Nieuws

NL systeembeheerders lui met patchen

dinsdag 29 september 2009, 08:54 door Redactie, 10 reacties

Vier miljoen Windows machines van Nederlandse eindgebruikers zijn in het geval van een Microsoft noodpatch na twee weken gepatcht, iets waar bedrijven nog van kunnen leren, aldus Microsoft tegenover Security.nl. De ongeveer miljoen zakelijke computers moeten vaak veel langer wachten totdat essentiële updates geïnstalleerd worden. SANS publiceerde onlangs een lijst met vaak voorkomende beveiligingslekken binnen bedrijven. Volgens Ruud de Jonge, Director Developer & Platform Enthusiasm van Microsoft Nederland, is het ondanks alle communicatie lastig voor systeembeheerders om de juiste prioriteit tussen de oren te krijgen. "Er lopen heleboel systeembeheerders in Nederland rond die nog niet begrijpen dat ze systeembeheerder zijn." Volgens De Jonge hebben veel bedrijven geen IT-organisatie of een hele beperkte.

Thuisgebruikers doen het daarentegen stukken beter, mede omdat ze over het algemeen Windows Updates hebben ingeschakeld. Bij zakelijke gebruikers is dat niet zo, die zijn afhankelijk van de automatiseringsafdeling, gaat De Jonge verder. "En daar zit meestal tijd tussen en de afdeling moet vervolgens bepalen om de update ook daadwerkelijk uit te rollen en dat is niet altijd even duidelijk."

Testen
Een vaak gehoorde reden om met patchen te wachten is dat veel bedrijven eerst willen testen. De kwaliteit van de updates is inmiddels zo dat bijvoorbeeld Philips ze meteen durft uit te rollen. "In de praktijk zien we dat het meestal goed gaat", merkt De Jonge op. Hij voegt daaraan toe dat "meestal" binnen het support contract met zaken als aansprakelijkheid en verzekeringen niet goed genoeg is. "Daarom zullen wij altijd zeggen testen."

Sommige experts vinden dat Microsoft automatisch alle systemen moet kunnen upgraden, om zo problemen te voorkomen. Onlangs verplichtte de softwaregigant gebruikers van MSN om een update te installeren, anders konden ze de software niet meer gebruiken. Dit zijn echter uitzonderingen. "Er is natuurlijk een grens in hoeverre we in kunnen grijpen in de software van een individuele gebruiker. Voor je het weet haal je allerlei discussies op je hals dat Microsoft ingrijpt in de persoonlijke levenssfeer." De Jonge wijst naar de discussies over Windows en Office Genuine Advantage programma.

Formeel is en blijft Microsoft de eigenaar van de software. Toch is het voorzichtig met het forceren van updates. Daarbij wil het legitieme gebruikers belonen, door die bijvoorbeeld gratis Security Essentials te laten downloaden. Het afsluiten van illegale gebruikers of terugroepen van licenties als de gebruiker met patchen achterloopt lijkt niet aan de orde. "Dat ligt zeer gevoelig."

Reverse engineering
Voor bedrijven en thuisgebruikers is het van groot belang dat ze zo snel mogelijk hun machines updaten. Zodra Microsoft de patches online zet, is het soms een kwestie van twee uur voordat aanvallers de patch uit elkaar getrokken hebben voor het maken van hun eigen exploit. Door alle informatie die Microsoft uitbrengt wordt het voor aanvallers die de kwetsbaarheid nog niet ontdekt hadden eenvoudiger om hier toch misbruik van te maken. "Iets wat steeds vaker voorkomt."

Om reverse engineering en misbruik tegen te gaan neemt Microsoft van tevoren contact op met anti-virusbedrijven en IDS/IPS leveranciers zodat die hun signatures kunnen aanpassen en nog te verschijnen exploits detecteren. Op deze manier krijgen klanten van deze bedrijven de tijd om hun patches in hun eigen tempo uit te rollen. De informatie die Microsoft verstrekt gaat ver, zegt De Jonge. Het gaat niet alleen om de patches, maar in sommige gevallen levert de softwaregigant ook de exploitcode voor het onderliggende lek. "Op deze manier kunnen ze vooruitlopen op de exploit die waarschijnlijk binnen een paar uur na het uitbrengen van de patch zal verschijnen.”

Schakel
Aanvallers kiezen steeds vaker voor applicaties van derden en laten daarbij lekken in Windows zelf links liggen. Volgens De Jonge maakt het aanvallers niet uit hoe ze het systeem overnemen. Ze gaan daarbij altijd voor de zwakste schakel. "En wat dat betreft denk ik dat wij qua OS een toch wat sterkere schakel beginnen te worden. En het ligt voor de hand dat men nu gaat kijken welke broeders het wat minder goed op orde hebben." Met name verschillende plugins zoals die van Flash en Adobe Reader vormen een geliefd doelwit.

