fredag den 6. marts 2009

Confickers hærgen kunne være reduceret

Et veldrevet IT-system ville have haft en god chance for at modstå Confickers hærgen, hvis sikkerhedspolitikker var håndhævet og fulgt op med administrative foranstaltninger, revision og udnyttelse af de tekniske muligheder. Det siger Microsofts Chief Security Advisor for EMEA, Roger Halbheer.

Microsoft sikkerhedsrådgiver for Europa, Mellemøsten og Afrika (EMEA), Roger Halbheer, tager på sin blog en pragmatisk holdning til Confickers hærgen. Han forsøger ikke at få nogen virksomheder, der blev ramt, i fedtefadet - men svinger alligevel pisken. For det er hans holdning, at Confickers hærgen kunne være reduceret - blot nogle enkle sikkerhedsforskrifter havde været overholdt.


Disse forskrifter uddyber han i seks punkter, som bør være indlysende, og angives som værende nogle af de egentlige årsager til Conficker-inficeringer rundt om i verden. Pointen er, at et veladministreret netværk oftest er billigere at drifte - og samtidig mere sikkert.

Han lægger hårdt ud med nedprioriteret patching, hvor ansvaret placeres hos ledelsen. Vælger man bevist ikke at patche - eller overlader det til administrators beslutning - så kalder han det direkte at udvise forsømmelighed.

For at imødekomme kritiske røster om overvejende sårbare Microsoft produkter, så henviser han til Microsofts Security Intelligence Report. Den angiver, at Microsoft er ansvarlig for tre procent af den samlede mængde sårbarheder. De resterende 97 procent skal også patches op.

Ikke-administrerede maskiner er også en faktor. Der er flere tilfælde, hvor virksomheden tror de er fuldt opdateret. Men ved en nærmere gennemgang af netværket findes der maskiner som ikke indgår i den automatiserede opdateringsprocedure. Dette er måske nok en overkommelig opgave at tjekke på et mindre netværk. Men er det flere hundrede/tusinde maskiner - så er det et projekt der skal have økonomisk opbakning.

Svage eller ikke-eksisterende passwords er snart så gennemtæsket et område, at det ikke burde være en faktor. Her burde tidligere ormes hærgen have lukket og slukket for yderligere diskussion om det problem. Men sådan forholder det sig ikke. Conficker havde eksempelvis indbygget en liste på knapt 250 alment brugte passwords, som den benyttede ved spredning til ADMIN$- eller IPC (interprocess communication) delingen.

Lokale administratorrettigheder er et lige så slidt debatområde. Her kan et større blame-game sættes i gang, da nogle applikationer ikke kan afvikles uden administrative rettigheder.
Virtualiseringsdelen i Windows Vista har haft positiv inflydelse på det problem - og det vil "Windows 7" også have - men den store mængde virksomheder der stadig benytter Windows XP vil fortsat slås med dette "problem". Ifølge BeyondTrust, kunne 92 procent af de kritiske Microsoft sårbarheder (i 2008) være reduceret ved, at brugeren ikke have administrative rettigheder. Det afledte min blog den 4. februar om emnet: Begrænsede brugerrettigheder afhjælper sårbarheder. User Account Control (UAC) er og bliver et fokusemne.

En virkelig overraskende information, fra Roger Halbheers indlæg, er brugen af gamle og udfasede Windows versioner. I den forbindelse har Microsoft opdaget, at ikke så få udgaver af Windows NT 4.0 stadig er i aktiv brug. Det er til trods for, at NT4 SP6a blev pensioneret den 31. december 2004. Årsagen var den gang en yderst kritisk sårbarhed (MS03-010), som kun kunne løses ved at ændre NT4 radikalt. Desværre bliver disse oldsager stadig koblet på netværket nogen steder, hvor de afvikler lige så gamle applikationer. Vel om mærke uden nogen form for beskyttelse eller afskærmning. Det er kritisk.
Jeg kender et par steder i DK, hvor man af forskellige årsager ikke kan opgradere de ældre maskiner. Man har så til gengæld taget alle andre nødvendige skridt for at afskærme disse dinosauer.


Antimalware beskyttelser er det sidste store punkt som Halbheer nævner. Drejningen er i den forbindelse manglende beskyttelse af kunderne, trods de er fuldt opdaterede med seneste signaturer. Alligevel blev de ramt. Og det til trods for, at de fleste antimalware produkter i dag har en eller anden form for proaktiv scanningsteknologi indbygget. Det seneste buzzword er Cloud Scanning. Men for at den skal virke optimalt, så skal de tidligere nævnte punkter også være på plads - arbejdsbetingelserne så at sige. Her må uafhængige test tale deres eget sprog.

Jeg har været med til at udføre en test på fem forskellige antimalware produkter. De fik alle de samme filer til scanning fra et live feed - og blev opdateret samtidig (hver time). På et tidspunkt kiggede en orm forbi dette setup. Kun ét af de fem produkter fandt noget mistænkeligt - og så blev den oven i købet kun angivet som suspicious. Vi ved efterfølgende, at det var en orm, da vi løbende kunne efterscanne. Og så snart producenterne fik signaturerne opdateret - så begyndte alarmer og navnene at dukke op.

Afsluttende giver Roger Halbheer endnu en bredside til de økonomisk ansvarlige i virksomheden. Det er deres job, baseret på Business Risk Management, at beslutte om man vil investere i det nødvendige for at sikre virksomhedens optimalt. Det er ikke den sikkerhedsansvarliges (CSO) opgave, efter Halbheers mening. Han/hun skal på fornemmeste vis sikre sig, at beslutningstagerne kender de risici der er forbundet med deres beslutninger.

Opdatering 6/3-09, kl 22.31: Running as Non-Admin in Windows XP