop/consument), een gratis tool die naast Microsoft ook alle andere lokaal geinstalleerde software nakijkt en een aangeeft of er updates beschikbaar zijn en zodanig een beter beeld geeft dan alleen flash/java en MS.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.