XP-machines zonder SP3 lopen groot risico
Bedrijven die tot nu toe hebben verzuimd om Service Pack 3 (SP3) op hun XP-machines te installeren, lopen een behoorlijk risico. Dat zeggen de experts van Computable op het gebied van besturingssystemen. Dat Microsoft op 19 juli 2010 is gestopt met het geven van ondersteuning voor XP-machines met SP2, is volgens de experts volstrekt terecht.
'Ik heb het helaas al een aantal maal mogen meemaken dat een bedrijf behoorlijk geraakt wordt door een 'antiek' virus dat gebruik maakt van een inmiddels allang achterhaald lek en er op die manier achter moet komen dat degelijk patchmanagement geen overbodige luxe is', vertelt technisch-architect Jurre Heesbeen van Brainforce. 'Als een systeem al een tijdje meegaat, hebben de virusmakers alle tijd gehad om zich op de bekende (en onbekende) lekken uit te leven, dus het aanbod in allerhande malware is omvangrijk.'
Volgens systeembeheerder Jeroen Bakker van Ormer ICT kunnen recente bedreigingen echter ook een probleem opleveren. 'Voor het snelkoppelingenlek heeft Microsoft inmiddels een fix uitgebracht, maar vermeldt geen ondersteuning voor SP2.'
Afblijven
Maar er zijn ook tegengeluiden. Zo denkt infrastructuur-architect René Scholten van Capgemini dat de risico's wel loslopen: 'Voor een deel hangt het af van de functie van de machine. Is het een machine die rechtstreeks verbonden is met de boze buitenwereld, dan is het gevaar op aanvallen groter dan wanneer het een afgeschermde omgeving betreft. Daarnaast zullen inmiddels de bugs wel zo'n beetje uit deze systemen zijn verdwenen, gezien de lange tijd waarin ze operationeel zijn. Als applicaties al jaren lang goed draaien, is de waarschijnlijkheid dat ze nog een lange tijd kunnen blijven draaien vrij groot. Er komen immers ook geen patches meer uit, dus vooral overal afblijven zou ik zeggen. Daarnaast zullen de pijlen van de virusbouwers zich inmiddels voor een heel groot deel richten op de recentere besturingssystemen van Microsoft. Wellicht is het risico dat de hardware zo langzamerhand begint in te storten groter.'Reëel zijn
Experts zijn unaniem als het gaat om de schuldvraag: Microsoft treft geen blaam. 'Natuurlijk is het terecht dat de ondersteuning op een gegeven moment ophoudt', zegt Heesbeen. 'Elk softwareproduct heeft een eigen levenscyclus en zal eens ophouden te bestaan. Als de gebruikersgroep op een gegeven moment te klein wordt, dan is het niet meer dan logisch dat je als leverancier de stekker eruit trekt. Het is dan simpelweg niet meer rendabel.'
Bakker: 'Windows XP is al heel lang aanwezig. Zelfs SP3 is al geruime tijd beschikbaar. Bedrijven maken zelf de keuze niet te updaten en hun software leveranciers niet onder druk te zetten om hun software voor SP3 beschikbaar te maken. Microsofts focus ligt op het minimaliseren van deze bedreigingen, maar wees reëel, dit kan alleen als klanten ook wat werk verrichten.'
Van elke zes Nederlandse computers met het besturingssysteem Windows XP heeft er één Service Pack 3 (SP3) nog niet geïnstalleerd. Dat zijn ongeveer één miljoen pc's. Softwareleverancier Microsoft ondersteunt vanaf 19 juli 2010 Service Pack 2 niet meer. Dat betekent dat gebruikers geen beveiligingsupdates meer ontvangen en meer risico lopen op virussen, spyware en andere schadelijke software. Microsoft raadt aan om Windows XP Service Pack 3 te installeren, over te stappen op Windows 7 of een customer support contract af te sluiten. 'Niets doen raden wij als Microsoft ten zeerste af', zegt productmanager Olivier van Noort. 'Wie door blijft werken met pc's met Windows XP Service Pack 2 zal het beveiligingsrisico dan voor lief moeten nemen.'
janj, 29-07-2010 10:51
Wat als er iemand met een besmette laptop komt en deze in je interne netwerk plugt? Dan ben je mooi de klos, en als er iemand een usb drive/ camera/ mobiele telefoon meeneemt waar iets gevaarlijks op staat en deze in 1 van die machines drukt?
