Windows XP patch management

– Windows XP patch managementje pedig mindenkinek van. – Ezzel kijelentéssel válaszoltam egy kollégámnak, aki elmesélte, egyik ügyfele nagyot nevetett, amikor a 2014. áprilisi Windows XP támogatás vége szóba került. Az ügyfélnél még több ezer Windows XP üzemel, de hát mit számít, hogy áprilistól nem jönnek biztonsági frissítések és javítások, amikor eddig sem volt patch management és eddig sem raktak fel semmit?

A helyzet azonban az, hogy az ügyfél szakértője téved. Amióta a Windows XP létezik, azóta létezik hozzá patch management is. És mindenki használja. Az ellentmondás egyetlen szóval feloldható: mindenki számára rendelkezésre áll a reaktív szoftverfoltozás lehetősége. Azok számára is, akik nem építettek ki szoftverfoltozó technológiát, például WSUS-t. Azok számára is, akik eddig – eléggé el nem ítélhető módon – nem törődtek a frissítések terítésével.

Tegyük fel, hogy a jövő héten egy a Confickerhez hasonló számítógép-féreg kezd el terjedni. Mi történik ilyenkor?

  • Akárcsak a Conficker esetén, a kártékony kód az operációs rendszerek sérülékenységét kihasználva elkezd terjedni.
  • Vagy rögtön a terjedés pillanatától kezdve, vagy a vírus írója által meghatározott időben elkezdődik a károkozás. Ez a sérülékenység súlyától függően bármi lehet, beleértve adatok vagy a teljes rendszer törlését, jelszavak feltörését, fájlok “foglyul ejtését” stb.
  • A szoftver gyártója elkészíti a sérülékenységet megszüntető szoftverfoltot – bár többnyire ez már a kártékony kód előtt elkészül és elérhető.
  • Eközben az anti-malware gyártók is elkészítik a maguk szignatúra frissítését. Megindul a szignatúra frissítési mechanizmus.
  • A gyártók figyelmeztető levelet küldenek az ügyfeleik számára, hogy jelentős fertőzés-veszély áll fenn, kérik a szükséges javítások terítésének haladéktalan megkezdését.
  • A még nem fertőzött gépeknél az anti-malware rendszerek kezdenek védelmet biztosítani a féreg első variánsával szemben.
  • A fertőzött gépekhez elkészül a vírus eltávolítási recept. Ez lehet egyszerű és nagyon összetett is. A “jól megírt” vírusok jól rejtőzködnek és védekeznek az eltávolítás ellen.
  • A jelentős fertőzési hullámról beszámol a sajtó. Tipikusan először a szakmai fórumok, később a nem szakmai portálok, végül a nyomtatott sajtó is. A fertőzésről azok a szakértők is értesülnek, akiket egyébként a gyártók figyelmeztetése még nem ért el.
  • Megkezdik a fertőzött gépek vírusmentesítését.
  • Néhány szervezet megkezdi a sérülékenységhez kiadott szoftverfoltok terítését.
  • Megjelenik a kártékony kód variánsa.
  • Megfertőződnek olyan gépek, amelyek anti-malware szoftvere az első variáns ellen véd, de mások variánst még a heurisztikus módszerrel sem képes felfedezni.
  • Bizonyos gépek újra megfertőződnek, mert nem kapták még meg a szoftverfoltokat.
  • Az anti-malware gyártók kiadják az új szignatúrát – immár az új variáns ellen.
  • Folyamatosan jelennek meg újabb és újabb variánsok és a nem foltozott gépek – a friss antimalware szoftverek ellenére – újra és újra fertőződnek.
  • A szakértők megértik, hogyan szűntethető meg véglegesen a fertőzés. Megkezdődik a szoftverfolt vagy foltok tömeges telepítése. Ez történhet manuálisan vagy valamilyen automatizmus segítségével.
  • A sérülékenységet hordozó gépek számra rohamosan csökken, megnehezítve ezzel a féreg terjedését.
  • A sérülékenységet foltozó szoftverfrissítés annyira elterjed, hogy a fertőzött gépek száma minimálissá válik.

