Windows 10 nog lang niet veilig genoeg

  1. 22 sep 2015
  2. 0 reacties

en-INTL-PDP0-Windows-10-Pro-FQC-09131-P1

Afgelopen zomer heeft Microsoft Windows 10 gelanceerd. Een nieuw besturingssysteem met daarin nieuwe slimme methoden die het cybercriminelen lastiger moeten maken om op de systemen in te breken en gebruikers gemakkelijker om ongestoord hun werk te doen. En hoewel er op vele fronten verbeteringen te zien zijn qua veiligheid, is het besturingssysteem nog lang niet waterdicht. Gebruikers zullen voorlopig nog niet zonder beveiligingssoftware kunnen werken.

De security-problemen rond Windows 10 spitsen zich toe op minimaal drie hoofdgebieden.

  1. Detectie verlopen licentie beveiligingssoftware 

Windows 10 detecteert antivirussoftware die (door een verlopen licentie) geen updates meer ontvangt en schakelt na enkele waarschuwingen op eigen initiatief Windows Defender in. Hoewel het duidelijk is dat een pc die beschermd wordt door Windows Defender er beter aan toe is dan een pc zonder enige beveiligingssoftware, benadrukt Microsoft zelf ook dat Windows Defender niet meer is dan een basisbeveiliging. Gaan gebruikers zich echter door de aanwezigheid van Windows Defender veilig wanen, dat bereikt Microsoft met deze maatregelen het tegenovergestelde wat wat deze beoogt.

  1. Gefaseerde patchdistributie

Thuisgebruikers ontvangen nieuwe patches direct en fungeren daarmee min of meer als testpanel. Wellicht draagt dit bij aan een grotere acceptatie door zakelijke gebruikers van de patches. De gedachte hierachter is eigenlijk heel goed. In de praktijk blijkt dat zakelijke systemen over het algemeen genomen veel trager worden bijgewerkt dan de systemen van consumenten. Patches hebben een slechte reputatie onder systeembeheerders, aangezien deze vaak veranderingen aanbrengen in de software, die nogal eens ingrijpende gevolgen voor de werking daarvan kan hebben.

Voor veel bedrijven is de kleine kans dat juist dit beveiligingslek zal leiden tot infectie van het netwerk minder erg dan de kans dat het bedrijf een dag stil komt te liggen. Het idee van het nieuwe patch-beleid van Microsoft is als volgt: als miljoenen consumenten een bepaalde patch hebben geïnstalleerd, kan een redelijk accurate voorspelling worden gedaan over de effecten van een patch in zakelijke omgevingen. Als er geen serieuze klachten binnenkomen, dan weten zakelijke gebruikers dat zij de patch probleemloos kunnen uitrollen.

Er kleven echter twee grote bezwaren aan dit plan.

Langer kwetsbaar

Ten eerste wordt de periode waarin bedrijfsnetwerken exponentieel kwetsbaarder zijn aanzienlijk verlengd, doordat malware-schrijvers nu nog vóór de beschikbaarheid van de patch voor de zakelijke netwerken met behulp van de (consumenten)patch kunnen nagaan welk beveiligingslek het dient te dichten. Bedrijven die wel altijd goed hebben gepatcht, worden nu dus opeens benadeeld. Het is voor security-bewuste bedrijven weliswaar mogelijk om in te stellen dat patches wel snel worden aangeboden, maar dat is niet de standaardinstelling en daarmee een extra uitdaging voor veel ondernemers die niet erg technisch onderlegd zijn.

Geen aansporing tot patchen

Ten tweede zal het bedrijven niet aansporen om de patches nu wél uit te voeren. Dat patches niet binnen een of twee maanden worden uitgerold, kan worden toegeschreven aan angst voor problemen met de patch. Maar dat een patch een jaar lang niet wordt uitgerold, wat eerder regel lijkt dat uitzondering, ligt aan iets anders. Het is namelijk goed mogelijk om een patch binnen een maand (of twee) te testen en zo technische problemen uit te sluiten. Bovendien zou er na twee maanden, als er problemen waren met de patch, inmiddels duidelijkheid over zijn geweest. Andere bedrijven die de patch ondertussen wel hadden uitgerold, zouden dan klachten hebben gehad. Er zijn systeembeheerders die ervan uitgaan dat geen enkele andere infrastructuur te vergelijken is met die van de eigen organisatie en daarom nooit een testfase bij een ander bedrijf zullen vertrouwen. Het uitblijven van problemen met een patch op consumentencomputers zal voor dit soort systeembeheerders al zeker geen overtuigend bewijs zijn voor de kwaliteit van de patch in een zakelijke omgeving. De nieuwe tactiek van Microsoft zal dus, naar mijn mening, geen positief effect hebben en alleen nadelen met zich meebrengen.

  1. Apps in plaats van programma’s 

Apps kunnen op verschillende apparaten (pc, tablet, smartphone, Xbox) werken en zijn redelijk autonoom en daarmee veiliger dan traditionele programma’s. Naar het voorbeeld van Android werkt Microsoft nu ook veelvuldig met apps. Het voordeel is dat het via apps lastiger is om een systeem aan te vallen, omdat apps niet of nauwelijks met elkaar kunnen communiceren, doordat zij in aparte sandboxes draaien. Bij Android is echter al gebleken dat 'lastiger' niet hetzelfde is als 'onmogelijk'. Het is maar net hoe graag een malware-schrijver er een oplossing voor wil hebben. Het feit dat Windows al sinds jaar en dag het meest aangevallen systeem is, heeft te maken met de enorme aandeel van het systeem in de markt. Wie een uur investeert in het schrijven van malware voor Windows, kan na die zestig minuten maar liefst 90.82 procent van alle pc’s wereldwijd infecteren, omdat die allemaal op Windows draaien. Als datzelfde uur geïnvesteerd wordt in het schrijven van malware voor Linux, dan bestaat na dat uur de mogelijkheid om 1,57 procent van alle pc’s te besmetten. Een minder productief uurtje werk, dus.

Met het samentrekken van de besturingssystemen van pc’s, mobiele apparaten en Xbox wordt dit effect alleen maar vergroot. Het resultaat is dat Windows Phone, tot nu toe behoorlijk onaantrekkelijk voor malware-schrijvers en dus zeer veilig voor de gebruikers, opeens een even groot of zelfs groter doelwit wordt dan Windows-pc’s voor de komst van Windows 10.

Bovendien hebben ontwikkelaars van apps mede door deze plotselinge groei van hun markt momenteel veel haast om hun apps te ontwikkelen, waarbij security gemakkelijk uit het oog wordt verloren. We zien ook dat de app store van Windows de drukte niet goed aan kan. De controle op apps is op z'n zachtst gezegd zwak. Zelfs als die na verloop van tijd verbetert, dan nog is het het grote probleem dat apps ook buiten de officiële store worden aangeboden en gedownload. Daar heeft men al helemaal geen controle over de veiligheid van de apps. Wie dan bedenkt dat één gevaarlijk app zonder problemen via bijvoorbeeld de smartphone ook de pc en de Xbox kan infecteren,  weet  dat het snel kan gaan met de verspreiding van malware.

Eddy Willems, security-specialist van G DATA