"Slaapstand nachtmerrie voor veiligheid laptops"
De recente aanval op NU.nl maakt duidelijk hoe belangrijk het is om beveiligingsupdates voor alle programma's te installeren, maar door het gebruik van de slaapstand optie worden die niet op alle computers geïnstalleerd. Iets waar cybercriminelen bewust rekening mee houden, aldus Eddy Willems, security evangelist bij anti-virusbedrijf G Data, in een interview met Security.nl.
Hij wijst op berichten in fora voor cybercriminelen waar de slaapstand bewust wordt genoemd. "In hibernation mode schakel je je laptop niet meer uit." Toch speelt het probleem niet alleen bij laptops, ook computers zouden niet meer worden uitgeschakeld. "Het begint het laatste jaar meer en meer op te komen. Gebruikers die een beetje ala Apple en iPad, in feite ervoor kiezen hun computer niet uit te schakelen, maar die liever laten hibernaten."
Consumenten zouden niet meer willen wachten op het opstarten van de computer. "Hierdoor kiest de gebruiker ervoor om de installatie van een aantal updates uit te stellen, zonder dat men daar eigenlijk echt bij stilstaat." Bij sommige bedrijven worden computers bewust niet herstart, waardoor ze soms maanden lang de installatie van belangrijke updates niet kunnen afronden.
En bij dit update uitstelgedrag houden aanvallers rekening. Het installeren van updates is nog altijd een groot probleem. Verschillende update mechanismen zijn vaak onduidelijk voor doorsnee gebruikers. Virusscanners zouden de rol als waakhond voor lekke applicaties op zich kunnen nemen. Volgens Willems doen sommige anti-virusproducten dit dan ook, door delen van de Secunia Personal Software Inspector te gebruiken of hun eigen controles uit te voeren.
Zolang updates niet volautomatisch en stil worden geïnstalleerd, is de kans groot dat eindgebruikers de waarschuwingen zullen negeren en dialoogvensters voor het installeren van updates wegklikken.
Stil updaten
Willems kan begrijpen dat sommige mensen hun computer een of twee dagen laten aanstaan, maar een week is al teveel van het goede. "De computer wordt te weinig uitgeschakeld. Zodra een update wordt aangeboden, moeten mensen dat niet uitstellen maar installeren, dat is mijn boodschap aan de man in de straat." Om eindgebruikers hierbij te helpen zouden alle updates voor alle programma's standaard stil geïnstalleerd moeten worden, net als bijvoorbeeld bij Google Chrome. Voor doorsnee eindgebruikers zou alles automatisch moeten worden geïnstalleerd.
Voor geavanceerde en meer technische gebruikers zou nog altijd de mogelijkheid moeten bestaan om updates handmatig te installeren. Een optie die ook voor bedrijven onmisbaar is. "Aangezien we daar nog niet zijn, vind ik dat we op dit moment falen. We zitten spijtig genoeg in een systeem waar we teveel moeten updaten." Daarbij komt dat veel mensen geen kennis van hun eigen computer hebben. "De eindgebruiker weet niet wat er op zijn machine gebeurt. En ik kan je verzekeren, de meerderheid van de mensen is zo."
Eindgebruikers hebben volgens Willems steeds vaker een houding van "als het maar werkt. We gaan niet meer nadenken, als het maar werkt."
Half-days
Het tijdsvenster tussen het verschijnen van een patch en en het verschijnen van een exploit waarmee cybercriminelen de lekken kunnen misbruiken wordt steeds kleiner. Willems spreekt van 'half-days'. Lekken waarvoor al een update beschikbaar is, maar die nog niet door iedereen geïnstalleerd zijn. Soms omdat ze nog niet door de leverancier aan iedereen zijn aangeboden, of omdat mensen hun computer niet herstarten zodat de installatie van de updates kan worden afgerond.
Zo controleert Adobe Flash Player om de 7 dagen of er nieuwe updates beschikbaar zijn. Een gebruiker kan zodoende zes dagen kwetsbaar voor aanvallen zijn, ook al heeft hij automatisch updaten ingeschakeld. Volgens Willems ligt een deel van het probleem bij sommige leveranciers. Leveranciers die het installeren en uitrollen van updates niet voldoende automatiseren en pushen. Toch moeten ook eindgebruikers hun verantwoordelijkheid nemen.
"Het is ook de combinatie van hibernation en het uitstelgedrag. Het gewoon dicht klappen van het toestel, het hibernaten, zonder dat men hier verder over nadenkt. Ik hoop dat dit in de toekomst gaat verbeteren, anders blijft deze situatie voortduren."
Maar is dat nu werkelijk wel zo?
Hoe komen die virussen, exploits en trojans op je computer terecht? Dat is toch vaak pas als je een "foute" site bezoekt of als je op een "link" linkje klikt. Maar als je een beetje voorzichtig bent kan dat wel meevallen een phishing mail of mailtje met rare inhoud of van rare afzender klik je zowiezo weg naar de prullenbak.
Je zorgt dat je geen java aan hebt staan, adobe vermijdt en een betrouwbare browser gebruikt eventueel met noscript aan.
Soms heb je zelfs wel eens een false negative. Ik kreeg laatst een mailtje van youphone wat zo opgesteld was dat ik een erg visserig gevoel over me kreeg, dus die heb ik gedumpt zonder verder te kijken. Blijkt dat het toch kennelijk een normaal bedrijf is.
:-D :-D
Ik zou weleens de correcte verhouding willen zien in hoeverre de virussen je gewoon bespringen ten opzichte van het bezoeken van websites of klikken op linkjes die je kunnen besmetten.
Jaren geleden toen unix nog niet linux heette waren er veel van die systemen die uptimes hadden van dagen en weken en langer. herstarten werd als een falen beschouwd: aanpassingen en wijzigingen kunnen aanbrengen zonder merkbare impact was een belangrijk doel bij systeem beheer.
Een goede update was een hotfix: toepasbaar zonder te moeten herstarten (commando: herconfiguratie en voilà).
Moeten opnieuw opstarten was een kleine blaam.
Dus nu leuk beweren dat er geen updates gebeuren omdat die domme gebruikers maar niet willen opstarten
is nogal fout:
- opstarten zou niet moeten nodig zijn voor een update: een update starten moet kunnen getriggered worden zonder dat
- opstarten mag niet nodig zijn voor updates: dat moet kunnen op draaiende systemen
- de gebruiker wil een feature gebruiken dat voor hun goed is: hybernation, ondersteun het dan ook deftig
Zie updates en back-ups soms ook als een verzekering, daar stop je ook moeite (geld) in voor iets wat je hoopt dat nooit gebeurd maar wel kan gebeuren.
Zelf laat ik Ninite bij elke inlog starten maar ja ik zet mijn pc ook wel een paar dagen in slaapstand. Secunia zal ik weer eens gaan testen.
Zie:
http://www.security.nl/artikel/40523/1/Gratis_tool_patcht_alle_Windows_programma%27s.html
http://secunia.com/community/forum/thread/show/12184/psi_3_0_is_out_in_beta
Ik denk juist dat mensen de computer niet willen (her)starten om die automatische updates te voorkomen. We gaan naar een tijd toe dat de computer alleen maar aan't updaten is en dat er geen tijd meer voor de gebruiker is om nu eens fatsoenlijk en ongestoord op zijn/haar computer te kunnen werken.
Zie:
http://www.security.nl/artikel/40523/1/Gratis_tool_patcht_alle_Windows_programma%27s.html
http://secunia.com/community/forum/thread/show/12184/psi_3_0_is_out_in_beta
Lekker advies onder dit artikel :P
Dat stil updaten is leuk, maar fabrikanten maken hier misbruik van en dit valt me steeds meer op op telefoons.
Ik installeer dat applicatie X die vervolgens gebruik wil maken van gegevens Y, na de installatie is er vrijwel direct een update beschikbaar alleen wil de update toegang hebben tot gegeven Y A B C D enz. enz. .....op deze manier misbruiken ze het vertrouwen in updates.
Ik begrijp niet waar je precies op doelt.
Bedoel je dat je niet van het automatisch updaten door Secunia PSI houdt?
Dat hoeft ook niet, hoor, met Secunia PSI 2.0. Die kan ingesteld worden op monitoren en automatisch updaten, maar even gemakkelijk kan constant monitoren en automatisch updaten worden uitgeschakeld.
Of bedoel je het advies niet te updaten van Secunia PSI versie 2.0 naar 3.0?
Er bestaat nog geen enkele noodzaak tot het updaten van de PSI applicatie.
PSI 2.0 is volledig functioneel en blijft ondersteund.
PSI 3.0 is een bèta, van een volledig uitgeklede versie die alle geavanceerde opties mist die versie 2.0 wél heeft.
PSI 3.0 is geen security patch, het is een compleet ander programma.
Op het Secunia forum is door de gebruikers aangegeven dat het nodig is om de geavanceerde functionaliteit van PSI 2.0 tevens weer beschikbaar te maken in 3.0, als optie voor de gebruikers die die functionaliteit als noodzakelijk beschouwen, of om anders PSI 2.0 om te dopen naar "PSI Advanced" en versie 3.0 naar "Simple PSI" (for simple people).
Een foute website zoals "www.nu.nl" afgelopen week ? Denk je soms iedere infectie te "herkennen" ? Daarnaast kan malware ook je computer besmetten zonder enige vorm van user interaction. Denk aan het Blaster virus, dat verspreidde zich via RPC zo snel, dat je computer bij een nieuwe werd geinfecteerd zodra je deze aansloot op internet, nog voordat je de kans had via Windows Update de benodigde patches te installeren.
Het helpt als het OS niet steeds hoeft te herstarten als er een keer ergens een dll wordt geupdate.. Het is niet meer zo erg als 'vroegah', toen je volgens mij voor een text-file update Windows al moest herstarten, maar het is nog teveel. Zo gauw als mensen weten dat ze de PC niet meer automatisch moeten herstarten na het updaten denk ik dat ze ook sneller genegen zijn om te updaten.
dat je kan updaten zonder op te starten betekend nog niet dat de veilige code ook meteen gebruikt wordt. Linux is wel lekker altijd te updaten omdat het geen files locked, maar dat betekent nog niet dat de code ook automagisch gebruikt wordt. Dan zul je er toch voor moeten zorgen dat alle processen die de code gebruiken geherstart worden.... En soms, heel soms is "gewoon" rebooten dan wel zo makkelijk en veilig (dat ik dat nou zeg, damn...)
Bij windows heb je minder snel door wat er allemaal gebeurd op je systeem.
Ook is het stabieler dan Windows moet ik zeggen.
Het voordeel van Linux is ook dat het minder vaak opnieuw moet worden opgestart nadat er updates geinstalleerd zijn dan windows.
Maar ja ik ben het er wel mee eens dat je een Linux systeem beter opnieuw kan opstarten nadat je updates erop hebt gezet,want je kan niet zien of de updates meteen van kracht zijn nadat ze zijn geinstalleerd.
Ik gebruik op de pc Ubuntu Linux en op de laptop Fedora 16 in April zal er Fedora 17 uitkomen en ook Ubuntu precise pangolin 12.04
Ik ga dan upgraden naar deze twee versies.
Ja want met de laptop van mijn werk duurt het bijna een half uur om op te starten, in te loggen en te kunnen beginnen met werken. Het gaat hier over een Dell van 2,5 jaar oud met Windows XP en 4GB geheugen.
Ja, da's echt erg. Heeeeeeel erg. Want ik kan niet zonder m'n computer. Elk uur van de dag moet die draaien (oh nee, ik heb SSD's - dan is een reboot wel snel overigens, ben ik ooit eens bij een 'per ongeluk' reboot achter gekomen), dingen doen, zelfs als ik sta te pissen, zit te schijten of onder de douche sta. En als ik slaap .... pas dan wordtie echt druk. Je wilt niet weten wattie dan allemaal doet. Weet ik overigens zelf ook niet meer, misschien moet ik het eea eens gaan herinrichten om daar weer achter te komen. Maar dan moet ik een keer rebooten. En ja, da's echt erg. Heeeeeeel erg. Want ........
[Sarcasme modus uit]
Bedoel je met "van mijn werk" eigendom van de baas, of bedoel je voor je werk maar jouw eigendom?
Afhankelijk daarvan lijkt het me verstandig om dat probleem van het traag opstarten te melden aan de systeembeheerder (als je dat zelf bent, dan aan jezelf) en te (laten) onderzoeken waarom die laptop zo enorm veel tijd nodig heeft om op te starten, en het probleem te (laten) verhelpen.
Ik begrijp eerlijk gezegd niet waarom je dat nog niet hebt gedaan.
Zo gauw loop je geen virussen op, misschien maar wel eens van drive by downloads gehoord ,door gewoon een website te bezoeken
al geinfecteerd te worden.
Probeer met Google maar eens afbeeldingen van celeberties te zoeken kan je zo maar ingefecteerd raken.
Maar je hebt wel gelijk java uit je software op tijd updaten scheelt wel een hele hoop.
Patches kunnen niet geinstalleerd zonder opnieuw op te starten.
Het is weer pijnlijk duidelijk wie de betere programmeurs zijn.
Patches installeren ook veel te langzaam. Als je andere apparaten aanzet doen die het toch ook bijna gelijk?
Dat mensen hun slaapstand gaan gebruiken is logisch. De fout ligt weer eens bij de domme ontwikkelaars en niet bij de 'domme' gebruikers.
Vandaag is Ubuntu 12.04 LTS uitgekomen! In deze versie hebben ze ervoor gekozen om slaapstand standaard niet in het menu te zetten. Je zou slaapstand weer kunnen activeren, alleen dan moet je het via omwegen doen.
Sommige gebruikers hebben kritiek op deze keuze van Canonical. (moederbedrijf van Ubuntu) Ikzelf gebruik de slaapstand echter nooit. Aangezien het opstarten en afsluiten zeer snel gaat. Ik denk dat het ondanks de kritiek de juiste keuze is geweest!
Probleem speelt meer bij een bepaald OS i.c.m deze gewoonte (en we weten allemaal welk OS dat is).
Jaren geleden toen unix nog niet linux heette waren er veel van die systemen die uptimes hadden van dagen en weken en langer. herstarten werd als een falen beschouwd: aanpassingen en wijzigingen kunnen aanbrengen zonder merkbare impact was een belangrijk doel bij systeem beheer.
Een goede update was een hotfix: toepasbaar zonder te moeten herstarten (commando: herconfiguratie en voilà).
Moeten opnieuw opstarten was een kleine blaam.
Dus nu leuk beweren dat er geen updates gebeuren omdat die domme gebruikers maar niet willen opstarten
is nogal fout:
- opstarten zou niet moeten nodig zijn voor een update: een update starten moet kunnen getriggered worden zonder dat
- opstarten mag niet nodig zijn voor updates: dat moet kunnen op draaiende systemen
- de gebruiker wil een feature gebruiken dat voor hun goed is: hybernation, ondersteun het dan ook deftig
Inderdaad! Het hele idee dat een gebruiker zich moet aanpassen omdat bepaalde leveranciers van operatingssystems niet in staat zijn om een systeem te ontwikkelen waarbij reboots niet nodig zijn is ronduit belachelijk. Zelf heb ik een dedicated linux doos draaien welke NOOIT een reboot nodig heeft totdat de support-time van de distro voorbij is. (doorgaans een paar jaar dus) Dat vind ik acceptabel. Alle updates heb ik altijd kunnen installeren zonder reboot nodig te hebben. Kortom: ' Bug' gebruikers niet met tekortkomingen in software. Als je je software secure-by-design wilt maken zorg je voor een OS die niet voor elke aanpassing een reboot nodig heeft!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
