Iemand positieve ervaringen met de integratie van de Corporate Software Inspector met WSUS?

<open deur>
apt-get update && apt-get upgrade
</open deur>

Tot zover deze flauwe reactie. Ik ben wel blij dat ze nu deze tool gaan ontwikkellen, zeker als ze dit gaan koppelen aan WSUS (zoals de CSI van Secunia). Dit gaat nog meer problemen verhelpen.

Dat is mooi, dan hoef ik niet steeds op Start -> Alle Programma's -> Windows Update te drukken bij de consument.
Als de tool alles kan updaten/patchen, zou dat hartstikke mooi zijn!

Erg mooi plan van Secunia, maar ik moet nog zien hoe geavanceerd die PSI 2.0 gaat worden.
Zou het werkelijk ook goed kunnen omgaan met programma's die zonder een goed doordachte handmatige update moeilijk netjes te patchen zijn, zoals bijvoorbeeld de vermaledijde Adobe Flash Player?
Zie: http://www.security.nl/artikel/30506/1/Flash_ook_lek_in_ActiveX_control.html
Mocht Secunia PSI 2.0 dergelijke geniepige programma's werkelijk netjes weten te patchen, dan zou dat een geweldige prestatie zijn.

Ik vind het bijzonder knap dat de prutsers van Secunia het verschil kunnen zien tussen een besmetting van een zero-day en na het uitbrengen van een (brakke) patch.
Is ook wel heel makkelijk roepen maar waar is het bewijs?
Hoe kan Secunia zien dat mijn PC besmet is VOOR of NA Microsoft een patch heeft uitgebracht (die al dan niet werkt).

Aan Anoniem 10:35 uur:
Waar heb je het nou toch over?
Secunia PSI kijkt niet naar besmettingen, maar slechts naar programmaversies en of de betreffende programma's daarmee al dan niet gepatched zijn.

De gemiddeld 75 patches van 22 verschillende leveranciers die de doorsnee consument moet installeren om up to date te blijven slaan op een periode van 12 maanden. Altijd handig om dat even te vermelden, het is heel wat anders dan per dag of per leven.

Walter meldt dat hij met apt-get werkt. Het fundamentele verschil tussen een Linux-distributie en Windows is in dit kader dat Linux in de vorm van softwaredistributies verspreid wordt. Er is een partij die de software uit al die ontelbare bronnen tot één geheel smeedt, en je vanuit die ene bron van updates voorziet voor het grootste deel, zo niet alles, van wat je geïnstalleerd hebt. Dat kan omdat het open source is, en de distributeur recht heeft om de software her te verspreiden. Bij commerciële software ligt dat veel moeilijker. Hoewel klanten er enorm veel baat van zouden hebben als daar een dergelijk distributiemodel zou bestaan zullen de leveranciers veel minder happig zijn om aan zoiets mee te doen, die geven een stuk autonomie en mogelijk een deel van de winst uit handen daarmee. Apple's AppStore komt misschien enigzins in de buurt van een softwaredistributie, en roomt volgens Wikipedia 30% van de opbrengst af. Dat kan omdat het een gesloten platform is. Dat suggereert dat dergelijke constructies alleen op de meest open en de meest gesloten platforms makkelijk van de grond te krijgen zijn. Petje af voor Secunia dat ze het op Windows proberen.

Wat een tool als dat van Secunia moet doen is niets meer of minder dan nagaan of het patchlevel van geïnstalleerde applicaties achterloopt bij wat de leverancier aanbiedt en zorgen dat achterstanden worden bijgewerkt. Dat heeft niets te maken met het herkennen van zero-day-ellende of de kwaliteit van de patch die de leverancier biedt. De moeilijkheid zit niet in het concept, da's op zich simpel zat, maar in het kunnen ondersteunen van al die verschillende leveranciers.

