Bedrijven die tot nu toe hebben verzuimd om Service Pack 3 (SP3) op hun XP-machines te installeren, lopen een behoorlijk risico. Dat zeggen de experts van Computable op het gebied van besturingssystemen. Dat Microsoft op 19 juli 2010 is gestopt met het geven van ondersteuning voor XP-machines met SP2, is volgens de experts volstrekt terecht.
'Ik heb het helaas al een aantal maal mogen meemaken dat een bedrijf behoorlijk geraakt wordt door een 'antiek' virus dat gebruik maakt van een inmiddels allang achterhaald lek en er op die manier achter moet komen dat degelijk patchmanagement geen overbodige luxe is', vertelt technisch-architect Jurre Heesbeen van Brainforce. 'Als een systeem al een tijdje meegaat, hebben de virusmakers alle tijd gehad om zich op de bekende (en onbekende) lekken uit te leven, dus het aanbod in allerhande malware is omvangrijk.'
Volgens systeembeheerder Jeroen Bakker van Ormer ICT kunnen recente bedreigingen echter ook een probleem opleveren. 'Voor het snelkoppelingenlek heeft Microsoft inmiddels een fix uitgebracht, maar vermeldt geen ondersteuning voor SP2.'
Afblijven
Maar er zijn ook tegengeluiden. Zo denkt infrastructuur-architect René Scholten van Capgemini dat de risico's wel loslopen: 'Voor een deel hangt het af van de functie van de machine. Is het een machine die rechtstreeks verbonden is met de boze buitenwereld, dan is het gevaar op aanvallen groter dan wanneer het een afgeschermde omgeving betreft. Daarnaast zullen inmiddels de bugs wel zo'n beetje uit deze systemen zijn verdwenen, gezien de lange tijd waarin ze operationeel zijn. Als applicaties al jaren lang goed draaien, is de waarschijnlijkheid dat ze nog een lange tijd kunnen blijven draaien vrij groot. Er komen immers ook geen patches meer uit, dus vooral overal afblijven zou ik zeggen. Daarnaast zullen de pijlen van de virusbouwers zich inmiddels voor een heel groot deel richten op de recentere besturingssystemen van Microsoft. Wellicht is het risico dat de hardware zo langzamerhand begint in te storten groter.'
Reëel zijn
Experts zijn unaniem als het gaat om de schuldvraag: Microsoft treft geen blaam. 'Natuurlijk is het terecht dat de ondersteuning op een gegeven moment ophoudt', zegt Heesbeen. 'Elk softwareproduct heeft een eigen levenscyclus en zal eens ophouden te bestaan. Als de gebruikersgroep op een gegeven moment te klein wordt, dan is het niet meer dan logisch dat je als leverancier de stekker eruit trekt. Het is dan simpelweg niet meer rendabel.'
Bakker: 'Windows XP is al heel lang aanwezig. Zelfs SP3 is al geruime tijd beschikbaar. Bedrijven maken zelf de keuze niet te updaten en hun software leveranciers niet onder druk te zetten om hun software voor SP3 beschikbaar te maken. Microsofts focus ligt op het minimaliseren van deze bedreigingen, maar wees reëel, dit kan alleen als klanten ook wat werk verrichten.'
Stopzetting ondersteuning Windows XP SP2
Van elke zes Nederlandse computers met het besturingssysteem Windows XP heeft er één Service Pack 3 (SP3) nog niet geïnstalleerd. Dat zijn ongeveer één miljoen pc's. Softwareleverancier Microsoft ondersteunt vanaf 19 juli 2010 Service Pack 2 niet meer. Dat betekent dat gebruikers geen beveiligingsupdates meer ontvangen en meer risico lopen op virussen, spyware en andere schadelijke software. Microsoft raadt aan om Windows XP Service Pack 3 te installeren, over te stappen op Windows 7 of een customer support contract af te sluiten. 'Niets doen raden wij als Microsoft ten zeerste af', zegt productmanager Olivier van Noort. 'Wie door blijft werken met pc's met Windows XP Service Pack 2 zal het beveiligingsrisico dan voor lief moeten nemen.'
