Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 44 reacties
Bron: WebWereld, submitter: neographikal

Virus - cartoonBij WebWereld valt te lezen dat het patchen van kwetsbare systemen lang duurt. Op een bijeenkomst genaamd Black Hat USA 2003 werden de uitkomsten van een anderhalf jaar durend onderzoek gepresenteerd. Hieruit bleek dat kwetsbare systemen vaak na een week nog niet zijn gepatched. Tevens worden systemen die als minder belangrijk beschouwd worden vaak pas laat ge-update waardoor een virus of trojan inmiddels flinke schade aangericht kan hebben. Ook is uit het onderzoek gebleken dat bedrijven vaak oude software installeren. Op deze manier blijven de oude lekken bestaan en toegankelijk. Hierdoor kan een verslagen trojan weer van zich doen laten spreken.

Moderatie-faq Wijzig weergave

Reacties (44)

Je kan toch je server in de nachtelijke uren automatisch laten updaten. :? Dit zit in Microsoft Windows al geruime tijd (Windows Update) en ook in de software van Symantec.

Ik begrijp natuurlijk dat er patchen zijn die je niet automatisch kan laten doen en die de systeembeheerder handmatig moet uitvoeren. Dit zal de systeembeheerder dan bijvoorbeeld in zijn avonduren moeten doen, op het moment dat de productie stil ligt. Hoort allemaal bij de Job. ;)
Dan ga je er natuurlijk wel voor het gemak vanuit dat je een 9 tot 5 bedrijf hebt. Voor o.a. banken en luchtvaartmaatschappijen geldt dat niet. Een uurtje off-line kost daar heel veel geld, ongeacht het tijdstip. Maar ik ben wel met je eens dat deze strategie voor heel veel bedijven zou kunnen gelden. Alleen werken in veel van die bedrijven systeembeheerders ook van 9 tot 5... :(
Maar als een uur off-line geld kost, zal het bedrijf slim genoeg (moeten) zijn om redundancy te hebben: reserve-servers of standaard de load verdelen over meer dan 1 server. Dan kies je gewoon het tijdstip op de dag dat de load het laagst is en gooi je die dingen één voor één down om ze te updaten.
Alleen werken in veel van die bedrijven systeembeheerders ook van 9 tot 5..
bij vliegtuigmaatschappijen kan ik me daar nog iets bij voorstellen, maar wat ik heb begrepen zijn er bij banken 24/7 systeembeheerders aan de gang met de 'core' van de banksystemen. De meeste banken verwerken de transacties meestal 's nachts, en d'r is dan altijd een expert crew aanwezig om de boel in de gaten te houden.

waarschijnlijk hebben ze daar ook wel iets als een cluster of failover voor de windows machines, waardoor ze op ieder gewenst ogenblik (dus ook midden op de dag) kunnen switchen zonder dat iemand aan de buitenkant het merkt.
Welke windows machines....???

Je bedoeld RS6000, Tandem, Sun en AS400.....dat soort machines...de windows bakjes daar zijn alleen werkstations over het algemeen...
daar zul je je nog op verkijken
Kwestie van luie systembeheerders en/of ICT managers (mooi woord toch he?) die niet op de hoogte zijn van welke veiligheidsgaten er zijn in mijn ogen.

Het patchen van zo'n systeem zelf kost minder moeite dan de schade herstellen van eventuele aanvallen van buitenaf. Helaas zien de meeste mensen met de portemonee in de hand dat niet in en zetten systeembeheerders in op plaatsen die minder hard nodig zijn (kejje me laptop ff fixxe?).

Bedreiging voor zichzelf maar ook voor anderen in mijn ogen. Anderen zijn de dupe van de laksheid van mensen zoals hierboven beschreven. Helaas, helaas..
Het heeft vaak niets met luie systeem behereders te maken. Maar met hele andere security en management beslissingen. Of denk je dat de systeembeheerder van de Amro bank 'even' alle systemen mag patchen zodra hij ergens gelezen heeft dat er een is? Gooi het aandelen transactie systeem maar even down. We moeten patchen. Voor testen hebben we geen tijd hoor. Stel je voor dat we aangevallen worden. Oeps...deze patch zorde er voor dat onze verbinding met Wallstreet 10 minuten weg was...verlies? och...hooguit 53 miljoen $
hoewel je bericht zeker wel relevant is, werkt het bij banken als de ABN denk ik toch iets anders. Die hebben meestal forse (super redundant uitgevoerde) unix dozen staan voor kritieke toepassingen, en unix kan je meestal upgraden zonder dat je iets hoeft down te gooien.

