Friday, September 21, 2012

Java patching i Norge

Venner lar ikke venner kjøre Java.
[Java. Du trenger ikke å like det, men du må dessverre ha det i Norge.]

Marie Moe i NorCERT er overrasket når Digi.no forteller henne at tall fra sikkerhetsselskapet Mnemonic viser at 78% har enda ikke oppgradert Java programvaren sin til nyeste versjon. Nyeste versjon anses sikker pr dags dato, i betydningen "Ingen offentlig kjente sårbarheter pr dags dato".

Hun burde ikke være overrasket.

Sukk-stønn-pes & bakgrunnsinfo



Hos min forrige arbeidsgiver, EVRY, hadde jeg et overordnet ansvar i over 5 år for å få bedre kontroll på sikkerhetspatching av alle mulige plattformer og programmer. Da jeg fikk det ansvaret var ikke utgangspunktet det aller beste. 6 år etterpå var situasjonsbildet noe helt annet, og det i positiv betydning IMHO. Å få orden på sikkerhetspatching i hvilken som helst bedrift med mer enn noen titalls ansatte kan være en utfordring. Å få oppdatert Java hos alle med pc i Norge er en umulig oppgave.

Litt om Java

Java sjekker om det er kommet oppdateringer automatisk, og minst en gang pr uke. Til sammenligning sjekker Windows som standard en gang pr døgn, eller oftere. Her et skjermbilde fra Java oppsettet på en maskin jeg kjører hjemme:


Java ser etter oppdateringer automatisk, og minst en gang pr uke. Til sammenligning sjekker Windows som standard en gang pr døgn, eller oftere. Merk også at jeg ber om en bekreftelse før ny versjon lastes ned og eventuelt installeres, som vist i bildet over. Standard oppsettet er å laste ned ny utgave automatisk, og deretter gi beskjed til brukeren om at ny versjon er klar for installasjon.

Går man inn på "Advanced" knappen i bildet over, så ser man også at standardoppsettet for Java er å gi deg beskjed om eventuelle nye oppdateringer en gang pr måned.


Problemet hjemme

Dessverre har vi sikkerhetsfolk i mange år fokusert på å "klikke på x-en oppe til høyre" på enhver boks som brukerne ikke skjønner, det er det tryggeste. Jeg tror det skjer stadig vekk den dag i dag når Java sier i et lite vindu nede til høyre i noen sekunder at ny versjon er klar for installasjon.

Legg til reiser, ferie, sykdom, stadig mindre bruk av pc hjemme (til fordel for telefon/nettbrett) og andre årsaker, så har jeg ikke noe problem med å forstå at oppdateringer i de tusen hjem går tregt. Det er bra at Digi skriver om det, VG kjører førsteside og NRK/TV2 snakker om viktigheten av å oppdatere Java på maskinen sin hjemme. Imidlertid bør både NorCERT og de fleste andre innen IT-sikkerhet vite at det ikke er noe problem å finne personer som ikke vet hva Java er, om de har det installert eller om det er oppdatert.

Oracle, firmaet som lager Java, har en fryktelig historikk på sikkerhetssvakheter i sine produkter. De har utvist manglende vilje og sendrektighet med å korrigere og gi ut sikkerhetsoppdateringer. Det blir gradvis bedre, men de har fortsatt et stykke igjen.

Når det gjelder automatiserte og "usynlige" oppdateringer for sluttbrukere, slik f.eks. Google Chrome gjør stadig bedre, så tror jeg på det for private brukere. At mamma, pappa og tanta på 60 skal forholde seg til Java, Flash, Shockwave, Adobe Reader, Chrome, Internet Explorer eller Firefox ser jeg som relativt meningsløst. De foretrekker å forholde seg til enklere begreper, f.eks. "surfe på internett" eller "lese epost". La oss hjelpe dem med det; installer f.eks. Secunia PSI til venner og familie, med automatisk oppdatering av alt. Det hjelper mye, men dessverre vil ikke banker og en rekke andre virksomheter som når mange brukere gi spesifikke anbefalinger. "Gud forby, de kan jo risikere å få supporthenvendelser til kundeservice!"

Hva med bedrifter?

I mange bedrifter er det et sterkt og nødvendig behov for endringskontroll. Det betyr enkelt og greit at bedriften, både internt og overfor sine kunder, trenger å vite hva de har, planlegge hva de skal gjøre, og utføre det etter en dokumentert plan. Ved å ta i bruk automatisk oppdatering slik blant annet Java tilbyr, så risikerer med raskt å få en firkantet revisor på nakken; endringene (oppdateringene) er ikke dokumentert eller rullet ut etter en godkjent plan i avtale med kundene. Risikoen ved å kjøre ut slike oppdateringer uten planlegging og god testing har jeg erfart mange ganger. Alt for mange. 

Jeg vil påstå at i de fleste tilfeller kan vi leve med noen virusinfiserte pcer som har kommet inn via den kompromitterte websiden til håndball laget til jentungen eller fysioterapeuten din. Spesielt når alternativet ville vært å stadig vekk ta ned tilgang til Internett, bytte brukere frem og tilbake mellom ulike nettlesere og en rekke andre tiltak som normalt ville fått ledere til å vurdere omstrukturering av IT-avdelingen.

Oppfølging

Jeg er i gang med en mer ... omstendelig bloggpost om dette med sikkerhetspatching, den kommer nok i løpet av de nærmeste ukene. 

Jeg er åpen for diskusjon og kommentarer her. :-)

5 comments:

  1. Og her sitter jeg med en med Java 1.5 installert - aner ikke når den siste oppdateringen kom. Men er avhengig av den pga. en system bedriften bruker, som tydeligvis er laget på en slik måte at det ikke ble kompatibelt med senere versjoner - uvisst hvorfor... :-\

    ReplyDelete
    Replies
    1. Har fått høre fra mange som jobber med Java utvikling at så lenge du er innenfor hovedversjonene (1.5, 1.6 & 1.7), så skal alle patcheversjoner jevnt over fungere. Det er fjerning og tillegg av funksjonalitet mellom hovedversjonene som skaper de store problemene.

      Dersom din arbeidsgiver er avhengig av Java 1.5 (mange er det), så kan man vurdere å legge 1.5 installasjonen utenfor path som IE og andre browsere benytter seg av. Da forsvinner det meste av risiko, siden webbaserte angrep mot Java ikke vil se din foreldede og sårbare Java installasjon.

      Delete
  2. Takk for en interessant artikkel. Jeg ble særlig interessert i det du nevner om Secunia PSI, og håpte du kunne fortelle litt mer om denne.

    Som mange andre med IT-bakgrunn, er også jeg familiens support-avdeling. Ta f.eks. min mors PC: her har jeg satt opp alt slik at ting skal gå så automatisk som mulig, dvs. automatisk nedlasting og installasjon av alt som måtte være av oppdateringer både til Windows og andre programmer osv.

    Det eneste "problemet" jeg sitter igjen med her er Java. Det er i hovedsak to utfordringer: for det første lar det seg _installere_ automatisk (kun automatisk nedlasting), og når så varselet om en oppdatering omsider kommer må man ta stilling til om man faktisk _ønsker_ å installere oppdateringen p.g.a. Windows UAC.

    Ved slike "hindringer" som dette går min mor, og sikkert flere med henne, i lås og ser seg umiddelbart om etter første og beste X å trykke på. Vil Secunia PSI kunne hjelpe her? Altså både sørge for automatisk oppdatering, samt spare brukeren for å måtte godkjenne dette gjennom UAC?

    ReplyDelete
  3. Ja, jeg mener at Secunia PSI også oppdaterer Java automatisk, ikke bare laster den ned og gir deg beskjed om det.

    Nyeste versjon av Secunia PSI er enda mer "lydløs", den starter med Windows, sjekker periodisk og installerer bunker med patcher uten å involvere sluttbruker. Perfekt for enhver av oss som har rollen familiens supportavdeling på PC. :-)

    ReplyDelete
  4. Heimdal er bedre enn Secunia sånn sett for bestemor, mye mere aggressiv og patcher enten du vil eller ikke. Har ikke bredden av produkter som Secunia, men håndterer nettlesere, Java, Adobe, Flash m.m.

    ReplyDelete

All comments will be moderated, primarily for spam. You are welcome to disagree with my posts of course.