Sikkerhetsekspert: Umulig å følge opp alle "patch'ene"

Overskrifter fra digitoday.no bare fra inneværende måned taler sitt tydelige språk: Ny lus krever at du oppgraderer Internet Explorer 5; Intet problem å kapre en nettbank; Nettbanker trege med å tette hull. Oppgraderingsvarsler gjelder alt fra det innerste på serveren - BIND - til den mest brukte nettleseren av alle. Men slett ikke alle følger opp alle anvisningene. Mange fortsetter å bruke programvare med påviste og allment kjente sikkerhetshull, og lar være å installere anbefalte tetningsmidler.

Det er kjent at det finnes en rekke nettsteder der spesielt interesserte finner alle slags opplysninger om kjente sårbarheter i utbredt programvare, og at snokverktøy gjerne oppgraderes løpende for å gjøre det stadig enklere selv for ikke spesielt fagkyndige å utnytte dem.

Det kan følgelig karakteriseres som risikoatferd å bruke programvare med påvist og utbasunert sårbarhet, uten å oppgradere den med anbefalte "patch-er", altså kodesnutter som spres gratis og som reduserer sårbarheten fra det kjente til det ukjente.

Fenomenet med slik risikoatferd er ikke begrenset til Norge. Det er et internasjonalt mønster. I en kommentar i sitt månedlige sikkerhetsbrev, peker sikkerhetsekspert og kryptograf Bruce Schneier på at Microsoft-hackerne i fjor høst hadde blitt automatisk avvist, dersom Microsoft hadde installert alle tilgjengelige patch-er.

Å la være å gjøre enkle inngrep som ville spart en for masse trøbbel og økonomisk tap, virker unektelig ganske dumt. Man himler med øynene, oppgitt over disse tafatte driftsansvarlige som ikke gjør jobben sin og sørger for at nettverkene tar sin forebyggende medisin.

Ifølge Schneier er denne reaksjonen for lettvint.

- Det som skjer, er at det er bare altfor mange patch-er, skriver han. - Det er rett og slett umulig å følge med. Jeg får ukentlige oppsummeringer av nye sårbarheter og patch-er. En varslingstjeneste hadde 19 nye patch-er på sin liste i første uke i mars i år. Det var en gjennomsnittsuke. Noen av sårbarhetene gjaldt nettverket mitt, mens mange av dem ikke gjorde det. I 2000 hadde Microsoft Outlook alene over et dusin sikkerhetsfikser. Jeg vet ikke hvordan den gjennomsnittlige brukeren kan få anledning til å installere dem alle. Da ville man ikke fått gjort annet.

Schneier skriver at driftsfolkene vet at de bør installere alle patch-ene.

- Men noen ganger kan de ikke ta ned kritiske systemer. Noen ganger har de ikke folk nok til å patche hvert system på nettverket. Noen ganger fører en patch ett sted til et nytt brudd et annet sted. Jeg tror det er på tide med en erkjennelse fra bransjens side om at patche-prosessen ikke er den riktige måten å bedre sikkerheten på.

Schneier peker på at selv perfekt patching alltid er på etterskudd, og at den samme varslingstjenesten som gjerne har et tjuetalls patch-er hver uke, også har et titalls anmerkninger om nye sikkerhetshull som det ikke finnes tetning for.

Hans løsning er følgelig bedre overvåking.

- Hvis du overvåker nettverket ditt nøye nok, vil du være i stand til å ta en hacker uavhengig av hvilken sårbarhet han brukte for å komme seg inn. Overvåking gjør deg mindre avhengig av å følge med i alle patch-er, og det er en prosess som gir bedre sikkerhet selv stilt overfor stadige sårbarheter, uinstallerte patch-er og utilstrekkelige produkter.

Schneier understreker at dette er ikke en endelig løsning, men at det er en realiserbar måte å bedre sikkerheten på.

Schneiers nyhetsbrev er tilgjengelig i gratis e-post-abonnement fra hans egen hjemmeside, eller gjennom hans firma Counterpane Systems.