De management beslissingen in deze gevallen zijn wel een nijpend probleem echter, bij genoeg bedrijven gebeurt het zoals je omschrijft, en da's toch kwalijk.

ik vraag me echter af wat erger voor een bedrijf is: dat een server / systeem er even uitligt en dat daardoor de inkomsten schade oplopen, of dat het systeem gekraakt wordt door 1 of andere malloot of door een virus die nog veel meer schade aanricht.
en unix kan je meestal upgraden zonder dat je iets hoeft down te gooien.
Maar dan heb je het natuurlijk nog niet getest. Sommige patches stellen niets en passen weinig aan, andere kunnen echter je halve systeem overhoop gooien (in het meest extreme geval).

Het testen van een patch kan toch wel snel een week duren. Die hele week staan de productie-machines dus zonder patch.
Als hier een patch uitgerold moet gaan worden, dan moeten eerst de test servers geupdate worden. Dan wordt de acceptatie gestart om te kijken of alle applicaties die er op draaien daarna nog naar behoren werken. Als het dan geaccepteerd is kan eindelijk de productie omgeving onder handen genomen worden. Deze mag je alleen s'avonds en in het weekend down brengen of zwaar belasten, dus als 1 van de 2 nodig is moet je ook daar nog eens op wachten.
Stel dat het om een Windows NT4 patch gaat. In dat geval moeten al onze server geupdate worden (ja idd wij lopen nog zo ver achter |:( ). Gemiddeld zo'n 20 servers per dag, 100 servers te updaten.
Dan ben je dus de eerste 5 dagen bezig met alleen de test servers te updaten. Minstens 2 weken bezig met acceptatie (voordat je alle functioneel en technisch beheer gasten hebt ingelicht ben je al een week verder). En daarna zijn we nog een 5 dagen bezig met updaten van de productie servers.
Een dergelijke operatie wordt dus alleen opgezet als het echt nodig is. Gaat het om een simpele patch, daar beginnen ze niet eens aan. Een service pack willen ze nog wel over nadenken.
Wat dacht je van de domme thuisgebruikers die niet eens weten wat een patch is :?
Aangezien die dingen vaak zonder een firewall aan het net zitten zijn die nog het kwetsbaarst....

Een compleet gesloten netwerk zonder email of welke verbinding naar buiten dan ook zal niet zo kwetsbaar zijn :P
Thuisgebruikers draaien geen bedrijfskritische systemen, lijkt mij...
Een ander leuk voorbeeld:

Afgelopen week was ik op een lan waar ze een 2 GBit verbinding naar inet toe hadden.

Iemand naast mij was op zijn pc Windows 2000 aan het installeren. Alles goed en wel en op een gegeven moment ziet hij met DU meter dat 'ie contant 30-50 KB/sec traffic heeft, nja raar dacht 'ie. Maar wat is nu de grap: de organisatie kreeg een paar abuse-e-mails over (ik meen) nimba. Die bak had dus al de hele middag op 'full speed' andere pc's 'aangevallen'. En daarnaast de ranges die we gebruikten die was al een _hele_ tijd niet gebruikt (het was dus geen 192.168.x.x of 10.x.x.x maar gewoon 'direct' aan inet).

