De wereld is geen western, met witte en zwarte cowboyhoeden en onschuldige omstanders. Dit is de discussie-stelling die Computable-lezers vandaag krijgen voorgelegd.
Het wijzen met beschuldigende vingers over ransomwareworm WannaCry houdt veel mensen bezig. It’ers, security-experts, maar ook algemene managers en andere buitenstaanders dragen hun steentje bij aan het benoemen van schuldigen. Die worden namelijk niet alleen gezocht bij de makers van de eigenlijke worm die voor internationale datagijzeling heeft gezorgd, met minimale impact in Nederland.
De ene expert stelt dat de Amerikaanse inlichtingendienst NSA eigenlijk 0-days moet melden - al dan niet na verloop van tijd - aan getroffen ict-leveranciers. De andere deskundige beschuldigt Microsoft van zelfverrijking omdat het buggy software maakt en die niet tot in lengte van dagen gratis beschermt. Weer een ander kijkt beschuldigend de getroffen bedrijven, ziekenhuizen en overheidsinstanties aan die een patch uit maart niet hadden geïnstalleerd. Maar patchen is niet zo simpel, zeker niet met non-ict-apparatuur in beeld. Om een uitvlucht van president Trump aan te halen: niemand wist dat dit zo gecompliceerd was. Wat vind jij?
Reacties
We kiezen nog steeds voor symptoombestrijding. Dat is altijd complexer dan het oplossen van het werkelijke probleem. Hoe langer we wachten hoe meer kans op (grote) ongelukken.
Een eerste "eenvoudige" oplossing zou kunnen zijn een "slot op de communicatie"; alleen nog door de gebruiker gecontroleerd ontvangen, maar ook zenden! Weliswaar belemmert dat alle automatische updates etc., verkocht als gemak dient de mens, maar het voorkomt ook de ongewenste updates...tenminste, wanneer je zeker weet dat de toegestane objecten, de gewenste toegang, betrouwbaar is...maar dat is weer een ander verhaal...
Patchen is niet gecompliceerd, maar IT beheer is iets anders dan alleen maar de laatste versies van alles downloaden als je systeem daar om vraagt.
Beheerders met kennis van zaken, overzicht over wat geïnstalleerd is en hoe de samenhang tussen de diverse componenten werkt worden echter steeds schaarser.
IT beheer is een ander vak dan je persoonlijke Android smartphone beheren
Pa Va Ke
Onzin omdat je niet zomaar even legacy in het I/O pad uitfaseert, de kwetsbaarheden met de oude versies van SMB (inclusief SAMBA) waren bekend alleen werden deze geaccepteerd omdat anders business functionaliteiten zoals bijvoorbeeld printen niet meer werkte.
Jasper had dus beter een oude opinie van mij aan kunnen halen als het om herhalen van 20 jaar oude kunstjes gaat. Het feit dat nog een groot deel van de business applicaties zijn ontwikkeld op oude bugs van Windows bemoeilijkt het aanbrengen van patches. Het lifecycle probleem in de keten is vooral complex omdat er vrijwel nooit sprake is van een homogene omgeving.
Wat Dick van Elk voorstelt is wat ik schreef in een eerdere opinie, het idee van een beter gecontroleerde netwerk toegang lager in de protocol stack door oude applicaties in de 'quaratine' van een logische netwerk segmentatie te zetten. En hieraan kun je een 'wachtkamer' toevoegen die ervoor zorgt dat alleen end-points met de laatste patches de toegang tot de schatkamer verkrijgen.
@Ewout: mijn reactie ging meer over de algemene stelling, en minder over de details van WannaCry specifiek.
Maar de eerste alinea van je reactie sluit aan op wat ik bedoel: deze diepgang van de materie heeft een deel van de hedendaagse beheerders niet.
En waarom zouden ze, alles draait toch als een service in de cloud ...
@Ewout
Een betere oplossing is de beveiliging in te brengen in het OSI model door tussen laag 1 en 2 een hardware beveiliging aan te brengen waardoor de zender bekend wordt (physical layer authentificatie). Daarnaast in layer 6/7 de mogelijkheid om gebruik te maken van deze hardware beveiliging.
Hiermee krijgt de ontvanger de mogelijkheid om ALLE anonieme communicatie uit te schakelen. Je hoeft deze functie niet gebruiken als zender. Daarmee weet de ontvanger echter dat de zender anoniem wil blijven. Deze instelling zou default zou moeten worden. Gebruikers die toch alles willen blijven ontvangen kunnen deze beveiliging uitschakelen...
Internet wordt daarmee wel "saaier". Dat is echter precies wat de meeste gebruikers willen: een betrouwbaar, veilig en snel internet...