Windows XP patch management

– Windows XP patch managementje pedig mindenkinek van. – Ezzel kijelentéssel válaszoltam egy kollégámnak, aki elmesélte, egyik ügyfele nagyot nevetett, amikor a 2014. áprilisi Windows XP támogatás vége szóba került. Az ügyfélnél még több ezer Windows XP üzemel, de hát mit számít, hogy áprilistól nem jönnek biztonsági frissítések és javítások, amikor eddig sem volt patch management és eddig sem raktak fel semmit?

A helyzet azonban az, hogy az ügyfél szakértője téved. Amióta a Windows XP létezik, azóta létezik hozzá patch management is. És mindenki használja. Az ellentmondás egyetlen szóval feloldható: mindenki számára rendelkezésre áll a reaktív szoftverfoltozás lehetősége. Azok számára is, akik nem építettek ki szoftverfoltozó technológiát, például WSUS-t. Azok számára is, akik eddig – eléggé el nem ítélhető módon – nem törődtek a frissítések terítésével.

Tegyük fel, hogy a jövő héten egy a Confickerhez hasonló számítógép-féreg kezd el terjedni. Mi történik ilyenkor?

  • Akárcsak a Conficker esetén, a kártékony kód az operációs rendszerek sérülékenységét kihasználva elkezd terjedni.
  • Vagy rögtön a terjedés pillanatától kezdve, vagy a vírus írója által meghatározott időben elkezdődik a károkozás. Ez a sérülékenység súlyától függően bármi lehet, beleértve adatok vagy a teljes rendszer törlését, jelszavak feltörését, fájlok “foglyul ejtését” stb.
  • A szoftver gyártója elkészíti a sérülékenységet megszüntető szoftverfoltot – bár többnyire ez már a kártékony kód előtt elkészül és elérhető.
  • Eközben az anti-malware gyártók is elkészítik a maguk szignatúra frissítését. Megindul a szignatúra frissítési mechanizmus.
  • A gyártók figyelmeztető levelet küldenek az ügyfeleik számára, hogy jelentős fertőzés-veszély áll fenn, kérik a szükséges javítások terítésének haladéktalan megkezdését.
  • A még nem fertőzött gépeknél az anti-malware rendszerek kezdenek védelmet biztosítani a féreg első variánsával szemben.
  • A fertőzött gépekhez elkészül a vírus eltávolítási recept. Ez lehet egyszerű és nagyon összetett is. A “jól megírt” vírusok jól rejtőzködnek és védekeznek az eltávolítás ellen.
  • A jelentős fertőzési hullámról beszámol a sajtó. Tipikusan először a szakmai fórumok, később a nem szakmai portálok, végül a nyomtatott sajtó is. A fertőzésről azok a szakértők is értesülnek, akiket egyébként a gyártók figyelmeztetése még nem ért el.
  • Megkezdik a fertőzött gépek vírusmentesítését.
  • Néhány szervezet megkezdi a sérülékenységhez kiadott szoftverfoltok terítését.
  • Megjelenik a kártékony kód variánsa.
  • Megfertőződnek olyan gépek, amelyek anti-malware szoftvere az első variáns ellen véd, de mások variánst még a heurisztikus módszerrel sem képes felfedezni.
  • Bizonyos gépek újra megfertőződnek, mert nem kapták még meg a szoftverfoltokat.
  • Az anti-malware gyártók kiadják az új szignatúrát – immár az új variáns ellen.
  • Folyamatosan jelennek meg újabb és újabb variánsok és a nem foltozott gépek – a friss antimalware szoftverek ellenére – újra és újra fertőződnek.
  • A szakértők megértik, hogyan szűntethető meg véglegesen a fertőzés. Megkezdődik a szoftverfolt vagy foltok tömeges telepítése. Ez történhet manuálisan vagy valamilyen automatizmus segítségével.
  • A sérülékenységet hordozó gépek számra rohamosan csökken, megnehezítve ezzel a féreg terjedését.
  • A sérülékenységet foltozó szoftverfrissítés annyira elterjed, hogy a fertőzött gépek száma minimálissá válik.

A fent említett szervezet is – legyen bármilyen elhanyagolt a szoftverfrissítések kezelése – követi a fenti sorrendet. A “modern” kártékony kódok többsége azért létezhet, mert sérülékenységek vannak az operációs rendszerekben vagy más szoftverekben. Azért születnek meg a kártékony kódok, mert ezek a sérülékenységek “gazdaságos módon” kihasználhatók. Ezt azért teszem idézőjelbe, mert itt a gazdaságosságról szervezett bűnözői csoportok döntenek. Tehát: kis erőfeszítéssel, gyorsan, jelentős haszonra lehet-e szert tenni, egy adott kártékony kóddal? Ha a válasz igen, a kódot elkészítik. A mi szempontunkból a lényeg: mindaddig, amíg az alapprobléma, tehát a sérülékenység fennáll, érdemes lesz újabb és újabb variánsokat elkészíteni, mert a fertőzés újra és újra kivitelezhető. Az anti-malware szoftverek sokat segíthetnek, de megakadályozni nem tudják a fertőzést. A végleges megoldás tehát a szoftverfolt terítése. A felkészületlen szervezetek ezt utólag, esetleg automatizmus nélkül végzik el, de akkor is elvégzik, mert ez nem csupán csökkenti, hanem megoldja, hogy az adott kártékony kód már ne fertőzhessen. Ezért mondtam, hogy mindenkinek van a Windows XP-re vonatkozóan patch managementje.

És mi történik, ha a kártékony kód mondjuk, 2014. augusztusában jelenik meg? A 2014 áprilisa után a felfedezett sérülékenységeket már nem fogja javítani a Microsoft. A fenti felsorolásból a Windows XP-re vonatkozóan a pirossal kiemeltek nem történnek meg, az alapproblémára nem készül javítás. Tekintettel a Windows XP magas penetrációjára, a “gazdaságosság” magas lesz, ezért egy ilyen kártékony kód megszületésének valószínűsége közel 100%. A variánsok elkészítésével pedig folyamatosan magas szinten lehet majd tartani a fertőzött gépek számát. Az az aggodalmam, hogy a támogatás meglétének jelentőségét, és annak lezárultát nagyon sokan csak túl későn fogják megérteni.

Még egyszer: Windows XP patch managementje mindenkinek van. Még.

Advertisements