Als een autofabrikant een waarschuwing laat uitgaan en een recall actie organiseert omdat een bepaalde motor in brand kan vliegen en je reageert daar niet op (als eigenaar van zo'n auto), dan moet je ook niet gaan huilen als je dat een half jaar later opeens wel overkomt. Je bent gewaarschuwd...

Microsoft geeft te veel waarschuwingen per maand uit.
Het is voor systeem beheerders niet bij te houden (als ze er nog zijn binnen een bedrijf) Veel patchs en sp van MS kunnen problemen geven als je ze installerd voor dat je ze echt goed getest heeft. Daar is vaak bij bedrijven geen tijd / geld voor want een test omgeving kost geld. Ook zijn systeembeheers vaak met ander dingen bezig dan alleen maar security wat bij 80% van alle bedrijven geen prioritijd heeft, waar door vaak resico's worden genomen. Het niet update van systemen en virus scanners gebeurt te vaaker dan men aannemed binnen bedrijven.
Veel problemen worden veroorzaakt door luiheid van systeembeheerders als het werkt dan werkt het toch! Controlleer dagelijks je systemen op problemen dan voor komje 95% van alle virus / hacker aanvallen. Lees er veel over op de sites van hacker, virus maker en security sites, zorg dat je in contact komt met elkaar en praat over problemen die je tegen komt. Niet altijd maar met het vingertje wijzen naar elkaar.

The Happy Watcher

Goed gezegd happy watcher :). Ik heb ook systeembeheer gedaan, en dan heb je echt geen tijd om dat allemaal bij te houden. Maar de systemen die direct op internet bereikbaar waren werden altijd wel goed bijgehouden.. voor de rest werd niet voor elk probleem een patch gedraaid; het is idd te riskant.
Maar ik vind het het geval van sapphire dat beheerders ten eerste moeten zorgen dat hun firewalls streng geconfigureerd zijn. Het lijkt me meestal niet noodzakelijk om een SQL server direct aan het inet te hangen... blok dan in iedergeval die poorten bij voorbaat al.. dat is eenmalig.

Ik ben nu dus heel erg benieuwd hoeveel van de 43% zichzelf en elkaar de schuld geeft dat ze de software niet gepatched hebben en zeker niet microsoft als schuldige aan te wijzen.

In veel gevallen is het niet patchen te danken aan er onvoldoende tot geen aandacht voor hebben voor veiligheid door tijd en of geldgebrek. Als het systeem maar het grootste deel van de tijd werkt voor de opdrachtgever.

SMOESJES!..........ALLEMAAL MAAR SMOESJES VERZINNEN!

Nah, IMHO hoort een Windows server nooit toegang te hebben tot internet, heb hem dan ook volledig geblocked van internet, zowel incoming als outgoing.
Iedereen weet toch hoeveel security bugs er voor windows uitkomen en dat het geen doen is om al die patches erop te zetten...

Beste oplossing is nog altijd gewoon om de poorten dicht te timmeren, anders gaat het vroeger of later altijd mis...
Probleem is alleen dat de meeste systeembeheerders niet de kennis hebben om even een goedkope Linux firewall neer te zetten. Want een Linux server past wel gemakkelijk binnen het budget is mijn ervaring :)
Met 1200 Euro ben je meestal wel klaar, terwijl je voor een mindere kwaliteit windows firewall je minstends al het dubbele kwijt bent aan puur de licenties. Dat schiet dus niet op.

Owja, voor een gemakkelijke kant en klaar GPL Linux firewall pakket, kijk op http://www.smoothwall.org

Goed een kleine tutorial patch deployment.

-Zorg dat je operating systeem altijd is geinstalleerd
op een raid 1 systeem en geen raid 5
-Iedere dag neem je in de ochtendroutine (?) de hfnetchk log files door
-Zijn er patches die geinstalleerd moeten worden, informeer dan je favoriete it manager. laat een aantal keren de termen "groot risico", onverantwoord en "stel je voor dat" vallen.
- Wandel rustig naar de server ruimte en nu komt het, haal van de servers die gepatched moeten worden 1 schijf er uit (raid 1)
-Voer de noodzakelijke patches door, dit kan zowel remote als op iedere server fysiek. het liefst drink je koffie achter je bureau als je dit doet...
-Reboot 1 voor 1 de systemen, waarschijnlijk moet je even naar de server toe om op f1 of zo te drukken om dat de raid 1 set niet aanwezig is.
-Log in op de server kijk of alles draait zoals het zou moeten draaien.
Als alles goed draait, prik de andere schijf er weer in zodat de oorspronkelijke raid 1 set weer ontstaat.

Je hebt je geld weer verdient en je kan weer verder gaan met internetten en koffie drinken, want dat doe je toch zo graag...

maar.. als op een of andere manier je systeem niet goed opkomt sluit het systeem dan af en start het weer op van de schijf die je er in eerste instantie hebt uitgehaald, hier staat namellijk de oude situatie nog op. Druk weer op f1 ,als het systeem weer opgestart is synchroniseer je weer de disken
en ben je weer in de situatie die je aantrof toen je vanochtend binnen kwam.

in alle gevallen hoeft dit volgens mij nooit langer te duren dan een paar uur.

@ your servers
Eddee

Het probleem is dat je UDP services op poorten boven de 1023 niet zonder meer kan firewallen: de firewall weet immers niet of dit een inkomende request naar een service is of een antwoord op een request die eerder naar buiten gestuurd werd.

Nu is 1 poortje filteren niet zo'n ramp (dan krijg je af en toe een DNS query die wat trager is) maar je kan ze niet allemaal dicht gaan zetten voor de zekerheid.

De enige oplossing is een stateful firewall die kijkt wat er naar buiten gaat en alleen de antwoorden daarop terug naar binnen laat. Dit kost echter wel weer veel geheugen en CPU dus als je dan alsnog geinfecteerd wordt (via vage dingen als broadcast/multicast, VPNs e.d.) gaat je firewall plat. :-)

Of je nu door de kat of voor de hond gebeten wordt...

Iljitsch