Ik denk dat je zelf wat al te makkelijk iets geroepen hebt. Ik neem aan dat je het zelf niet op prijs zou stellen op basis daarvan meteen voor prutser uitgemaakt te worden.

Ik vind het een prutprogramma. Nadat ik een scan had uitgevoerd bleek dat ik een aantal verouderde programma's op mijn pc had staan (die worden niet meer door de fabrikant ondersteunt). Nadat ik die programma's had verwijderd (incl. herstart van de pc) en ik opnieuw een scan had gedaan, bleef hij die meldingen geven. Wat ik ook niet begrijp van het programma is dat het wel lijkt alsof hij 2 verschillende scans door elkaar heen voert... Mijn conclusie: Het is een onoverzichtelijk programma. Beter is het om alle programma's die je gebruikt om de zoveel tijd zelf op updates te laten controleren (gewoon handmatig in het progrmma zelf naar Extra te gaan en Zoek Naar Updates of iets dergelijks aan te klikken). Programma's die je nooit gebruikt gewoon deinstalleren.

@Bastos,
Ik heb op mijn windows machine de PSI tool geprobeerd. Hij vond bij mij alleen een achterstallige Flash player (die installatie heb ik vorige week zelf uitgesteld, maar nu dus uitgevoerd). Zonder herstart een nieuwe scan uitgevoerd en ik kreeg keurig de melding dat ik volledig up-to-date was.

@Anoniem 12:02: Ik werk onder andere ook met Debian (en dus apt, Apple maakt overigens ook gebruik van de .deb bestanden, dus waarschijnlijk ook van (een aangepaste versie) van apt). Ik ben me ook terdege bewust van de grootste en moeilijkste obstakels om patchen van alle software onder Windows gemakkelijk te maken, Daarom hoop ik dat CSI (de commerciele variant van PSI die samen moet werken met WSUS) dit kan doen. Dit maakt het werk van de gemiddelde systeembeheerder een factor X eenvoudiger (afhankelijk van hoe effectief de beheerder zelf is).

Ik heb samen met mijn collega wel even wat informatie opgevraagd bij Secunia, gewoon om te weten wat de kosten zijn, of we wat extra informatie mochten ontvangen en vooral of we dit vanuit een centraal punt voor onze klanten kunnen gebruiken :).

Het is van de zotte dat je als consument allerlei verschillende apps moet starten om te kunnen updaten of überhaupt te checken of er een update is voor de betreffende software, en soms is het totaal onduidelijk hoe je zoiets moet doen. Hoe check je of er een update is voor Flash en hoe draai je dan die update? (Ja *ik* weet dat wel, zie http://www.security.nl/artikel/32570/1/kuch%2C_adobe_flash_player_%2Cdirect_downloaden%3F.html, maar een leek snapt dat natuurlijk niet en update dus nooit).

Helemaal ziek word ik van geheugen en performancevretende junk die je na inloggen laat wachten tot je eindelijk wat kunt doen en vaak daarna als een (soort) service in de achtergrond blijft draaien (voorbeeld: "C:\Program Files\Java\jre6\bin\jusched.exe" in HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run).

Prima wat Secunia nu doet, maar Microsoft zou zo'n tool moeten maken!

D.w.z. gewoon integratie in het besturingssysteem, en een generieke manier waarop updates naar de PC worden getrokken. Dat wil niet zeggen dat Microsoft een soort apt-get moet maken en zelf die updates moet gaan packagen en verspreiden, maar gewoon op gestandaardiseerde plaatsen in het register URL's opnemen voor het ophalen van bijv. een XML bestandje met daarin:
- de actuele softwareversie bij de producent
- URL voor de download
- een verwijzing naar MS10-xxx achtige webpages (maar dan van de betreffende fabrikant)
- indien nodig de door te tool te nemen acties (als de gebruiker de update wil uitvoeren).