Natuurlijk was het niet zo slim om niet te patchen, alleen je ziet nu dus het gevaar. Je hebt je bak net vers geïnstalleerd en een paar uur later ben je infected. In die paar uur kan je natuurlijk de nodige service packs installeren, alleen dit geeft aan hoe gevaarlijk het inet eigenlijk is. En thuisgebruikers zullen zeker hieraan bijdragen, er zijn virussen die geen sporen op het systeem achterlaten, en die 50 KB/sec traffic valt de thuisgebruiker niet op. Ondertussen is de virusscanner is al uitgeschakeld/aangepast door het virus en de firewall gemanipuleerd ;).
Zij draaien wel de systemen die het vaakst door dit soort problemen worden getroffen. Het is niet zo dat alleen bedrijfskritische systemen kunnen worden getroffen door een virus of worm. ;). En het lijkt me niet meer dan logisch dat deze niet-bedrijfskritische systemen extern net zoveel schaed kunnen aanrichten als wel-bedrijfskritische systemen. :).
ik ben het niet met je eens,veel mensen hebben veel info thuis op hun eigen pc staanvoor bijv. thuiswerkers en noem maar op.
kijk,dat ik er nou een aparte laptop voor heb,tja,da's uit veiligheid,maar dat doe je niet met de 25-35% die regelmatig thuiswerkt (hier dan)
dus ik denk zeker dat het belangrijk is om het ook thuis bij te houden.
hier komen ze bij mij het netwerk niet op vanaf thuis(via vpn) zonder dat ze antivirus en fiewall hebben draaien om hun eigen pc te beschermen.en daar mogen ze mij best support voor vragen want ik eis het.
oftewel kort gezegt,patchen is voor ieder systeem belangrijk.denk ook nog even aan pc's die gebruikt worden voor Ddos
offtopic:
damn wat ben ik al wakker
Wat dacht je van de Thuis pc die geinfecteerd is en dan een VPN op zet met "de baas" en dus ineens deel is van een bedrijfs netwerk..

Uhh.. "Auw" is gepast hier.. :)
Vaak moeten veel systemen ineens gepatched worden, dat moet dan op een georganiseerde manier, tussen de gewone lijnwerkzaamheden door gebeuren en kan vaak niet onder werktijd gebeuren, omdat de gebruikers dan niet bij de server kunnne komne. zo moeten bij ons op het werk alleen al een kleine vijftig servers gepatched worden. Dat doe je niet even in de middagpauze
Webwereld vrijdag 1 augustus 2003

"Nadat gebruikers woensdag 23 juli de patch hadden geïnstalleerd, kwamen er bij Microsoft zeker dertig klachten binnen over problemen met het systeem. De klachten liepen uiteen van foutmeldingen tot inlogproblemen. De patch moest een lek in de zogeheten Routing and Remote Access Service (RRAS) in NT 4.0 dichten.

RRAS stelt gebruikers op afstand in staat om met NT 4.0 een beveiligde internetverbinding te maken. Door het lek zouden computer kwetsbaar zijn voor denial of service-aanvallen.

Na de klachten heeft Microsoft in een e-mail bevestigd dat de patch niet deugt. Het softwarebedrijf werkt nog aan een softwarepleister die wel werkt."

Goddank zijn er nog "luie systeembeheerders" die hun hersens gebruiken en niet domweg elke patch erop knallen :)
De andere kant van het verhaal is natuurlijk dat er altijd een mogelijkheid is dat het snel applyen van patches nieuwe problemen met zich mee kan brengen; het ene probleem los je op, maar er komt een ander probleem voor terug.
Als dit nieuwe probleem je systeem opnieuw kwetsbaar maakt geeft het je wel weer even 'tijd'. Het is dan een soort uitstel van executie, waarbij je wat extra tijd hebt om de 'executie' te voorkomen.
Zo zorg je er in ieder geval voor dat de kans dat je systeem van buitenaf aangevallen wordt, kleiner is.

Al is het natuurlijk beter als de nieuwe patch je geen extra problemen geeft :*)
Je moet dit denk ik vooral zien als: 'ja, ik installeer die patch dan wel, maar wat voor invloed heeft dat op de rest van mijn servers ?'

Ik installeer zelf nooit een patch zonder deze getest te hebben in de testomgeving (kpoie van de productieomgeving), en dan heb ik het nog over het redelijk 'doorzichtige' Netware (doorzichtig op fileniveau, dus makkelijker patches revven).

Windows bakken die niet via internet bereikbaar zijn patch ik zelfs niet eens; al te vaak meegemaakt dat de server daarna onverklaarbare problemen kreeg.
Ik denk dat het flink wat tijd vergt om een patch uit te brengen. En dat bedrijven oude software installeren.... nou niet elk bedrijf heeft een groot budget voor software.

Maar eigenlijk is dat een bekend verhaal want als er een nieuw virus of trojan uitkomt, kan men natuurlijk pas achteraf een fix ervoor maken. Eigenlijk blijven ze achter de feiten aanlopen.