ORM, 29-07-2010 11:06
Ik ken ook bedrijven (banken) waarbij je meegebrachte laptops af moet geven bij de recpetie/bewaking. Het bedrijf waar ik voor werk wil zijn beveiliging tegen het gebruik van USB opslag apparatuur ook strenger maken door simpelweg USB poorten te disablen.
Nee, eigen meegebrachte apparatuur hoort niet op het bedrijfsnetwerk thuis. Mocht je mensen inhuren die zelf een laptop meebrengen zullen zij ook eerst moeten voldoen aan de in huis geldenede security regels voordat een dergelijke laptop aangesloten mag worden op het netwerk.
Janj, 29-07-2010 12:08
Mijn punt is dat je altijd moet zorgen dat je de boel zoveel als mogelijk up 2 date en afgeschermt moet hebben 'voor het geval dat'
En als dan een ICTér hierboven beweert dat je prima veilig op pc's met verouderde Operating systems kan werken, dan ben ik blij dat ik deze ICTér niet in dienst heb.
ORM, 29-07-2010 12:18
ICT-er, 29-07-2010 14:30
Ik ben ook voor zo veel mogelijk patchen (alleen volgens goed changemanagement), maar het grootste lek is de gebruiker en de domme of luie beheerder die de automatische update aanzet en het verder wel geloofd. Dat soort beheerders weer ik altijd uit mijn beheerteam.
Heb bij klanten / opdrachtgevers met de nieuwste software en automatische updates al heel wat malware gezien en verwijderd. De reden is dat ze van alles uitproberen (op zich heel goed) maar onvoldoende rekening houden met de gevaren. Dat de financials zo weinig problemen net malware hebben zit niet in hun automatisch patchbeleid, maar omdat ze slimme en hardwerkende beheerders hebben.
Die ICT-er hierboven beweert dat je prima veilig op pc's met verouderde Operating systems kan werken omdat hij er meer verstand van heeft dan de gemiddelde gebruiker of beheerder.
Mijn eigen PC's en servers zijn al meer dan 20 jaar malwarevrij (m.u.v. speciale test-PC’s waar antimalwaresoftware op getest worden). De laptops van de zaak zijn ook altijd malwarevrij geweest. Heb thuis maar een keer een besmetting gehad, dat was een boot sector virus op mijn DOS PC; toen bestond McAfee nog niet. Ik ben getraind door McAfee en verzamelde toen virussen om virusscanners te testen omdat er nog geen bureaus waren die de virusscantesten publiceerden. Dat was nog in de tijd dat meestal diskettes werden gebruikt om gegevens uit te wisselen. Ik was ook één van de eersten in Nederland die virusscanners op de servers ging zetten. Ik scan officiële software voordat ik deze op de zaak installeer en heb altijd meerdere scanners in huis. Maar het belangrijkste is dat ik altijd veilig werken propageer en desnoods ruzie riskeer met domme of luie managers die veilig werken maar zo’n gedoe vinden.
Janj, heb jij ook zo’n trackrecord of zit je broek gewoon te ruim?
ICT-er, 01-08-2010 17:28
Drie van de beveiligingslekken die Microsoft afgelopen maand patchte, blijken al meer dan 1,5 jaar bekend te zijn; twee ervan waren zelfs al 29 maanden geleden aangemeld bij Microsoft.
Dat is overigens niet het record voor een lek bij Microsoft; dat was meer dan 10 jaar! Microsoft wil geen verplichting aangaan om een lek binnen twee maanden te dichten.
Microsoft patcht lekken vaak in het geheim en voegt de patch toe aan een reeds bekende patch omdat ze niet willen bekend maken dat er nog een lek was en hoelang het lek al bekend was. Bij bedrijven zoals Adobe, Novell en Oracle, gaat het niet veel anders.
Je vooral op het patchen richten is onprofessioneel en je gebruikers met minder kennis voor de gek houden.
Een professional richt zich op het totaal van bewustwording, organisatie, procedures, fysiek belemmeringen en ondersteunende gebruiksvriendelijke technieken, en doet dat in het kader van het algemene beveiligingsbeleid van het bedrijf.
ICT-er, 10-08-2010 18:06
Een registry-hack om Grand Theft Aauto IV op Windows XP systemen met Service Pack 2 te spelen, maakt het ook mogelijk om de Windows LNK-lek spoedpatch (KB2286198) kunnen installeren.
