Reparaties Windows veroorzaken wormen

Herbert Blankesteijn

Een omstreden vraagstuk in de computerbeveiliging gaat over het publiceren van lekken in bijvoorbeeld Windows. Moet je een lek bekendmaken voordat er een reparatie beschikbaar is, of pas daarna? Sommige experts vinden: daarvoor, omdat een lek dat bekend is onder specialisten, ook bekend kan zijn onder hackers. Als gebruikers dan toch kwetsbaar zijn, kunnen ze het maar beter weten ook. Microsoft is daartegen, omdat je de kat op het spek bindt als je lekken publiceert die nog niet zijn hersteld.

In de huidige praktijk wordt meestal de voorkeur van Microsoft gevolgd: eerst repareren, dan publiceren. Maar volgens Steven Hofmeyr, oprichter van het bedrijfje Sana Security in San Mateo, Californië, kunnen hackers juist dankzij de reparatie gaten vinden in de verdediging van netwerken en computers.

Op internet circuleren programma's die computerbestanden van vóór een patch vergelijken met die erna. Zo kunnen hackers bepalen waar het lek zat. Veel gebruikers laten na een patch te installeren, dus wie het lek kent kan op internet ongerepareerde pc's gaan zoeken.. Zo maakt de reparatie het mogelijk dat computers worden gekraakt.

Niet alleen onverschillige eigenaars lopen hierdoor risico. Zorgvuldige systeembeheerders hebben tijd nodig om hun hele netwerk te patchen, omdat ze eerst moeten testen om zeker te zijn dat de patch geen problemen introducéért.

Steven Hofmeyr van Sana Security zegt op de site bizjournals.com dat het beschikbaarstellen van een patch binnen enkele uren leidt tot activiteit op internet. Net of er een startschot wordt gelost. Moet je de reparaties dan maar niet beschikbaar stellen? Dat is op dit moment niet de consensus. Gaten in de beveiliging worden vroeg of laat gevonden. Dus moet je ze stoppen, zo snel mogelijk.

--

Maar daarbij kan het niet blijven. Een interessante nieuwe techniek is Active Countermeasures, actieve tegenmaatregelen, een uitvinding van Hewlett Packard waar ZdNet over schrijft. Dit systeem is bij HP zelf in gebrui. Het zoekt naar computers op het HP-netwerk die niet tegen een bepaald lek zijn beveiligd. Wordt zo'n computer gevonden, dan installeert Active Countermeasures op die pc via het lek zelf een soort worm, die de eigenaar waarschuwt en de internettoegang kan beperken. Computers van medewerkers buiten de deur mogen alleen inloggen op het netwerk als ze helemaal up to date zijn.

--

De techniek van de computerbeveiliging heeft nog een lang weg te gaan - maar hoeveel geld moet je eigenlijk uittrekken voor de wapenwedloop met hackers? Een medewerker van antivirusbedrijf Panda heeft een artikel gepubliceerd waarin hij uitlegt dat je niet meer geld moet besteden dan de te beschermen informatie waard is. Aan de andere kant moet je ervoor zorgen dat de aanvaller meer geld moet besteden dan de informatie hem waard is. Dat laatste is een verontrustende gedachte. In de eerste plaats kan met gehackte pc's veel geld worden verdiend door ze spam te laten verzenden. Ten tweede is de tijd van hackers veel goedkoper dan die van beveiligingsexperts. Zo goedkoop dat sommige het helemaal niet voor het geld doen maar voor de lol van het vandalisme.

Zo beschouwd is volgens de Panda-norm iedere beveiliging zinloos. De IT-rubriek heet daarom een nieuwe, pragmatische Blankesteijn-norm, ontleend aan de praktijk van de fietsbeveiliging. Beveilig je computerpark zodanig dat andere computers makkelijker te hacken zijn. Dan pakken ze die.


Het materiaal dat hier verkrijgbaar is mag worden gedownload, gelezen en zelfs gekopieerd, maar alleen voor eigen gebruik. Vermenigvuldigen met winstoogmerk is niet toegestaan. Alles is copyright Herbert Blankesteijn, tenzij anders vermeld.