Home Security WannaCry: gaan we nu eindelijk patchen?

WannaCry: gaan we nu eindelijk patchen?

gdpr

Afgelopen vrijdag gebeurde er iets dat nog nooit eerder was gebeurd, zelfs niet toen we het nieuwe millennium ingingen: overal ter wereld sprongen computers bij grote bedrijven en overheidsinstellingen op zwart. Deze computers – en binnen enkele seconden ook alle andere computers binnen dezelfde netwerken – waren ten prooi gevallen aan de gevaarlijke ransomware WannaCry. Om opnieuw beschikking te krijgen over alle bestanden, die ondertussen vakkundig versleuteld waren, moesten de bedrijven betalen in de vorm van Bitcoins. Hoewel het nog lang niet zeker is dat alle slachtoffers die betalen ook echt hun bestanden terugkrijgen.

Patches

Veel mensen (lees: consumenten) zijn erg geschrokken van de WannaCry-aanval en willen weten hoe zij zich kunnen beschermen tegen dit soort malware. De meeste IT-afdelingen van bedrijven kennen het antwoord op die vraag al. En ze kennen het al vele jaren: patches uitvoeren. Het lijkt een simpel antwoord, maar er is een reden dat onder andere het Russische Ministerie van Binnenlandse Zaken, het Spaanse Telefonica, de Duitse Spoorwegen en de Britse NHS op vrijdag 12 mei bevattelijk waren voor malware die misbruik maakte van een beveiligingslek waarvoor op 14 maart (!) al een patch beschikbaar was gesteld. Waarom hadden zij de patch, die keurig het label ‘critical’ had meegekregen, nog steeds niet geïnstalleerd?

Discussie

Over het uitvoeren van patches in zakelijke netwerken bestaat veel discussie. Er lijkt een felle tegenstelling te zijn tussen de theorie en de praktijk. De theorie, die door software-ontwikkelaars en IT security-experts wordt gepredikt, gaat ervan uit dat software niet langer veilig is als er beveiligingslekken in gevonden zijn. Zodra er een patch is geïnstalleerd voor het gevonden beveiligingslek, is de software veiliger dan voorheen. Daarbij komt nog dat reverse-engineering ervoor zorgt dat systemen na het uitkomen van een patch exponentieel onveiliger worden dan voor de patch, totdat de patch is toegepast.

Malwareschrijvers zien het uitkomen van patches namelijk nooit over het hoofd. Zij analyseren uitgekomen patches direct, zodat ze kunnen begrijpen welk lek de patch beoogt te dichten. Op die wijze kunnen zij kennis nemen van het lek, waarvan zij eerder hoogstwaarschijnlijk nog geen weet hadden. In het geval van WannaCry werd de zwakke plek ook nog eens extra onder de aandacht gebracht, omdat deze deel uitmaakte van het dossier dat de hackgroep ShadowBrokers online zette. Dit dossier bestond uit beveiligingslekken die de NSA gevonden had en uitbuit om de pc’s van verdachten te kunnen hacken.

Misbruik

Na het bekend worden van een lek, vinden malwareschrijvers razendsnel manieren om misbruik te maken van het veiligheidslek. Dat werkt uitstekend voor cybercriminelen, omdat de praktijk niet zit te wachten op patches waarmee de beveiligingslekken gedicht worden.
De praktijk zijn namelijk de bedrijven die de software in gebruik hebben. Software is voor bedrijven een essentiële asset om productie te kunnen draaien. Het concept ‘never change a running system’ is nog altijd sterk in zwang. Patches hebben een slechte reputatie. Dat is omdat zij vaak een wezenlijke verandering aan de software toebrengen.

Ingrijpende gevolgen

De wijziging heeft nogal eens ingrijpende gevolgen voor de werking van de software. Er zijn in het verleden vaak genoeg patches geweest die hele systemen en netwerken hebben platgelegd. Veel talrijker zijn de voorbeelden van patches die op het eerste gezicht geen schade aan de software aan lijken te richten, maar die op de één of andere manier ingrijpen op het functioneren van andere software, die gekoppeld is aan een bepaalde functie of feature van de te patchen software. Hierdoor komen misschien geen hele netwerken plat te liggen, maar bepaalde afdelingen kunnen hun werkzaamheden niet meer uitoefenen. Voor een bedrijf is de procentueel kleine kans dat juist dit beveiligingslek zal leiden tot infectie van het netwerk minder erg dan de kans dat het bedrijf een dag stil komt te liggen.

Toch kan een patch niet tot het einde der tijden worden genegeerd. Met name kritieke patches zouden onmiddellijk een testfase in moeten gaan. Als na enkele weken testen geen problemen zijn geconstateerd en in het nieuws zijn geen berichten geweest over schade door de patch, is er voldoende bewijs voor de onschadelijkheid van de patch om hem op grote schaal uit te rollen.

En hier komt laksheid om de hoek kijken. Hoewel de redenen voor het niet direct uitvoeren van een patch valide zijn, is het twee maanden lang niets doen met een patch dat absoluut niet. Laten we hopen dat deze aanval met WannaCry alle it-afdelingen ter wereld voor eens en voor altijd met de neus op dat feit heeft gedrukt en meer bedrijven serieus werk gaan maken van een verantwoord Patch Management beleid.

Dirk Cools, Country Manager G DATA Benelux

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here