Een machine met SP2 lijkt de update te accepteren als je een registry-waarde verandert bij de Key “HKLM\System\CurrentControlSet\Control\Windows”. Verander de Dword waarde CSDVersion van “200” in “300 en reboot daarna.
Zie ook http://www.f-secure.com/weblog/archives/00002005.html.
Ik heb het zelf nog niet uitgeprobeerd omdat ik eerst een XP machine zonder servicepack 3 moet klaarmaken. Het is ook de vraag of andere patches van Microsoft niet eerst controleren wat die ene Dword waarde is.
10-02 Infor helpt Ferrari met bouwen F1-auto's
10-02 Tester Four Oaks in Israëlische handen
10-02 IS Online en Tres zijn klaar voor Elfstedentocht
10-02 SecureLink migreert Microsoft-diensten Atradius
10-02 Nieuwe software brengt Vitens in problemen
10-02 Ex-Misys-topman moet CSC uit penarie helpen
10-02 Veenman en 20/20 vision adviseren samen klant
10-02 Cisco maakt 2,2 miljard dollar kwartaalwinst
10-02 Misys en Temenos willen fuseren
10-02 Raet stelt Schrijnemaekers als nieuwe CFO aan
10-02 SecureLink migreert Microsoft-diensten Atradius
09-02 Vodafone: Wij spelen klantinformatie niet door
09-02 Lang leve de hackers!
09-02 'Ook met cookiewet is gebruiker niet anoniem'
09-02 'KPN koppelt ID aan internetverkeer'
08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'
07-02 Eigen werknemer kan ook een vijand zijn
03-02 'Overheid vreest voor veiligheid in de cloud'
01-02 F5 beschermt openbare websites
31-01 Publieksvoorlichting is belangrijke taak voor NCSC
|
|
02-08-10 Microsoft dicht icoon-lek tussentijds
27-07-10 Legacysoftware verhindert upgrade naar SP3
21-07-10 Een op de zes XP-computers draait zonder SP3
Best Practices om laptop-data te beschermen
In een tijd waarin steeds meer werknemers mobiel hun werk doen en de hoeveelheid data exponentieel toeneemt, is......
| Aantal reacties met 3+ sterren | Gemiddelde waardering | |||
 | 1 | 153 | 6.4 | |
 | 2 | 119 | 6.6 | |
 | 3 | 109 | 6.4 | |
 | 4 | 79 | 6.6 | |
| 5 | 53 | 6.1 | |
| 6 | 49 | 6.3 | |
 | 7 | 47 | 6.5 | |
| 8 | 43 | 6.1 | |
| 9 | 43 | 6.0 | |
| 10 | 40 | 6.3 | |
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl | Intermediair | IntermediairPW | Carrièregids.nl | CompanyRating | NationaleStagebank.nl | Banen.nl | HRbase.nl | HRdirectory.nl | Financebase.nl | InIct.nl | InInterim.nl | InOverheid.nl | Overheidscircuit.nl | Computable | CRN | IT Knowledge Base | Tweakers.net | Recruitmentbloggers
Sitemap | Abonneren | Adverteren | Algemene voorwaarden | Disclaimer | Privacy | Alle rechten voorbehouden © 1995-2012 VNU Media
Werk zelf thuis soms met oude PC's met OS-en die niet meer ondersteund worden. Dat gaat op zich prima. Met Win 95 het Internet op? Zelfs dat kan nog steeds veilig als je weet wat je doet en zonodig malware scanners gebruikt.
Maar zoiets is uiteindelijk toch te duur voor een bedrijf omdat het de mogelijkheden van een bedrijf beperkt. Is het machinepark te oud, vervang deze dan ook. Goedkoop wordt anders duurkoop.
Als servicepack 2 er al op zit, dan zou ik toch bekijken of nummer 3 toegevoegd kan worden vanwege een iets betere perfomance. Uiteraard moet je dan wel uittesten wat die change betekent.
Overigens, het patchen beveiligt een PC maar een beetje. Malware, ook 'antieke' virussen moeten vooral bestreden worden door veilig gedrag ondersteund door anti-malware-scanners. Veel malware maakt niet eens gebruik van lekken, maar misbruikt simpelweg de mogelijkheden van het besturingssysteem en de applicaties.