Secunia: Så luk dog sikkerhedshullet, hvis lappen findes
Selvom man har en tyverialarm, er det dumt at lade hoveddøren stå åben.
Men i it-sikkerhedssammenhæng er det hvad der sker, når sårbarheder i softwaren ikke bliver lappet, og fokus i stedet er på intrusion detection, antivirus og andre systemer, der skal opdage hackerangreb.
Sådan lyder det fra danske Secunia, som har specialiseret sig i at få lappet sårbarheder med sikkerhedsopdateringer.
»Mange af de sikkerhedsmidler, man har, for eksempel antivirus-software, er ikke alene nok til at stoppe angreb. Det er et moving target, man prøver at ramme,« siger Troels Munk Haar, research analyst hos Secunia, til Version2.
Han opfordrer selvsagt til, at der kommer mere fokus på at lukke alle sikkerhedshuller, for via data indsamlet fra Secunias gratis værktøj Personal Software Inspector, kan han se, hvor grelt det står til på millioner af Windows-computere verden over.
»De enkelte endpoints er ret pressede i forhold til at holde sig sikre. Og antallet af sårbarheder stiger,« siger Troels Munk Haar.
Mens Microsofts software generelt hurtigt bliver opdateret med de nyeste patches gennem Windows Update, der også holder Windows selv opdateret, ser det værre ud med tredjepartsprogrammer, lyder meldingen.
»Microsoft klarer sig markant bedre, primært fordi man har en effektiv, fælles update-mekanisme, der opdaterer i baggrunden. Hos de andre producenter er det meget forskelligt. Nogle er gode til at få opdateringer ud, mens andre er lang tid om det,« siger analytikeren.
Selve forløbet med opdatering skal også gå glat, hvis det skal have en effekt, og her er Googles browser Chrome et af de bedste eksempler på, hvor godt det kan gøres, for det sker helt automatisk.
Omvendt kan en opdatering af andre stykker software kræve godkendelser eller hjælp fra brugeren, eller gå i stå.
»Vi oplever, at nogle producenters update-mekanisme ikke fungerer tilstrækkeligt godt,« siger Troels Munk Haar, som dog ikke vil pege fingre af nogen bestemte firmaer.
Hvis den automatiske opdatering af Java går galt - som Version2’s journalist har oplevet flere gange - er det for eksempel rigtig skidt, fordi de fleste brugere så aldrig kommer videre og downloader Java manuelt.
»Java er et godt eksempel, for det er et plugin til browseren, som er ekstremt kritisk. Er der en sårbarhed her, er man eksponeret, så snart man går på nettet,« siger Troels Munk Haar.
Danskere er på grund af NemID tvunget til at bruge Java, men i Chrome får man en advarsel, når en webside vil bruge Java, som man kan være opmærksom på. Man kan også blokere Java i den browser, man bruger til daglig, og så have en anden browser med Java dedikeret til NemID-brug.
Troels Munk Haar fortæller om sårbarheder på Dansk IT’s konference IT-sikkerhed 2012, der finder sted den 19. juni i Aarhus, og som Version2 er mediepartner på.
Kommentarer (3)
Et problem ved windows (som Secunia dog forsøger at løse med PSI) er når hvert program har sin egen opdateringsmekanisme, som kører som baggrundsprocess.
Dette er løst så smukt i linux ved repositories. Så en gang i mellem tjekkes alle programmer installeret derfra igennem.
-
6 -
0
Et problem ved windows (som Secunia dog forsøger at løse med PSI) er når hvert program har sin egen opdateringsmekanisme, som kører som baggrundsprocess
Disse baggrundsprocesser skal desuden køre med root rettigheder (eller hvad det hedder på Windows), ellers kan de ikke opdatere noget på brugerens system. En browser som kører med almindelige bruger privilegier kan ikke opdatere sig selv. Sådanne baggrundsprocesser kan selv blive en angrebsvektor hvis de indeholder bugs.
-
2
-
0
Jeg kan vedkende, at det er et problem på en privat Windows pc.
Nu er det bare sådan, at de fleste Microsoft enterprise miljøer håndterer deployment af sikkerhedspatches og programmer centralt fra - fx. via SCCM.
Derfor er de enkelte Windows workstations installerede opdateringsmekanismer som oftest disabled og kører derfor ikke i en kontekst af en service eller baggrundsproces.
-
0
-
0
Tilføj kommentar