Firefox is sinds kort begonnen met het waarschuwen van gebruikers die een lekke Adobe plugin draaien. De Jonge laat weten dat Microsoft in het verleden verschillende keren een security advisory over de software van een andere leverancier heeft uitgebracht. "De vraag is of wij dit in het Windows Update mechanisme moeten meenemen. Ik denk dat de complexiteit om dat voor elkaar te krijgen immens is." Al bij het toevoegen van de eigen software en updates noemt De Jonge dit complex, "laat staan bij de software van derden, maar ik geef toe dat het een intrigerend concept is."

Gratis Microsoft virusscanner nu te downloaden

"Mac virusscanner ruikt naar marketing"

Reacties (10)

29-09-2009, 09:16 door bernd

de auteur gaat er gemakshalve vanuit dat thuisgebruikers updates automatisch laten installeren. Ik zie graag een onderzoek waaruit blijkt dat meer dan 50% up to date is. Bovendien worden veel updates pas geinstalleerd bij het herstarten van de pc. Als je je laptop elke keer op slaapstand mikt, zal je enigszins achterlopen....

Testen
Een vaak gehoorde reden om met patchen te wachten is dat veel bedrijven eerst willen testen. De kwaliteit van de updates is inmiddels zo dat bijvoorbeeld Philips ze meteen durft uit te rollen. "In de praktijk zien we dat het meestal goed gaat", merkt De Jonge op. Hij voegt daaraan toe dat "meestal" binnen het support contract met zaken als aansprakelijkheid en verzekeringen niet goed genoeg is. "Daarom zullen wij altijd zeggen testen."

de fout om niet te testen maak je als sysadmin maar één keer. vanaf ca 50 werkplekken is het nuttig om in WSUS een test- en een productiegroep aan te maken, waarbij de testgroep (10-30% van alle werkstations) de updates direct krijgt en de rest twee weken later (handmatig). de "testmachines" zijn standaardwerkplekken, verspreid over diverse afdelingen. als een update een kritische applicatie om zeep helpt, heb je dat snel door, terwijl je bedrijf hiervan weinig last heeft.

Dat is het handige van een open source installatie. Bij de meeste Linux distro's is één updatecommando genoeg om alle software bij te werken. MS zou een API vrij kunnen geven zodat de functionaliteit van windows update gebruikt kan worden voor het bijwerken van andere produkten, zoals van adobe en Sun. Hiermee ben je gelijk af van al die vage(en mogelijk brakke) update scriptjes met bijbehorende meldingen in 3rd party software.

29-09-2009, 10:29 door SirDice

Door bernd: de fout om niet te testen maak je als sysadmin maar één keer. vanaf ca 50 werkplekken is het nuttig om in WSUS een test- en een productiegroep aan te maken, waarbij de testgroep (10-30% van alle werkstations) de updates direct krijgt en de rest twee weken later (handmatig). de "testmachines" zijn standaardwerkplekken, verspreid over diverse afdelingen. als een update een kritische applicatie om zeep helpt, heb je dat snel door, terwijl je bedrijf hiervan weinig last heeft.

Helemaal mee eens.

29-09-2009, 11:27 door Anoniem

"de auteur gaat er gemakshalve vanuit dat thuisgebruikers updates automatisch laten installeren."
Klopt, alleen staat die standaard op 3:00 snachts! En als je computer dan niet aanstaan heb je een probleem, want hij haalt niets in.

En als je dan die tijd goed hebt ingesteld krijg zo'n leuke update die hem terug zet naar default settings.
En kies je voor om te downloaden & installeren krijg je een venster dat aangeeft dat je 30 seconde de tijd om te annuleren omdat je anders al je niet opgeslagen werk kwijt bent :D

Laat nu Microsoft is goed en vooral zeer kritisch naar zich zelf kijken i.p.v van de grote broer te spelen die alles beter weet.

29-09-2009, 11:31 door Anoniem

... Onlangs verplichtte de softwaregigant gebruikers van MSN om een update te installeren, anders konden ze de software niet meer gebruiken.

Eerder vanuit commercieel belang dan vanuit veiligheid, wat er tegenwoordig al niet wordt geïnstalleerd als je de default installatie doorloopt.

29-09-2009, 13:20 door prikkebeen

MS zou misschien zoiets als die tool van Secunia (PSI) kunnen meeleveren bij Windows. Men kan dan zien wat er out of date is en het eventueel updaten. Zo bieden ze een mooie service en leggen de eindverantwoording bij de gebruiker. De veiligheid van het hele systeem kan zo verbeteren. Alle beetjes helpen en het komt uiteindelijk ook MS ten goede.

29-09-2009, 14:32 door mathijsk

Inderdaad, net alsof er nooit een patch is geweest die voor grote problemen heeft gezorgd. Veel systeembeheerders kijken eerst even de kat uit de boom en testen zelf eerst het een en ander voordat ze het binnen het gehele bedrijf uitrollen.
Soms ben je namelijk minder te schaden door een lek, dan een patch die een level 1 veroorzaakt binnen het bedrijf.

MS mag eerst zelf perfecte software gaan afleveren voor ze met dit soort vingertjes zwaait imo.