René Scholten heeft gelijk. Pachten moet niet altijd. Als je bijvoorbeeld een netwerkje hebt met alleen vaste PC’s die niet verbonden zijn met het Internet en je geen applicatiewijziging door moet voeren die een patch nodig heeft, dan kan je zeggen het werkt, blijf er van af.
Werk zelf thuis soms met oude PC’s met OS-en die niet meer ondersteund worden. Dat gaat op zich prima. Met Win 95 het Internet op? Zelfs dat kan nog steeds veilig als je weet wat je doet en zonodig malware scanners gebruikt.
Maar zoiets is uiteindelijk toch te duur voor een bedrijf omdat het de mogelijkheden van een bedrijf beperkt. Is het machinepark te oud, vervang deze dan ook. Goedkoop wordt anders duurkoop.
Als servicepack 2 er al op zit, dan zou ik toch bekijken of nummer 3 toegevoegd kan worden vanwege een iets betere perfomance. Uiteraard moet je dan wel uittesten wat die change betekent.
Overigens, het patchen beveiligt een PC maar een beetje. Malware, ook ‘antieke’ virussen moeten vooral bestreden worden door veilig gedrag ondersteund door anti-malware-scanners. Veel malware maakt niet eens gebruik van lekken, maar misbruikt simpelweg de mogelijkheden van het besturingssysteem en de applicaties.
Wat??? U maakt een grapje zekers?
Wat als er iemand met een besmette laptop komt en deze in je interne netwerk plugt? Dan ben je mooi de klos, en als er iemand een usb drive/ camera/ mobiele telefoon meeneemt waar iets gevaarlijks op staat en deze in 1 van die machines drukt?
@janj, Je wilt toch niet zeggen dat het bij jullie toegestaan is om eigen laptops of andere opslag apparatuur in te pluggen in de werkstations dan wel netwerk? Ik ken bedrijven waar dat ten strengste verboden is en zelfs ontslag kan volgen, wanneer er ook daadwerkelijk iets misgaat wanneer je dit doet.
Ik ken ook bedrijven (banken) waarbij je meegebrachte laptops af moet geven bij de recpetie/bewaking. Het bedrijf waar ik voor werk wil zijn beveiliging tegen het gebruik van USB opslag apparatuur ook strenger maken door simpelweg USB poorten te disablen.
Nee, eigen meegebrachte apparatuur hoort niet op het bedrijfsnetwerk thuis. Mocht je mensen inhuren die zelf een laptop meebrengen zullen zij ook eerst moeten voldoen aan de in huis geldenede security regels voordat een dergelijke laptop aangesloten mag worden op het netwerk.
Het gaat er niet om of het toegestaan is, het gaat erom dat het mogelijk is, en zoja dan ben je de pineut. Hoe ga je achterhalen wanneer een werknemer,schoonmaker, externe een usb stick of laptop even in het netwerk heeft gehangen? bij banken is dit misschien mogelijk maar bij niet elk bedrijf heeft een security team in dienst.
Mijn punt is dat je altijd moet zorgen dat je de boel zoveel als mogelijk up 2 date en afgeschermt moet hebben ‘voor het geval dat’
En als dan een ICTér hierboven beweert dat je prima veilig op pc’s met verouderde Operating systems kan werken, dan ben ik blij dat ik deze ICTér niet in dienst heb.
Kleine aanvulling op mijn vorige reactie; begrijp mij niet verkeerd, ik ben er ook volledig voor om dergelijke servicepacks bij te houden. Wanneer een “stoffige” applicatie hierdoor problemen krijgt, dan moet de ontwikkelaar hiervan ook maar met zijn tijd meegaan. Je zit als bedrijf zijnde gewoon vast aan goed beheer van je automatisering en hier horen ook software update’s bij. Helaas zien veel bedrijven dit niet en hebben vaak de isntelling: “het werkt tocht”. Totdat en applicatie of OS een update krijgt waarvan andere zaken weer afhankelijk zijn het het geheel niet meer op elkaar werkt, want er kunnen ook applicaties zijn die ervanuit gaan dat een SP3 is geinstalleerd etc.
@ janj, staar je niet blind op het patchen. Een patch is niet zelden pas klaar als er al virussen en wormen gemaakt zijn die het lek gebruiken. Veel patches hebben oude lekken niet goed gedicht, hebben nieuwe lekken gecreëerd of instabiliteit veroorzaakt.
