Endnu en grund til at opdatere Windows 10: RDP-servere også sårbare

Jeg krøller tær hver gange såkaldte IT Kyndige påstår, at det eneste sikre er at opdatere Windows for at "gøre" den sikre.
Ideelt set vil enhver opdatering forbedre sikkerhede --- MEN
og det er et STORT MEN -
For at den påstand skal være korrekt, SKAL en opdatering være fejlfri.
Livets realitete er, at en fejlfri opdateringer findes ikke ! - og det til trods for at vi gennem 20-30 år har opdateret og opdateret.

Faktisk har MS demonstreret hvor tosset en startegi det er, ved at tvangs opdater Windows 10 i sikkerhedens navn ! for meget nylig kunne man læse her i version2, at 100 millioner PC'er havde denne "bla" sikkerheds brist !
Hold ny kæft noget lort. MS opdaterings politik resulteret i at næsten samtlige PC'er blev ramt på een gang !
DET er beviset på at tvangs opdatering er en dårlig strategi.

Hvad er så bedre ?

Hvis jeg skal komme med et bud, så er nøgleordet "Mangfoldighed" - jo flere systememer med forskellig platforme, OS og hardware, man bruger, jo sikre er man på at en sikkerhedsbrist ikke rammer bredt, men kun sporatisk, netop der hvor man er "heldig" at finde en maskine, med lige netop "denne" fejl. Selvfølgelig skal man opdater, men ikke på samme tid, og til samme patch nivau. Bruger du både win7, win10, Linux, Unix, MacOS, Virtuelt miljø, o.s.v. alle på forskellige patch nivauer, så sikre man sig at have noget som virker, samt at det bliver meget svære at lave en virus, eller fortage et hacker angreb, som rammer bredt ! -

Det er Sikkerhed ! (Men for driften - og ikke for at man kan lægge et helt firma ned på een gang)

Til gengæld ender du i et administrativt helvede med så mange platforme. Stordrift betyder ikke stort antal platforme..

Som skrevet i overskriften, så er det en evig diskussion.

Ude i virkeligheden - væk fra mediehysteriet, sikkerhedsfarisæerne og de altid bagkloge mandagstrænere - er mulighederne sjældent så sort-hvide.

Noget skal patches. Noget skal patches, men det kan bare ikke være lige nu. Noget kan slet ikke patches. Nogle systemer kan man ikke finde den ansvarlige for, eller ingen ved hvordan man patcher applikation X. Nogle systemer må overhovedet ikke røres, fordi en eller anden myndighed kræver at de skal køre den certificerede udgave af softwaren. Find selv på flere gode undskyldninger.

Det er en risikovurdering, og du er nødt til at bruge de forskellige muligheder der findes, for at gøre risikoen så lille som mulig. Patchning, opgradering, hardening, netværkssegmentering, IDS/IPS løsninger, overvågning af hvad der foregår på systemerne, logopsamling, applikations-whitelisting, backup osv. osv.

Og sidst, men ikke mindst: Sørg for at have en plan for hvad du gør, når du bliver hacket. For det bliver du. Uanset hvad du gør.

“ Hvis jeg skal komme med et bud, så er nøgleordet "Mangfoldighed" - jo flere systememer med forskellig platforme, OS og hardware, man bruger, jo sikre er man på at en sikkerhedsbrist ikke rammer bredt, men kun sporatisk, netop der hvor man er "heldig" at finde en maskine, med lige netop "denne" fejl.”

Er det ikke det man kalder “Security by obscurity?” :-)

Er det ikke det man kalder “Security by obscurity?” :-)

Måske man også bør sørge for, at ikke to maskiner anvender det samme tasturlayout og sprogkode. Altså forskellige kinesiske og koreanske tegnsætvarianter må virkelig kunne forvirre en angriber. Dertil nogle maskiner med CP/M og OS/360 (på en emulator). Så vil et eller andet næsten med garanti fortsat være kørende. Selv om det måske ikke kan bruges til noget. Man kan også have en komplet server støbt ned under gulvet, uden forbindelse af nogen art til omverdenen.

Lige præcis!

"Dertil nogle maskiner med CP/M"

Jeg må hellere tage min RC-759 med på arbejde, så vi får højere sikkerhed. Det er godt nok med Concurrent CP/M ... Men det skader vel ikke. :-)

Man skal selvfølgelig patche som leverandøren anbefaler. Men den øverste kommentar er nu ikke så tosset igen kan jeg sige, erfaringsmæssigt. 'Life will find its way', med en ekstra udvej.

Det er en lille detalje, men de to Remote Desktop-sårbarheder er for Windows Server, så det er ikke patches til Windows 10 (desktop-versionen). CVE-2020-0611 er for Windows 10-klienter. Men for at udnytte den, skal man overbevise klienten om at forbinde til en ondsindet RDP-server.