Patchwork: kunstwerk of lappendeken?

17 december 2015
In dit artikel:

Wanneer je IT-managers of systeembeheerders vraagt of zij de laatste updates hebben geïnstalleerd binnen hun IT- infrastructuur – heel legitiem in deze tijd van continue aanvallen en datalekken – is mijn ervaring dat ze deze vraag vaak met een glazige blik beantwoorden. ‘Als het werkt, moet je er niet aan zitten’, hoor ik dan. Of: ‘Wij wachten eerst af of Microsoft geen blunders heeft begaan in de uitgebrachte updates’. Op zich zijn dit valide argumenten. Maar er zijn wel consequenties voor de langere termijn. Daarom is het nuttig om te zoeken naar de oorzaak van deze vaak afwachtende houding bij IT.

Software is niet eeuwig houdbaar in termen van beveiliging. Je kunt niet zeggen: en nú is het voor altijd veilig. Sterker nog, als we lering trekken uit het verleden wordt juist alleen maar duidelijker dat software een zeer beperkte ‘houdbaarheidsdatum’ heeft als het om security gaat. En vooral als er regelmatig updates voor nieuwe functionaliteiten uitkomen. Het is dus nooit een product dat echt ‘af’ is; er is voortdurend onderhoud nodig. Helaas komt het nogal eens voor dat dit onderhoud, bedoeld om ontdekte kwetsbaarheden te dichten, de werking van de software negatief beïnvloedt. En dat zorgt voor frustraties bij de eindgebruiker, waarna een belletje naar de IT-afdeling snel gepleegd is. Vandaar de soms afwachtende houding tegenover patchen vanuit IT, en wie kan het ze kwalijk nemen? Wij, eindgebruikers, oefenen hierdoor ongemerkt een sterke invloed uit op het patchbeleid van IT.

Dat patchen belangrijk is, hoef ik hier niet uit te leggen. Maar een goed patchbeleid is lastig, vooral als je te maken hebt met een complexe en gevarieerde IT-architectuur. Ook zijn er enkele paradoxen. Zo kun je door snel patches te installeren aanvalsvectoren pareren, maar het hierboven genoemde bijeffect kan zijn dat niet-ontdekte fouten in de patch de werking van IT-systemen negatief beïnvloeden. Daarnaast is heterogeniteit van een IT-omgeving, de diversiteit in de IT-infrastructuur qua merk/soort, vanuit security-oogpunt goed. Als je bijvoorbeeld maar één type Cisco-routers met een veiligheidslek hebt, ben je veel kwetsbaarder dan met een diversiteit aan merken routers in je netwerk die daar niet door geraakt worden. Daar staat tegenover dat het veel minder werk is om patches van één leverancier bij te houden en te beoordelen, dan wanneer dit bij vijftien verschillende leveranciers moet gebeuren.

Patchen wordt niet alleen lastig gemaakt door ‘zeurende’ eindgebruikers of een diversiteit aan leveranciers. Ook het aantal soorten appliances dat aan een netwerk hangt, kent een steeds grotere diversiteit. Het gaat niet meer alleen om servers, routers, switches en werkstations. Smartphones en tablets zijn al gemeengoed geworden, maar ook koffieautomaten, koelkasten en andere apparaten zijn tegenwoordig online zodat, bijvoorbeeld, leveranciers onderhoud op afstand kunnen doen. Ook hier kunnen kwetsbaarheden voorkomen die, als deze apparaten ook aan het interne netwerk hangen, wellicht leiden tot een security breach.

Voor leveranciers is het niet makkelijk om in deze trend van ‘Internet connected everything’ patches door te voeren of uit te geven. Een recent voorbeeld is een kwetsbaarheid in auto’s van het type Jeep Cherokee van Chrysler, waarbij op afstand via het telecom-netwerk verbinding kon worden gemaakt met het entertainment system van de auto. Gevolg van de geconstateerde kwetsbaarheid was dat, indirect via het entertainment system, vitale deelsystemen van de auto volledig overgenomen konden worden door een hacker kilometers verderop. Gebruikmakend van dit lek hebben onderzoekers een journalist in een auto op de snelweg aan den lijve laten ervaren dat zij op grote afstand onder andere de transmissie en remfunctie van de auto ingrijpend konden beïnvloeden. De journalist voelde zich hulpeloos en beleefde angstige momenten.

Als je als leverancier dit lek kent, hoe patch je dan de reeds verkochte auto’s? Chrysler stuurde eerst de 1,4 miljoen eigenaren die het betrof een usb-stick met de software patch. Maar dit waren eindgebruikers, en erg veel verstand van en interesse in patchmanagement mag je daar niet verwachten. De leverancier zag zich daarom uiteindelijk genoodzaakt tot een recall-actie van alle 1,4 miljoen auto’s om de patch via de dealer te laten installeren. Ook dan is het nog maar de vraag hoeveel mensen op een dergelijke oproep reageren. En is het niet vreemd dat een kwaadwillende  via internet deze auto’s blijkt te kunnen binnendringen, maar dat de leverancier zelf geen mogelijkheden ziet om via dezelfde weg een patch automatisch te laten installeren?

Het automatisch installeren van patches komt overigens wel voor in de softwarewereld. Dit voorjaar heeft Apple eigenmachtig een security patch doorgedrukt op bepaalde versies van haar desktop systeem (Mac OS X),
zonder tussenkomst van eindgebruikers. Als je een Mac aan internet hing werd de update simpelweg geïnstalleerd, zonder dat je als gebruiker de mogelijkheid had om dit tegen te houden. Apple gaf er in dit geval blijkbaar de voorkeur aan om imagoschade door mogelijke negatieve gevolgen van de kwetsbaarheid te voorkomen. Het bedrijf nam daarbij op de koop toe dat het ongewild patchen van miljoenen eindgebruikers die daar niets tegen konden uitrichten, kon leiden tot negatieve publiciteit.

Is dit het begin van een trend en is dat dan wellicht ook de toekomst voor patchmanagement in het bedrijfsleven?

Achmed Bouazza

Achmed Bouazza houdt zich onder meer bezig met assurance­vraagstukken ten aanzien van uitbestede diensten (ISAE 3402), IT-security audits en privacy audits.