Belangrijk daarbij zijn keuzemogelijkheden voor de gebruiker (die wel in te perken moeten zijn door admins): als ik in het buitenland met m'n notebook via WiFi m'n mail wil checken wil ik natuurlijk niet eerst automagisch met vele megabytes aan updates worden geconfronteerd.

Tevens zou het OS moeten afdwingen dat alle updates digitaal ondertekend zijn (gebruikmakend van een betrouwbaar certificate revocation mechanisme). Als een fabrikant extra meuk wil meeleveren (iTunes bij Quicktime bijv) moet de gebruiker daar expliciet om worden gevraagd (ik ben tegen dit soort "bijlagen" maar ik begrijp ook dat fabrikanten reclame willen maken voor hun spulleboel). Bedrijven die toch ongevraagde meuk installeren moet het Windows Logo worden ontzegd en moeten met naam en toenaam op sites als security.nl aan de schandpaal worden genageld.

Nog een -gratis- tip voor Microsoft: maak die tool niet webbased zoals Windows Update plus ActiveX, maar gewoon een losse applicatie. De security risico's zijn te groot, en gebruikers moeten ECHT kunnen kiezen voor een andere browser dan MSIE.

Nog wat aspecten van zo'n tool:
- gebruik standaarden (xml etc) en communiceer control info en eventuele unsigned files via https; signed files kunnen via http;
- ik vind het prima als de fabrikant eerst een tooltje stuurt dat checkt of een legale versie van de sofware is geïnstalleerd voordat een update kan worden uitgevoerd;
- maar wel: maak ALLE communicatie (ook via https) die zo'n tool uitvoert inzichtelijk als de gebruiker dat wil. Het is mijn PC, ik wil weten welke informatie naar welke partij wordt gestuurd en wat ik binnenhaal.

Moet je nou echt in elke thread over Linux blaten?

Toen wij hier nog een Windows 2003 server hadden, werd WSUS geïnstalleerd. 2 jaar geleden hebben wij, na een maand of 3 WSUS te proberen, WSUS weer platgelegd omdat de users de updates niet kregen aangeboden.
Volgens mij moest destijds eerst worden vastgelegd dat de updates "akkoord" waren en gedistribueerd konden worden. Ook nadat de updates op de server waren "goedgekeurd", was het at-random of die door de XP-clients wel of niet werden gezien. Bij sommige systemen kwamen die woensdag in beeld, op andere systemen werden die pas de maandag daarop aangeboden.

Omdat WSUS niet betrouwbaar genoeg bleek voor een distributie van de Windows-updates, zijn wij ermee gestopt.
Inmiddels hangen de Windows XP clients aan een Debian server, de pc's halen de meldingen binnen dat er updates zijn. Op sommige systemen wordt dat correct uitgevoerd, op andere systemen wordt spontaan gedownload hoewel alleen een "melding" dient te verschijnen. Bij de updates wordt af en toe een download wel uitgevoerd waarna het gele update-icoontje verdwijnt. De user verkeerd dan in de illusie dat de update geïnstalleerd zou zijn. Pas na een handmatige controle via de Windows update site worden de nog uitstaande updates weer opnieuw getoond.
Het blijft een onbetrouwbare update-functie die mij in Windows al ongeveer 8 jaar irriteert.

Dat eindelijk na een overkoepelende controle in Windows wordt gekeken, lijkt mij verstandig. Of deze functie werkt, moet nog blijken. Omdat de software uit zeer verschillende bronnen komt (bijv. Sun Java, Adobe reader/flash, Apple Quicktime/iTunes, Mozilla, Antivirus-software, P2P-software), wens ik de developpers-developpers-developpers-developpers veel sterkte.

Ik ben blij dat ik thuis veel minder tijd aan systeembeheer bezig ben omdat Ubuntu dat grafisch en zich hierbij netjes conform het vastgelegde schema dat de user vastlegt.

linux is niet voor iedereen weggelegd, ik geloof dat het grotendeels van users wat HIER op deze site komt wel weet waar ze over blaten.

ik heb ubuntu ooit op de PC's van de kinderen van me zus gezet, alleen maar zeuren en zeiken omdat ze geen spelletjes konden downloaden en spelen.
na windows er op gezet te hebben (dure grap die licenties dan) waren de machines na 3 uur al vol geïnfecteerd..
tja.

Windows is leuk, maar ben echt serieus bezig, is Linux beter.
ok, ubuntu onder de knie krijgen is niet makkelijk.

Redelijke kans dat bij het verwijderen van die programma's restanten zijn achtergebleven.
Wanneer dat kenmerkende restanten zijn dan zal Secunia bij scannen opnieuw melding maken van die programma's.
Ikzelf vond zo de eerste keer dat ik Secunia PSI gebruikte nog bestanden van geruime tijd eerder verwijderde lekke Adobe Flash Player en Adobe Reader versies. (Sedertdien heb ik van Adobe Reader al lang m'n buik vol, en Flash Player verwijder ik bij updaten nu eerst zo zorgvuldig mogelijk.)

Het beste dat je kunt doen wanneer Secunia PSI restanten van verwijderde bestanden vindt, dat is allereerst door middel van de optie Open Map/ Open Folder in Secunia PSI de map/folder opzoeken waar de programmaresten zijn gevonden en die betreffende bestanden dan verwijderen.
Vervolgens kun je diverse andere mappen/folders ook nog even langsgaan om te checken of daar nog resten te vinden zijn: Program Files, ProgramData, System32, AppData, en als je daarin voldoende thuis bent eventueel ook het register.

Een volgende keer kun je een 'moeilijk' programma zo mogelijk deïnstalleren met behulp van een programma-eigen uninstaller, als die voor dat programma bestaat
(zie: http://uninstallers.blogspot.com/)
en vervolgens nog eens handmatig checken op restjes,
of je kunt Revo Uninstaller gebruiken.
Goeie kans dat Secunia PSI dan niks meer terugvindt van verwijderde bestanden.

@ Spiff

Bedankt voor de tips. Zo zie je maar weer, een huis en keukengebruiker heeft niks aan zo'n programma als PSI.

Graag gedaan, Bastos.
Maar ik ben overigens ook maar een gewone gebruiker, hoor, geen pro.
Toch beschouw ik Secunia PSI als een uitstekend hulpje, ook al kan het natuurlijk niet toveren.

Dan heb je de pc's niet goed genoeg beveiligd dunkt mij dan ;-)

Ook ik heb een pc ge?nstalleerd voor mijn zusje (en haar dochtertje) omdat ze met software moest werken voor haar werk welke niet onder Linux kon draaien. echter had ik een account aangemaakt met beperkte rechten voor haar dochtertje en de pc voorzien van goede AV en anti-spyware proggies en een goede firewall met een browser anders dan IE. Dochtertje kon gewoon spelletjes online spelen, maar pc raakte nooit ge?nfecteerd. Kwestie van goed beveiligen dus.

Optie 1:
Als men geen zin meer heeft in besmettingen, gebruik dan een antivirusporgramma dat de browser in een sandbox laat draaien (Avast!) en geef de normale users geen admin-rechten.
Optie 2:
Installeer Windows onder Linux in een virtualbox en geef deze installatie geen internetverbinding. Installeer ook daar een virusscanner en maak regelmatig een kopie van het *.vdi bestand. Gaat het toch een keer fout met een virus, Windows_fout.vdi verwijderen, Windows_backup.vdi terugzetten en dan ben je niet meer dan 5-10 minuten kwijt.

Gedeeltelijk is dat al zo. Drivers van derden worden ook al via Microsoft Update verspreid.

Het zal alleen goed werken als software fabrikanten zich houden aan een strakke standaard. Voordat je dat voor elkaar hebt ben je al weer minstens 5 jaar verder, want alle huidige third party software moet erop aangepast worden.