29-09-2009, 18:25 door Ilja. _V V

Door Anoniem: Klopt, alleen staat die standaard op 3:00 snachts! En als je computer dan niet aanstaan heb je een probleem, want hij haalt niets in.

En als je dan die tijd goed hebt ingesteld krijg zo'n leuke update die hem terug zet naar default settings.
En kies je voor om te downloaden & installeren krijg je een venster dat aangeeft dat je 30 seconde de tijd om te annuleren omdat je anders al je niet opgeslagen werk kwijt bent :D

Laat nu Microsoft is goed en vooral zeer kritisch naar zich zelf kijken i.p.v van de grote broer te spelen die alles beter weet.

Uit zo'n opmerking blijkt dan weer dat dat type schrijvers totaal geen benul over de werking van Windows heeft.

Voor dat soort updates waarvoor een herstart niet noodzakelijk is kan je nl. ook gewoon een groepsbeleid instellen waardoor je van die updates niets meer merkt.
Tevens kan je op dezelfde manier zowel gebruikers de mogelijkheid bieden om updates te kiezen & te laten installeren, plus verplichte herstarts uitstellen tot de gebruiker zelf afsluit, de éérste melding tot herstart maximaal een half uur & opvolgende meldingen een heel etmaal uit stellen.

29-09-2009, 18:58 door Anoniem

Wat ik het meeste meemaak bij typische kantoor automatiseerders is:

a) desinteresse- of niet ter zake kundig zijn in beveiling, of

b) bang zijn dat patches mislukken en het systeem faalt

Wat je daar tegen kan doen laat ik graag aan deskundigen over, maar ik vermoed dat het uitkomt op

a) educatie

b) droog rampoefeningen verplicht opnemen in de jaarlijkse systeemevaluatie (oid)

02-10-2009, 11:17 door Anoniem

@Ilja. _\\//: Dan moet wel met Windows server werken, ik had het hier over normale thuisgebruikers.
Iedere systeem beheerder heus wel hoe hij Windows zo moet instellen dat het up-to-date word gehouden en veilig is.

Maar een normale thuisgebruiker weet dit niet, een systeem dat zo is ingesteld vanaf de installatie zelf is zo onveilig als het maar kan. Natuurlijk, geen systeem is veilig zonder een goede antivirus. Maar up-to-date zijn is al een grote stap in de goede richting.
Al is het maar dat hij de update inhaalt! het is laakbaar dat hier geen rekening mee is gehouden.

06-10-2009, 05:06 door Uruk-Hai

Microsoft vergeet gemakshalve de door hen gratis meegeleverde bugs in de software.
Om over hun gebrekkig functionerende beheer tools nog maar te zwijgen.

Voorbeeld 1:
Om in te loggen op een domein moet het werkstation contact kunnen maken met de domeinserver. Echter, als ik een Windows XP werkstation aanmeld in het domein en dan de netwerkkabel uit de computer trek, dan is het nog weleens mogelijk om in te loggen met de domeinnaam in het inlogvenster vermeld (dus op het oog op het domein inloggen), terwijl dat eigenlijk niet hoort te kunnen.

Voorbeeld 2:
Ik weet van Server 2003 dat een eenmaal ingestelde domein policy effectief kan blijven nadat je hem via de policy beheertool hebt uitgeschakeld. Ik vind dat zoiets gewoon niet hoort te kunnen. Het is namelijk enorm irritant.

Voorbeeld 3:
Wat er allemaal ingeschakeld staat als Microsoft software net geinstalleerd is. Wat ik als gewoonte aan heb moeten leren is vanalles uitschakelen dat Microsoft standaard heeft ingeschakeld. Want anders gaan mijn eindgebruikers klagen over allerlei volstrekt overbodige services en meldingen die de workflow vertragen en venstertjes waar ze niks van snappen.

Voorbeeld 4:
Ik heb te vaak een update van Service Pack 3 voor Windows XP zien mislukken.
Mijn ervaringen met een geslaagde installatie van Service Pack 3 zijn daarbij ook nog eens niet al te positief.
Een aantal door ons veelgebruikte beheer trucs werken dan namelijk ineens niet meer zo goed.

Nu weet ik wel dat er mensen zijn die gaan roepen dat je moet gaan werken conform richtlijnen zoals Microsoft die opstelt, maar aan die richtlijnen heb ik geen donder als ik merk dat software niet doet wat het volgens de specificaties zou moeten doen. En daarom zoek ik weleens mijn toevlucht tot beheer trucs. Dat het dan niet werkt zoals het zou moeten werken wordt door mijn werkgever namelijk minder relevant gevonden dan dat het werkt.

Microsoft neemt dus vaak beslissingen bij het ontwerpen van software waar ik en velen met mij niet blij van worden.
En dan verbaasd deze Microsoft medewerker zich er over dat systeembeheerders "lui" zijn met het installeren van updates.
Die man heeft duidelijk geen benul van de dagelijkse praktijk.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer