image

Schneier: Patchen is geen oplossing

dinsdag 20 oktober 2009, 12:12 door Redactie, 8 reacties

Microsoft heeft de afgelopen zes jaar zo'n 745 beveiligingslekken gepatcht, volgens Bruce Schneier het bewijs dat het installeren van updates geen oplossing voor de problematiek van lekke software is. De beveiligingsgoeroe stelt dat er gewoon teveel updates zijn om te installeren en is het onmogelijk om ze allemaal bij te houden, iets waar hij ook al in 2001 voor waarschuwde.

Systeembeheerders krijgen vaak ten onrechte de zwarte piet, zo gaat Schneier verder. "Degene die computernetwerken beheren zijn ook mensen en mensen doen niet altijd wat verstandig is." Soms is het gewoon niet mogelijk om een belangrijk systeem offline te halen, is er niet voldoende personeel om alle machines te updaten of sloopt een patch iets anders op het netwerk. "Het wordt tijd dat de industrie beseft dat de verwachting dat het patchproces de netwerkbeveiliging zal verbeteren gewoon niet werkt." Inmiddels zijn we acht jaar verder en is de situatie nauwelijks verbeterd.

Onmogelijk probleem
Schneier noemt patchen dan ook een onmogelijk probleem. "Een patch moet ongelooflijk goed getest worden. Het moet zonder aanpassingen op elke configuratie van de software die er is werken." Voor beveiligingsredenen moet de update zo snel als mogelijk worden uitgerold. "Deze twee vereisten zijn tegenstrijdig: je kunt geen software hebben die zowel goed getest als snel geschreven is."

Voor oktober 2003 was het patchproces van Microsoft een zooitje, aldus Schneier. De patches waren niet goed getest, waarop systeembeheerders ze pas na een lange testperiode uitrolden. Toen verscheen patchdinsdag, een maandelijkse cyclus die een enorm succes is. "Microsoft's patches zijn beter getest en slopen veel minder vaak andere dingen." Als gevolg hebben meer mensen de Automatische Update functie ingeschakeld. Een nadeel is wel dat de tijd tussen een lek en de beschikbaarheid van een patch is toegenomen. Toch zal het in de toekomst niet veel beter worden. "Patchdinsdagen zijn mogelijk het beste dat we kunnen doen, maar het hele patchsysteem is fundamenteel stuk."

Ontwerp
Patchen is dan ook geen oplossing, en is dat ook nooit geweest, laat Schneier weten. "De cyclus van het vinden van beveiligingslekken en ze zo snel mogelijk proberen te dichten voordat aanvallers ze misbruiken is kostbaar, inefficiënt en onvolledig." Beveiliging moet daarom vanaf het begin in het ontwerp worden mee genomen. "We hebben security engineers nodig die bij het systeemontwerp betrokken zijn. Dit proces zal niet elk lek voorkomen, maar het is veiliger en goedkoper dan de patchloopband waarop we ons nu bevinden."

Reacties (8)
20-10-2009, 12:35 door Anoniem
Misschien voor bedrijven niet, maar voor consumenten wel, gewoon automatische updates aanzetten, en de lekken gaan dicht, en zo goed als nooit problemen met patches..
20-10-2009, 12:48 door Anoniem
Niet patchen is ook geen oplossing. We kunnen wel proberen om onverwoestbare dingen te maken, maar dat lukt toch meestal niet. De Titanic is daar een goed voorbeeld van.

En ja: Security engineers. Daar waren de grote softwarebedrijven natuurlijk nog niet op gekomen... En wat helpt dat als gebruikers het domweg vertikken om over te stappen op de beter ontworpen software.
20-10-2009, 13:15 door Anoniem
Door Anoniem: En wat helpt dat als gebruikers het domweg vertikken om over te stappen op de beter ontworpen software.

Niks, voor de niet-overstappers. Maar dat is dan hun probleem. Wanneer de mensen die de secure-by-design software gebruiken geen last van de rotzooi meer hebben zijn zij tenminste geholpen.
Plus daarbij: secure-by-design software voor de gewone consument is op dit moment nog ver te zoeken.

*rent weg voor de flame-war*
20-10-2009, 13:38 door Syzygy
Deels mee eens, als je een SLA van 99,99 hebt en je kunt per maand of per twee maanden één keer rebooten dan loop je snel achter (als voor een patch een reboot nodig is). Je kunt echter wel van te voren een risico analyse maken van het NIET TIJDIG patchen t.o.v. misbruik van de te patchen vulnerability.
20-10-2009, 13:44 door Anoniem
"Microsoft heeft de afgelopen zes jaar zo'n 745 beveiligingslekken gepatcht, volgens Bruce Schneier het bewijs dat het installeren van updates geen oplossing voor de problematiek van lekke software is. De beveiligingsgoeroe stelt dat er gewoon teveel updates zijn om te installeren en is het onmogelijk om ze allemaal bij te houden, iets waar hij ook al in 2001 voor waarschuwde. "

Security moet inderdaad deel uitmaken van de produkt ontwikkeling, maar dat is in veel gevallen al lang het geval. Wat dat betreft noem ik dit toch een geval van wishful thinking. Je kunt misschien het aantal patches nog wat verder terugbrengen, maar security updates zal je helaas toch blijven houden. Security engineers kunnen zeker een bijdrage leveren, maar ook zij zijn niet alwetend en zullen ook niet iedere zwakheid vinden.
20-10-2009, 15:20 door Anoniem
Door Anoniem:
Door Anoniem: En wat helpt dat als gebruikers het domweg vertikken om over te stappen op de beter ontworpen software.

Niks, voor de niet-overstappers. Maar dat is dan hun probleem. Wanneer de mensen die de secure-by-design software gebruiken geen last van de rotzooi meer hebben zijn zij tenminste geholpen.
Plus daarbij: secure-by-design software voor de gewone consument is op dit moment nog ver te zoeken.

*rent weg voor de flame-war*

komt ook door de markt zelf; bij off-the-shelf software heeft men nou eenmaal liever features dan veiligheid, en een leverancier die op beiden focust prijst zichzelf de markt uit
20-10-2009, 15:24 door Anoniem
Schneier heeft zelf een patch nodig om zijn visie iets te nuanceren denk ik
24-10-2009, 11:38 door Anoniem
DWZ dat er elke 3 dagen een veiligheidslek wordt ontdekt........

Ik snap niet dat mijn PC's nog draaien!

Tijd om op een andere manier software te ontwerpen!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.