image

Universele Windows patchtool is taak Microsoft

maandag 6 december 2010, 12:37 door Redactie, 10 reacties

Het Deense Secunia lanceert binnenkort de uiteindelijke versie van een universele Windows patchtool, die bijna alle applicaties op het systeem kan patchen. De eerste versie van de patchtool zal alleen Engelse versies van softwareprogramma's ondersteunen, maar er wordt gewerkt aan een gelokaliseerde versie, zo laat CSO Thomas Kristensen in een interview met Security.nl weten. Veel mensen vinden dat Microsoft in een Windows een generieke patchtool had moeten inbouwen, zodat eindgebruikers eenvoudig alle geinstalleerde applicaties kunnen bijwerken. "De oorspronkelijke leverancier van de software is altijd de eerste verantwoordelijke", merkt Kristensen op.

Microsoft had volgens de Deen echter iets van een oplossing in Windows moeten inbouwen om andere applicaties te updaten, of het in ieder geval eenvoudiger voor andere partijen moeten maken om dit te doen. "Het zou goed voor gebruikers zijn geweest als het besturingssysteem of Microsoft [het updaten van applicaties] had gedaan." Kristensen noemt Android smartphones, iPhone en Windows Phone 7 als platformen waar het wel gebeurt en waar het goed werkt. "Je zou iets soortgelijks ook in de pc-wereld kunnen doen."

Het idee voor een generieke patchtool voor Windows is iets dat al langer leeft, maar voorheen werd er altijd gezegd dat softwareleveranciers niet wilden dat anderen hun patches zouden verspreiden. Die situatie is echter veranderd, zegt Kristensen. Secunia schakelde verschillende advocaten in om uit te zoeken of een generieke Windows patchtool juridisch wel was toegestaan. Uiteindelijk vond men verschillende manieren om het te doen. Toch was dat niet het belangrijkste aspect, merkt Kristensen op. "Drie jaar geleden zeiden de softwareleveranciers nog dit is onze software en je mag het niet aanraken. Wij zijn zelf in staat om onze gebruikers te updaten." Die houding is in de afgelopen drie jaar radicaal omgedraaid, aangezien veel bedrijven niet in staat zijn hun gebruikers te updaten. "Elke dag raken mensen weer besmet omdat ze niet gepatcht zijn."

Veel softwareleveranciers zullen een initiatief om hun gebruikers updates te laten installeren dan ook niet meer in de weg staan. "Bij het installeren van updates volgen we altijd hun richtlijnen en best practices. Dat is van essentieel belang." Op deze manier is Secunia niet aansprakelijk en kan de gebruiker op ondersteuning van de leverancier rekenen. Met name leveranciers van software die vaak wordt aangevallen vinden het al lang best dat iemand anders het update probleem oplost. "Niemand wil zo als Adobe in de aandacht komen."

Updaters
Het is echter de vraag of mensen die hun software niet via de updater van hun softwareleverancier updaten, dat wel doen via een generieke patchtool van Secunia. Volgens Kristensen is er echter een verschil met deze updaters en de Secunia Personal Software Inspector. "Wij vertellen ze nadrukkelijk dat er een beveiligingsupdate klaarstaat. Daar reageren veel mensen op, terwijl je bij de updates van andere leveranciers niet weet waarom je een update moet installeren." Regelmatig komt het voor dat leveranciers in hun updates, al dan niet security gerelateerd, nieuwe features en opties stoppen waar de eindgebruiker niet op zit te wachten. Die is daardoor huiverig om updates uit te rollen. Een ander punt dat voor de PSI spreekt, is dat het één tool is, in tegenstelling tot de talloze verschillende updaters die de leveranciers gebruiken. "Dat is eenvoudiger voor mensen om bekend mee te raken en laat ze in één keer hun systeem patchen."

Veel updaters van softwareleveranciers vragen bij het openen van een bestand of men de applicatie wil updaten, maar de meeste gebruikers klikken de boodschap dan weg omdat ze het documenten willen bekijken en niet het programma willen bijwerken. "Dat is één van de dingen die er mis zijn met deze updaters." Kristensen kan niet zeggen welke updater het slechtst is. "Wat ze zo slecht maakt, is dat ze allemaal verschillen en op verschillende wijze communiceren. Als ze allemaal even slecht, maar hetzelfde waren, was het eenvoudiger voor gebruikers om hiermee om te gaan."

Stiekem patchen
Sinds de komst van Google Chrome is gebleken dat het stiekem patchen van gebruikers zeer succesvol is. "Vanuit de beveiliging van de gebruiker gekeken is er geen twijfel dat de aanpak van Google en Microsoft zeer effectief is. Er zijn veel goede dingen over te zeggen", laat de Deen weten. Hij waarschuwt dat leveranciers die "stiekem patchen" dit niet moeten gebruiken om nieuwe software en plugins te verspreiden. In dat licht vallen Microsoft en Google volgens Kristensen nog wel mee, maar er zijn ook partijen die bij de installatie van een update allerlei toolbars en andere ongevraagde producten installeren. "Dan is de stille aanpak een stuk erger."

Als het aan Kristensen zou liggen gaat Google een model hanteren waarbij gebruikers kunnen kiezen of ze stiekem willen patchen of niet. "Voor negen van de tien mensen is stil patchen prima, maar dring het niet aan iedereen op. Dat is de enige kritiek die ik op de Google updater heb." Soms kan er een reden zijn waarom mensen een oude versie willen gebruiken, een keuze die men bij programma's die stiekem patchen niet heeft.

Wat betreft de tientallen miljoenen ongepatchte internetgebruikers komt dit volgens Kristensen niet omdat het mensen niets kan schelen. "Het probleem is dat ze het gewoon niet weten." Dat laat meteen de noodzaak van automatisch updaten voor de meeste gebruikers zien.

Naast de Personal Software Inspector waarmee Secunia verouderde applicaties in kaart brengt, is er ook de Online Software Inspector. De versimpelde tool scant via de browser alleen de populairste programma's op beveiligingslekken. Hiervoor is echter wel Java noodzakelijk, terwijl de plugin de laatste tijd regelmatig onder vuur ligt. Java-exploits worden met grote maat ingezet om systemen te infecteren, terwijl maar weinig websites Java gebruiken. Kristensen laat weten dat om de programma's te scannen, er toegang tot de lokale harde schijf van de gebruiker nodig is. "En dat kun je op twee manieren doen: Java of ActiveX." ActiveX zou betekenen dat men Internet Explorer moet gebruiken, vandaar dat er voor Java werd gekozen. "We wilden zo browser-onafhankelijk als mogelijk zijn."

Zowel de PSI als OSI blijken te werken, want gebruikers van de software zijn beter gepatcht dan doorsnee gebruikers. Daarnaast lopen internetgebruikers zonder de patchtools vaak meerdere patches van een bepaald programma achter. "En dat is een probleem, want hoe ouder het lek, hoe betrouwbaarder de exploits." Een ander kenmerk van PSI-gebruikers is dat ze alternatieve oplossingen voor populaire programma's gebruiken, zoals Foxit Reader in plaats van Adobe Reader. De PSI heeft inmiddels meer dan 3 miljoen gebruikers en de OSI wordt zo'n 3000 keer per dag uitgevoerd.

De vraag blijft echter hoe een tool als de PSI bij de doorsnee eindgebruiker terechtkomt. Een mogelijke optie is het vooraf te installeren op nieuwe computers, iets waar Secunia voor openstaat. "Het belangrijkste om een groter publiek te bereiken is echter het automatisch updaten en gelokaliseerde versies, zodat er geen Engels is vereist."

Op dit moment is Adobe Flash Player de minst gepatchte applicatie, gevolgd door Sun Java, Adobe Reader, Apple QuikTime en Adobe Air.

Reacties (10)
06-12-2010, 13:30 door Mysterio
Sorry, maar wat de kop suggereert is er al: Windows Update

Microsoft verantwoordelijk houden voor de troep die andere partijen aanbieden en blijkbaar niet kunnen of willen ondersteunen klopt niet. Waarom zou Microsoft tijd en mensen moeten investeren in software omdat Adobe, Apple en Sun hun software updates niet op orde hebben?

Dat over de kop. Een programma als PSI maakt het wel kinderlijk eenvoudig om je software up to date te houden. Mits het aanbod zo compleet mogelijk is.
06-12-2010, 13:36 door Martijn2
Door Mysterio: Sorry, maar wat de kop suggereert is er al: Windows Update

Microsoft verantwoordelijk houden voor de troep die andere partijen aanbieden en blijkbaar niet kunnen of willen ondersteunen klopt niet. Waarom zou Microsoft tijd en mensen moeten investeren in software omdat Adobe, Apple en Sun hun software updates niet op orde hebben?

Dat over de kop. Een programma als PSI maakt het wel kinderlijk eenvoudig om je software up to date te houden. Mits het aanbod zo compleet mogelijk is.

Zover ik dit bericht begrijp gaat het om een gecentraliseerde update zoeker (net zoals in Linux) waar alle updates van je software gemakkelijk kunnen worden gezocht. Dit is uiteraard niet een verplichte taak voor Microsoft, maar het maakt het wel zo gemakkelijk (en veiliger).
06-12-2010, 13:51 door N4ppy
Ik denk dat alls MS dit (enkele jaren geleden) had voorgesteld dat de hele wereld op zijn kop had gestaan
"Wat nog meer macht bij MS?!!" en dat de onderzoeken ze om de oren waren gevlogen.
06-12-2010, 14:03 door Anoniem
Worden jullie soms gesponserd door Secunia. PSI herkent nog niet eens 30% van alle software.
En voor de meest gebruikte software is er al de auto update.

Vrij nutteloos dus
06-12-2010, 14:41 door Anoniem
Een aptitude-achtig iets voor Windows zou ideaal zijn. Een open, community-gebaseerd systeem... alleen moet iemand het even opzetten :)
06-12-2010, 17:36 door SirDice
Door N4ppy: Ik denk dat alls MS dit (enkele jaren geleden) had voorgesteld dat de hele wereld op zijn kop had gestaan
"Wat nog meer macht bij MS?!!" en dat de onderzoeken ze om de oren waren gevlogen.
Dat lijkt mij ook. Men schreeuwt nu al moord en brand over de vermeende "phone-home" eigenschappen van Windows Update. Dat wordt alleen maar erger als MS alle (dus inclusief software van derden) gaat controleren.
07-12-2010, 13:47 door Dev_Null
Lang leve Unix / Linux:-) Daar heb je het gehele update-circus 100% zelf in de hand.
07-12-2010, 15:20 door SirDice
Door Dev_Null: Lang leve Unix / Linux:-) Daar heb je het gehele update-circus 100% zelf in de hand.
Hmm. Vreemd, op mijn Windows machine bepaal ik ook wat er wel en niet geupdate wordt. Dat heb ik 100% zelf in de hand.
07-12-2010, 22:57 door Anoniem
Een aptitude-achtig systeem klinkt leuk maar is niet practisch; gebrek aan maintainers (bij MS, die patches 'goedkeuren'), hoge kosten en gedoe met betaalde software (ja, het bestaat nog) zijn problemen. Bovendien hebben repo's hierdoor vaak oude versies (meestal qua features; ik noem maar iets, netbeans).

Mooier zou zijn als windows een API had waar een applicatie zich kan aanmelden. Dan hoeft deze alleen maar een URL (of zoiets, plus nog wat andere gegevens) aan te leveren en kunnen alle updates door windows automatisch geinstalleerd worden. De gebruiker heeft dan een overzicht en het update proces van de maker van de applicatie wordt verder nauwelijks veranderd.
08-12-2010, 10:56 door SirDice
Door Anoniem: Mooier zou zijn als windows een API had waar een applicatie zich kan aanmelden. Dan hoeft deze alleen maar een URL (of zoiets, plus nog wat andere gegevens) aan te leveren en kunnen alle updates door windows automatisch geinstalleerd worden. De gebruiker heeft dan een overzicht en het update proces van de maker van de applicatie wordt verder nauwelijks veranderd.
Je bedoelt zoiets als BITS en Windows Installer?

http://msdn.microsoft.com/en-us/library/aa363160%28VS.85%29.aspx
http://msdn.microsoft.com/en-us/library/aa369425%28VS.85%29.aspx
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.