Prioriteiten bij het patchen, nog altijd een zorgenkind?

Het SANS rapport "The Top Cyber Security Risks" en het Internet Storm Center (ISC), stelt dat bedrijven ogenschijnlijk de verkeerde prioriteiten stellen waar het gaat om het verhelpen van kwetsbaarheden in PC's. Hoewel recente aanvallen op Windows PC's zich vrijwel alleen maar richten op kwetsbaarheden in Adobe Reader, QuickTime, Adobe Flash en Microsoft Office, duurt het gemiddeld twéé keer zo lang voordat security updates voor deze applicaties geïnstalleerd zijn vergeleken met kwetsbaarheden die in het besturingssysteem aangetroffen worden. Het rapport baseert zich op informatie uit 6000 intrusion prevention systemen van TippingPoint en de meer dan 100 millioen vulnerability scans die Qualys uitvoert.

Zo valt te lezen, dat 80 procent van de Windows kwetsbaarheden binnen 60 dagen na het beschikbaar komen van een update gepatched zijn. Dit staat in schril contrast met applicaties als Office, Adobe Acrobat en Java, waar in dezelfde tijdspanne slechts 20 tot 40 procent van de kwetsbaarheden gepatched zijn, om nog maar niet te spreken van Flash, waar we over percentages van 10 tot 20 procent praten!

Website beheerders helpen, vaak ongewild, bij de distributie van malware door criminelen. Matig server onderhoud zorgt ervoor dat vertrouwde websites gemanipuleerd worden waarbij kwaadaardige code ingebouwd en gedistribueerd wordt. Meer dan de helft van alle online aanvallen zijn gericht op webservers, met als doel het exploiteren van SQL injection en andere kwetsbaarheden. SQL injection en cross-site scripting (XSS) kwetsbaarheden zijn samen goed voor 80 procent van alle kwetsbaarheden op servers.

Een alarmerende conclusie: vertrouw geen enkele website! Nog dit weekend slaagden boeven er in om "scareware" los te laten (een van die waarschuwingen: "u bent geinfecteerd", ooit gezien?) op bezoekers van de website van de New York Times. Niets nieuws. Maar wel iets dat we steeds vaker zullen zien, omdat op deze manier criminelen makkelijk een grote populatie kunnen bereiken.

Kennelijk is het niet mogelijk voor de vele beheerders en thuisgebruikers om hun systemen volledig up-to-date te houden en zo dit type aanvallen tegen te gaan. Eén van de redenen daarvan is waarschijnlijk de slecht functionerende update procedures van de verschillende producten. 'Stil patchen' verbetert de situatie aanzienlijk. Ik kan me de bezwaren tegen het ongezien aanbrengen van veranderingen op je computer voorstellen, Toch geloof ik dat de gemiddelde gebruiker hiermee beter af zou zijn dan wanneer hij dit zélf moet doet!

Natuurlijk is er programmatuur, zoals Secunia's PS. Dit soort software scant o.a. belangrijke componenten als de Flash plug-in, Java en browser libraries. De programmatuur geeft die gebruikers tevens een idee over de gevaren van het surfen met een onbeschermd systeem. Feit blijft, dat de gebruiker dit soort bescherming ook daadwerkelijk moet installeren, begrijpen en correct moet gebruiken.

Misschien is het een goed idee dat Microsoft een faciliteit in Windows inbouwt, die gebruikers, naast de informatie over Windows zelf en Internet Explorer, ook informeert over updates voor Adobe Reader, Java, Flash enz?