Eddy Willems

Windows 10 is nog lang niet veilig genoeg

Eddy Willems Security-evangelist bij G Data

Afgelopen zomer heeft Microsoft Windows 10 gelanceerd. Een nieuw besturingssysteem met daarin nieuwe slimme methoden die het cybercriminelen lastiger moeten maken om op de systemen in te breken en gebruikers gemakkelijker om ongestoord hun werk te doen. Hoewel er op vele fronten verbeteringen te zien zijn qua veiligheid, is het besturingssysteem nog lang niet waterdicht. We bespreken hier enkele features van Windows 10.

Windows 10 nog lang niet veilig genoeg

Detectie verlopen licentie beveiligingssoftware

Windows 10 detecteert antivirussoftware die (vanwege een verlopen licentie) geen updates meer ontvangt en schakelt na enkele waarschuwingen op eigen initiatief Windows Defender in. Hoewel het duidelijk is dat een pc die beschermd wordt door Windows Defender er beter aan toe is dan een pc zonder enige beveiligingssoftware, benadrukt Microsoft zelf ook dat Windows Defender niet meer is dan een basisbeveiliging. Uit vergelijkende tests komt keer op keer naar voren dat het product ondermaats presteert. Draagt die er aan bij dat Windows-gebruikers zich veilig wanen en hun verlopen licentie op hun (betaald) antivirusproduct niet gaan verlengen? Als dat het resultaat is, dan zouden we kunnen stellen dat deze maatregel het tegenovergestelde bereikt van wat die beoogt.

Wanneer Windows Defender in combinatie met Windows 10 kan worden omzeild, staat dat gelijk aan de jackpot.

Het bijkomende en mogelijk grootste probleem is dat Windows Defender langzaamaan een standaard wordt voor gebruikers van Windows 10. Dat betekent dat er een groot deel van alle pc’s ter wereld precies dezelfde beveiliging hebben. Malwareschrijvers en hackers worden zo uitgedaagd om lekken te vinden in deze systemen. Wanneer Windows Defender in combinatie met Windows 10 kan worden omzeild, staat dat gelijk aan de jackpot: een stuk malware is plotseling effectief bij een groot percentage van alle pc’s. In de praktijk zien we dit ook al gebeuren: in veel malware komen reeds anti-Defender-technieken naar boven.

Vergelijkbaar aan dit fenomeen zijn de nieuwe malwaresoorten die wij zien die de tot voor kort zeer veilige Windows 10-browser Edge aanvallen. In sneltreintempo worden alle extra beveiligingstechnieken die in deze browser ingebouwd zitten omzeild, waardoor Edge nu bijvoorbeeld ook kwetsbaar is voor Man in the Browser-aanvallen.

Gefaseerde patchdistributie

Thuisgebruikers ontvangen nieuwe patches direct en fungeren zo als testpanel voor patches. De hoop is dat dit bijdraagt aan een grotere acceptatie door zakelijke gebruikers van de patches. De gedachte hierachter is eigenlijk heel goed. In de praktijk blijkt dat zakelijke systemen over het algemeen genomen veel trager worden gepatcht dan de systemen van consumenten. Patches hebben een slechte reputatie onder systeembeheerders. Patches brengen namelijk vaak veranderingen aan in de software, die nogal eens ingrijpende gevolgen voor de werking van de software hebben. Voor veel bedrijven is de kleine kans dat juist dit beveiligingslek zal leiden tot infectie van het netwerk minder erg dan de kans dat het bedrijf een dag stil komt te liggen. Het idee van het nieuwe patchbeleid van Microsoft is als volgt: Wanneer miljoenen consumenten een bepaalde patch hebben geïnstalleerd, kan een redelijk accurate voorspelling worden gedaan over de effecten van een patch in zakelijke omgevingen. Als er geen serieuze klachten binnenkomen, dan weten zakelijke gebruikers dat zij de patch probleemloos kunnen uitrollen.

Voor veel bedrijven is de kleine kans dat juist dit beveiligingslek zal leiden tot infectie van het netwerk minder erg dan de kans dat het bedrijf een dag stil komt te liggen.

Er kleven echter twee grote bezwaren aan dit plan. Ten eerste wordt de periode waarin bedrijfsnetwerken exponentieel kwetsbaarder zijn aanzienlijk verlengd, doordat malwareschrijvers nu nog vóór de beschikbaarheid van de patch voor de zakelijke netwerken met behulp van de (consumenten)patch kunnen nagaan welk beveiligingslek het dient te dichten. Bedrijven die wel altijd goed hebben gepatcht, worden nu dus opeens benadeeld. Het is voor securitybewuste bedrijven weliswaar mogelijk om in te stellen dat patches wel snel worden aangeboden, maar dat is niet de standaardinstelling en daarmee een extra uitdaging voor veel ondernemers die niet erg technisch onderlegd zijn. Ten tweede zal het bedrijven niet aansporen om de patches nu wél uit te voeren. Dat patches niet binnen een maand, of misschien twee maanden worden uitgerold, kan worden toegeschreven aan angst voor problemen met de patch. Maar dat een patch een jaar lang niet wordt uitgerold, wat eerder regel lijkt dat uitzondering, ligt aan iets anders. Het is namelijk goed mogelijk om een patch binnen een maand (of twee) te testen op een testsysteem en zo technische problemen uit te sluiten. Bovendien zou er na twee maanden, als er problemen waren met de patch, inmiddels duidelijkheid over zijn geweest. Andere bedrijven, die de patch ondertussen wel hadden uitgerold, zouden klachten hebben gehad. Er zijn systeembeheerders die ervan uitgaan dat geen enkele andere infrastructuur te vergelijken is met die van de eigen organisatie en daarom nooit een testfase bij een ander bedrijf zullen vertrouwen. Het uitblijven van problemen met een patch op consumentencomputers zal voor dit soort systeembeheerders al zeker geen overtuigend bewijs leveren voor de kwaliteit van de patch in een zakelijke omgeving. De nieuwe tactiek van Microsoft zal dus, naar mijn mening, geen positief effect hebben en alleen nadelen met zich meebrengen.

Conclusie

Windows 10 is dankzij verschillende beveiligingsmaatregelen de meest veilige Windows-versie ooit, maar met het groeien van het marktaandeel van het besturingssysteem, stijgt ook het aantal innovaties van malwareschrijvers en hackers die deze maatregelen weten te omzeilen. Het is dan ook van essentieel belang dat Windows 10-gebruikers zich niet veilig achten en vertrouwen op de bescherming van Windows Defender. In plaats daarvan doen gebruikers er verstandig aan om zelf een beveiligingssoftware te kiezen, zodat er veel verscheidenheid blijft bestaan. Zo wordt cybercriminelen het leven de niet al te gemakkelijk gemaakt.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content