A fent említett szervezet is – legyen bármilyen elhanyagolt a szoftverfrissítések kezelése – követi a fenti sorrendet. A “modern” kártékony kódok többsége azért létezhet, mert sérülékenységek vannak az operációs rendszerekben vagy más szoftverekben. Azért születnek meg a kártékony kódok, mert ezek a sérülékenységek “gazdaságos módon” kihasználhatók. Ezt azért teszem idézőjelbe, mert itt a gazdaságosságról szervezett bűnözői csoportok döntenek. Tehát: kis erőfeszítéssel, gyorsan, jelentős haszonra lehet-e szert tenni, egy adott kártékony kóddal? Ha a válasz igen, a kódot elkészítik. A mi szempontunkból a lényeg: mindaddig, amíg az alapprobléma, tehát a sérülékenység fennáll, érdemes lesz újabb és újabb variánsokat elkészíteni, mert a fertőzés újra és újra kivitelezhető. Az anti-malware szoftverek sokat segíthetnek, de megakadályozni nem tudják a fertőzést. A végleges megoldás tehát a szoftverfolt terítése. A felkészületlen szervezetek ezt utólag, esetleg automatizmus nélkül végzik el, de akkor is elvégzik, mert ez nem csupán csökkenti, hanem megoldja, hogy az adott kártékony kód már ne fertőzhessen. Ezért mondtam, hogy mindenkinek van a Windows XP-re vonatkozóan patch managementje.

És mi történik, ha a kártékony kód mondjuk, 2014. augusztusában jelenik meg? A 2014 áprilisa után a felfedezett sérülékenységeket már nem fogja javítani a Microsoft. A fenti felsorolásból a Windows XP-re vonatkozóan a pirossal kiemeltek nem történnek meg, az alapproblémára nem készül javítás. Tekintettel a Windows XP magas penetrációjára, a “gazdaságosság” magas lesz, ezért egy ilyen kártékony kód megszületésének valószínűsége közel 100%. A variánsok elkészítésével pedig folyamatosan magas szinten lehet majd tartani a fertőzött gépek számát. Az az aggodalmam, hogy a támogatás meglétének jelentőségét, és annak lezárultát nagyon sokan csak túl későn fogják megérteni.

Még egyszer: Windows XP patch managementje mindenkinek van. Még.

4 Responses to Windows XP patch management

  1. hokuszpk says:

    aggodjunk.
    mert aggodni jo.
    eddig nem volt az, de most nagyon uzleti, tehat nagyon jo.

  2. Nem ConLicker hanem Conficker.

    Egyébként ha már Confickerhez hasonló kártékony kódról van szó, akkor csak úgy hiteles a téma, ha megemlítjük, hogy teljesen up-to-date gépeket is képes volt fertőzni Conficker. Kicsit érhetőbben:
    A kártékony kódok egyik ha nem a legfontosabb feladata a hatékony propagálás. Készíthetek egy olyan egyszerű kártékony kódot ami a format c:\ parancsot adja ki. Ez önmagában nem használ ki semmilyen szoftver hibát. Egyszerűen az emberi hiszékenységet. Ehhez nem kellett szoftver sérülékenység. Azonban amikor megfőztem ezt, akkor a következő lépcső az, hogy azt kell kitalálnom, hogy miként fog ez több száz millió gépre eljutni. Küldök mindenkinek egy levelet? Kitszem FB-re, vagy WordPressre egy blogba?😉
    Ezen a ponton van értelme és jelentősége a szoftverekben rejlő sérülékenységeknek. Mert tegyük fel van egy böngésző hiba, aminek az eredménye az, hogy a user jogosultsági szintjénél magasabb szinten képes automatikusan lefuttatni egy beágyazott kódot. Ezt a sérülékenységet felhasználhatom a megfőzött tervemet megtestesítő kód propagálására.

    Ténylegesen nem az adott sérülékenységet támadom. Egyszerűen csak futószalagként használom ami eljuttatja a kódomat több száz millió számítógépre. De ettől lehet én még okos és kitalálhatok bármilyen más szállító mechanizmust, ahogy az történt a Conficker esetében is (egyébként ezért is (volt) nehéz megszabadulni ettől a vírustól). Többek között az USB-t, a gyenge jelszavakat is használta a Conficker…

    Egyben azt is könnyű belátni, hogy sok esetben a szállítószalagot kicserélni egy ilyen kártékony kód alatt nem túl nagy ügy. Modulárisan gondolkodhatunk nyugodtan. Ezt befoltozta, akkor hozom a következő metódust amivel eltudom juttatni a megoldásomat.

    A fekete napokat idéző Blaster esetében sem az volt a kód írójának a célja, hogy a Windows újrainduljon. Az a kártékony kódban levő programozási hiba mellékterméke lett. Sajnos vagy nem.

    Szóval igen, patch management előre. Ezt tanítom. Mert az esetek több mint 50%-ban, kevesebb mint 75%-ban azonnali megoldást jelent. De a biztonság és különösen az IT biztonság összetett állatfajta.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: