Het beveiligingsupdateproces patchen

Recent onderzoek toont aan dat de typische pc-gebruiker ongeveer elke vijf dagen een beveiligingsupdate moet installeren om veilig gebruik te kunnen maken van Microsoft Windows en alle programma's van derden die er normaal gesproken bovenop draaien. Als reactie hierop zegt een Deens computerbeveiligingsbedrijf dat het binnenkort een gratis nieuwe service zal introduceren die de installatie van beveiligingsupdates voor tientallen van de meest gebruikte softwareproducten stilletjes automatiseert.





Het vijfdaagse cijfer is afkomstig van informatie verzameld door Secunia, die zich verdiepte in statistieken van zo'n twee miljoen gebruikers van zijn gratis Persoonlijke Software Inspecteur (PSI) tool, een programma dat is ontworpen om gebruikers te waarschuwen voor verouderde en onveilige software die op hun machines draait. Secunia ontdekte dat de typische Microsoft Windows-gebruiker meer dan 66 programma's van meer dan 22 verschillende softwareleveranciers op zijn of haar computer heeft staan.

Hoewel de huidige versie van de PSI-software koppelingen bevat naar de nieuwste updates voor elke verouderde applicatie, vinden veel gebruikers het updateproces nog steeds te omslachtig, zegt Thomas Kristensen, Chief Security Officer van Secunia.

De meeste gebruikers willen niet lastig gevallen worden met al deze updates, zegt Kristensen. Zelfs als we ze de juiste downloadlinks voor de updates geven, zeggen veel gebruikers: 'Nee, ik wil niet op al deze dingen klikken.' We willen het aantal gebruikers dat stopt, verminderen het patchproces op dat moment.



Er zijn voldoende aanwijzingen dat de gemiddelde gebruiker niet de moeite neemt om beveiligingsupdates tijdig te installeren, tenzij het proces min of meer geautomatiseerd is. In een onderzoek dat afgelopen zomer werd vrijgegeven, hebben onderzoekers van Google Zwitserland en de Zwitsers Federaal Instituut voor Technologie ontdekte dat browsers die stille, automatische updates bevatten, zoals Mozilla's Firefox en Google's Chrome, veel beter en sneller werkten bij het succesvol afleveren van patches dan het handmatige installatiemechanisme dat werd gebruikt door de browsers van rivalen zoals Microsoft, Opera en Apple.

Wanneer hackers steeds vaker gaten in de softwarebeveiliging aanvallen voordat leveranciers patches kunnen verzenden om ze te dichten, is tijdige patching belangrijker dan ooit, zegt Wolfgang Kandek, chief technology officer bij Qualys , een computerbeveiligingsbedrijf gevestigd in Redwood Shores, CA, dat bedrijven helpt bij het beheren van de implementatie van patches. Kandek zegt dat Microsoft grote vooruitgang heeft geboekt met Windows XP Service Pack 2, waardoor gebruikers automatische updates voor het besturingssysteem moesten inschakelen. Maar hij voegt eraan toe dat te weinig grote externe softwaremakers vergelijkbare automatische update-mechanismen gebruiken.

Neem oudere versies van Adobe's software, die geen updatecomponent hebben, zegt Kandek. Gebruikers hiervan blijven gewoon bij de versie die ze gebruiken en werken nooit bij. Alan Paller, onderzoeksdirecteur voor het in Bethesda, MD gevestigde ZONDER Instituut , een opleidingsgroep voor computerbeveiliging, zegt dat Microsoft jaren geleden overwoog om zijn Windows Update-service aan externe softwareleveranciers te presenteren als een updatekanaal, maar uiteindelijk van het idee afzag vanwege juridische aansprakelijkheid.



Kristensen van Secunia zegt dat de tool van zijn bedrijf aansprakelijkheidsproblemen zal voorkomen door patches voor elke applicatie op precies dezelfde manier te downloaden als een gewone gebruiker. Toch, zegt hij, zullen niet alle softwareleveranciers het waarschijnlijk gemakkelijk maken.

De aansprakelijkheidsproblemen ontstaan ​​als we de patches zouden gaan aanpassen of ze in onze eigen repository met updates zouden plaatsen, zegt Kristensen. Eén ding dat we kunnen garanderen, is dat het niet voor 100 procent van de software zal werken. We zouden het geweldig vinden om dat te doen, maar dat zou 100 procent medewerking vereisen van veel leveranciers die hier geen goede geschiedenis van hebben.

Volgens Paller is de grootste uitdaging van Secunia aantrekkelijk voor gebruikers die niet genoeg weten over beveiliging om te weten dat ze updates van derden moeten implementeren. Daarom denk ik dat een dienst als deze - als het een behoorlijke impact wil hebben - moet worden aangeboden via de [internetserviceproviders], zegt hij. Mijn doel zou zijn om te zeggen dat als je een ISP gaat worden, je een service als deze moet bieden.



De patchtool van Secunia zal waarschijnlijk serieus getest moeten worden voordat deze op zo'n brede schaal kan worden ingezet. Secunia heeft de bedrijfsversie van PSI al aangepast om updates van derden te implementeren, maar hetzelfde doen voor consumentencomputers zou een veel grotere uitdaging zijn, vooral om de software te laten werken op alle verschillende implementaties van vreemde talen van deze producten van derden .

Het doel is om dit schaalbaar en legaal te maken, en om dat te doen, moeten we - in ieder geval eerst - prioriteit geven aan de producten die we patchen op basis van de producten die het meest worden geïnstalleerd, omdat we op geen enkele manier in staat zullen zijn om 13.000 aanvragen tegelijk, zegt Kristensen.

Secunia streeft ernaar om in april een preview-versie beschikbaar te hebben voor ervaren pc-gebruikers, en een bètaversie voor meer publieke consumptie een paar maanden daarna.



zich verstoppen