/EDIT
OFFTOPIC?????
Leg dan maar eens uit waarom....... :Z
Als ik het ga hebben over stierenkloten of het weer ja dan wel ja... mensen denk eens effe verder...

:r
Dat is in vele gevallen _niet_ waar. Vaak worden security bulletins rondgestuurd waar niks mee gedaan wordt. Veel van de wormen die we de laatste tijd zagen waren gebaseerd op OUDE veiligheidsgaten. Kijk bijvoorbeeld maar eens naar die SQL worm van eerder dit jaar. Die was iets van een jaar oud die exploit.
Niet alleen speelt geld een rol bij het gebruik van nieuwe software, vaak heb je afhankelijkheden met andere paketten. Bijvoorbeeld software dat niet op win2k / winXp loopt, maar alleen op NT4. En tja, support voor dat stukkie software is al wel gestopt en wordt niet meer verder ontwikkeld. Dat is in veel gevallen niet alleen erg lastig, maar gaat ook nog 's een hoop knaken kosten om een ander pakket te gaan zoeken dat dezelfde functionaliteit bied, deze aan te schaffen, mensen op te leiden, etc, etc
En daarom heeft mijn Debian-server auto-apt
Ieder dag security-updates !
Ik, als debian fan pur sang, vind dat niet slim. Je moet zulke dingen imo niet helemaal automatisch doen. :) Wel goed in de gaten houden!
Wél als je alleen http://security.debian.org in /etc/apt/sources.list hebt staan, toch?
Dus ik zou als sysadmin onmiddelijk win2K SP4 op mijn Citrix servers moeten gooien om maar gepatched te blijven? Nou nee dank je wel. Dan was ik nu nog veel dieper in de problemen geweest.
En ik weet natuurlijk wel dat een SP wel even iets anders is dan een enkele security patch, maar het punt blijft hetzelfde.
Patches niet (kunnen) toepassen omdat ze slecht zijn? Dat is net zo goed als geen patches hebben. Een geruststellende gedachte...
Nee, zonder 'foute' patches blijft je systeem ook draaien, terwijl hij met deze patch weleens zou kunnen crashen en dus verlies veroorzaken. :)
inderdaad.

in dat opzicht heb ik ook absoluut medelijden met m'n collega's die de windows servers moeten beheren.

Unix heb je dit probleem een stuk minder mee. Je upgrade wat je up wil graden, schiet dat specifieke process onderuit en start het opnieuw op. (one liners natuurlijk). Bij windows is dit soort shit matteloos gecompliceerd en met een flinke hoeveelheid risico.
anderhalf jaar durend onderzoek
Wow, die hadden dan wel een hééeéééééeeééle lange tijd niet gepatched ;)
ik denk niet dat black-hatters win2k of enig ander MS OS draaien :+
Het patchen duurt altijd lang omdat er nog getest moet worden op een schaduw system of alles nog steeds naar behoren werkt.

Je zou niet willen dat een kritisch system uitvalt na het installeren van een patch, de meeste kritische systemen hangen toch niet direct internet :-)
Hier ben ik het mee eens. Over het algemeen worden IT afdelingen onderbezet, waardoor er geen tijd is voor dit soort zaken. Je wilt wel een update van je servers doen, maar, je kan het niet meteen in een live omgeving uitvoeren. Dit betekend dat je eerst een testsysteem moet inrichten en daarop oefenen. Ik heb genoeg systeembeheerders die het direct op life doen. Ik denk niet dat zij goed nadenken over de continuïteit van de business. Als het fout gaat, dan zit je met de gebakken peren en zijn de rapen gaar.
Vaak heb je als it afdeling niet de budgetten om updates goed uit te voeren. Het management ziet vaak niet dat dit soort dingen essentieel zijn. De focus gaat sneller uit naar zichtbare it zaken als pc's en gebruikersondersteuning ipv naar configuratiebeheer.
Ik dacht dat DAT allang bekend was.

maar waarom worden ze pas laat gepatched?
hebben ze er geen zin in/tijd voor?
of houden ze het gewoon niet bij?
OK opzich is dit berich al heel juist alleen nu is het noemen wel waard van dat sommige updates ook andere problemen veroorzaken, dit geld meer voor security patches dan AV updates. Nu kan je dit soort problemen niet hebben bij bijvoorbeeld belangrijke netwerk servers, dus wacht je even en kijk je of er known issues zijn.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True