Ik ben ook voor zo veel mogelijk patchen (alleen volgens goed changemanagement), maar het grootste lek is de gebruiker en de domme of luie beheerder die de automatische update aanzet en het verder wel geloofd. Dat soort beheerders weer ik altijd uit mijn beheerteam.
Heb bij klanten / opdrachtgevers met de nieuwste software en automatische updates al heel wat malware gezien en verwijderd. De reden is dat ze van alles uitproberen (op zich heel goed) maar onvoldoende rekening houden met de gevaren. Dat de financials zo weinig problemen net malware hebben zit niet in hun automatisch patchbeleid, maar omdat ze slimme en hardwerkende beheerders hebben.
Die ICT-er hierboven beweert dat je prima veilig op pc’s met verouderde Operating systems kan werken omdat hij er meer verstand van heeft dan de gemiddelde gebruiker of beheerder.
Mijn eigen PC’s en servers zijn al meer dan 20 jaar malwarevrij (m.u.v. speciale test-PC’s waar antimalwaresoftware op getest worden). De laptops van de zaak zijn ook altijd malwarevrij geweest. Heb thuis maar een keer een besmetting gehad, dat was een boot sector virus op mijn DOS PC; toen bestond McAfee nog niet. Ik ben getraind door McAfee en verzamelde toen virussen om virusscanners te testen omdat er nog geen bureaus waren die de virusscantesten publiceerden. Dat was nog in de tijd dat meestal diskettes werden gebruikt om gegevens uit te wisselen. Ik was ook één van de eersten in Nederland die virusscanners op de servers ging zetten. Ik scan officiële software voordat ik deze op de zaak installeer en heb altijd meerdere scanners in huis. Maar het belangrijkste is dat ik altijd veilig werken propageer en desnoods ruzie riskeer met domme of luie managers die veilig werken maar zo’n gedoe vinden.
Janj, heb jij ook zo’n trackrecord of zit je broek gewoon te ruim?
@Janj, als een bezoeker bij jou zomaar met een besmette laptop op jouw server kan komen, of als een collega onwetend gehouden wordt zomaar ergens een USB in drukt, dan heb jij als beheerder gefaald.
Drie van de beveiligingslekken die Microsoft afgelopen maand patchte, blijken al meer dan 1,5 jaar bekend te zijn; twee ervan waren zelfs al 29 maanden geleden aangemeld bij Microsoft.
Dat is overigens niet het record voor een lek bij Microsoft; dat was meer dan 10 jaar! Microsoft wil geen verplichting aangaan om een lek binnen twee maanden te dichten.
Microsoft patcht lekken vaak in het geheim en voegt de patch toe aan een reeds bekende patch omdat ze niet willen bekend maken dat er nog een lek was en hoelang het lek al bekend was. Bij bedrijven zoals Adobe, Novell en Oracle, gaat het niet veel anders.
Je vooral op het patchen richten is onprofessioneel en je gebruikers met minder kennis voor de gek houden.
Een professional richt zich op het totaal van bewustwording, organisatie, procedures, fysiek belemmeringen en ondersteunende gebruiksvriendelijke technieken, en doet dat in het kader van het algemene beveiligingsbeleid van het bedrijf.
Een medewerker van F-Secure heeft een methode ontdekt om een update voor de periode na servicepack 3 te installeren op een machine met servicepack 2.
Een registry-hack om Grand Theft Aauto IV op Windows XP systemen met Service Pack 2 te spelen, maakt het ook mogelijk om de Windows LNK-lek spoedpatch (KB2286198) kunnen installeren.
Een machine met SP2 lijkt de update te accepteren als je een registry-waarde verandert bij de Key “HKLMSystemCurrentControlSetControlWindows”. Verander de Dword waarde CSDVersion van “200” in “300 en reboot daarna.
Zie ook http://www.f-secure.com/weblog/archives/00002005.html.
Ik heb het zelf nog niet uitgeprobeerd omdat ik eerst een XP machine zonder servicepack 3 moet klaarmaken. Het is ook de vraag of andere patches van Microsoft niet eerst controleren wat die ene Dword waarde is.