Het Trojaanse paard van McAfee

Het verhaal van Troje is bij de meesten onder ons wel bekend. Na een jarenlange strijd stonden de Grieken nog steeds tegen de torenhoge en onneembare muren van Troje aan te kijken. Gelukkig hadden de Grieken Odysseus in hun midden die een list bedacht, namelijk het bouwen van een reusachtig houten paard gevuld met soldaten. Op een prachtige ochtend zagen de Trojanen een verlaten strand voor hun poort. Geen Griek te bekennen, behalve een houten paard dat een geschenk van de Grieken voor Pallas Athene bleek te zijn.

De Trojanen waren verheugd dat de Grieken zich eindelijk hadden teruggetrokken! Tegen de onheilspellingen in van Cassandra (vandaar: Cassandrasyndroom!) haalden de Trojanen het paard binnen de stadsmuren en vierden een overwinningsfeest. Later die nacht slopen Griekse soldaten uit het paard en openden de poorten waar de reeds verzamelde Griekse legers Troje binnen stroomden en de stad vernietigden. En zo was het einde van Troje een feit.

Wie had kunnen bedenken dat ongeveer 3200 jaar later het begrip Trojaans paard een veel gebruikte term in de wereld van automatisering zou zijn? En dan wel onder de noemer “kwaadaardige software”. Uiteindelijk werken de Trojaanse IT paarden volgens het zelfde principe: een gebruiker installeert een, in zijn of haar ogen, onschuldig programma. Echter in dit programma is een stuk kwaadaardige software verwerkt die, eenmaal binnen, vernietigend uit kan halen! In het ergste geval kan dit het einde van je systeem als gevolg hebben….. Zie hier de vergelijking met de Trojaanse oorlog.

Net als tegen virussen, wormen en andere vervelende software moet je ook maatregelen treffen om Trojaanse Paarden “buiten de poort” te houden. Immers een eenvoudige risicoanalyse komt tot het volgende:

Risico: Schade als gevolg van installatie  van Trojaanse paarden
Kans: Groot
Maatregel: Installeren anti-virus software om tijdig Trojaanse paarden te detecteren

Anti-virus software doet niets anders dan controleren of een programma een herkenbaar stuk software van bijvoorbeeld een specifiek Trojaans paard bevat. Indien dit het geval zullen allerlei alarmbellen rinkelen en kan het paard eventueel worden vernietigd.
Ach, had koning Priamus van Troje maar naar Cassandra geluisterd en net als anti-virus software de inhoud van het paard eerst onderzocht naar kwaadaardige mannetjes! Dan was de geschiedenis anders gelopen en was Troje niet gevallen met als gevolg dat Rome misschien ook nooit een grootmacht was geworden…….

Maar is het installeren van alleen anti-virus software wel voldoende? In het begin van de jaren negentig misschien wel. Periodiek werden de systemen voorzien van de laatste virusdefinities en werden zo beschermd tegen onder andere de laatste bekende Trojaanse paarden.
Echter met de steeds verdere uitbreiding van het Internet en daaraan verwante producten (browsen, e-mail, twitter, blog etc.) werden systemen vele malen kwetsbaarder voor kwaadaardige software die zich via het Internet manifesteerden. Daarnaast kwamen meer kwaadaardige software op “de markt” waardoor de anti-virus bouwers voor de uitdaging stonden om tijdig nieuwe virusdefinities hiertegen te ontwikkelen.

Voor gebruikers van systemen, zowel particulieren als organisaties, had dit gevolgen voor de te treffen maatregelen, waaronder:

  • Anti virus software dusdanig inrichten dat er automatisch (minimaal een keer per dag) gecontroleerd wordt of er nieuwe virusdefinities aanwezig zijn!
  • Ervoor zorgen dat je op de hoogte blijft van eventuele hardnekkige en snel verspreidende virussen, zodat je tijdig je maatregelen kunt treffen!
  • Systemen bewaken om zeker te stellen dat deze voorzien zijn van de laatste virusdefinities -> controle op de juiste werking van anti-virus software!
  • Gebruikers trainen en bewustmaken van de risico’s van kwaadaardige software.

Resumerend kunnen wij stellen, wat enkele duizenden jaren geleden door de Grieken is begonnen, ons in de huidige tijd heel veel geld en tijd kost!

Immers als we niet beveiligd zijn tegen kwaadaardige software dan zijn de gevolgen desastreus. Hierdoor worden wij gedwongen om veel geld uit te geven aan anti-virus software. De leveranciers van anti-virus software profiteren uiteraard van de angst voor kwaadaardige software.

Een heel belangrijk punt hierbij is dat wij blindelings vertrouwen op onze anti-virus software: wij gaan er van uit dat de leverancier tijdig de juiste virusdefinities levert. Wij moeten alleen ervoor zorgen dat de anti-virus software overal en juist is geconfigureerd waardoor de laatste virusdefinities automatisch worden geïnstalleerd.

Als je spreekt over een adequate change management procedure is bovenstaande absoluut uit den boze!  Immers: een change management procedure dient ervoor te zorgen dat updates van systemen gecontroleerd worden geïnstalleerd met als doel storingen als gevolg van foutieve updates te voorkomen. Dit houdt feitelijk in dat elke update eerste getest dient te worden. Pas na een succesvolle test zal de update verder uitgerold worden. Zie hier de tegenstelling bij updates van anti-virus software: deze worden zonder testen direct geïnstalleerd! Kennelijk ontbreekt de tijd en middelen om een change management procedure voor anti-virus software te implementeren….En vertrouwen we  erop dat de leverancier haar werk goed doet!

Afgelopen 21 april 2010 werd dit vertrouwen weer eens geschaad, in dit geval door McAfee! Volgens geruchten heeft McAfee een update niet (voldoende) getest op Windows XP. Het gevolg: bij installatie van deze update werd een stuk software van MS Windows XP beschouwd als een virus met als gevolg dat het systeem automatisch werd afgesloten en in een loop terecht kwam: het systeem is onbruikbaar geworden!
Helaas voor de vele gebruikers die McAfee in combinatie met Windows XP SP 3 gebruiken! Uiteindelijk na veel stress, tijd en frustratie is het euvel opgelost maar is de naam van McAfee geschaadt.

Toch wel apart: wij bouwen muren om onze IT systemen en plaatsen poortwachters om binnenkomende pakketten te onderzoeken in de vorm van anti-virus software: we zijn in de veronderstelling dat we goed beveiligd zijn. Totdat een update van McAfee wordt goedgekeurd door de poortwachters en deze binnenlaat! Eenmaal binnen ontstaat er een conflict en gaan de IT-systemen plat!

Zie hier: Het Trojaanse paard van McAfee, een virusschrijver zou er trots op zijn!

Maar fouten maken is menselijk en dit had ook elk ander anti-virus bouwer kunnen gebeuren. Bij velen was er opluchting toen bleek dat het om een false positive ging: er was geen sprake van een echt virusuitbraak!

Op basis van bovenstaande kunnen we stellen  dat je dus niet zonder meer kunt vertrouwen op de juiste werking van anti-virus software:

Risico: Foute update van de leverancier van anti-virus software -> alle systemen worden uitgeschakeld -> primaire bedrijfsprocessen stagneren of stoppen direct -> materiële schade!
Kans: Gemiddeld
Maatregel: ……………

Wat is dan een passende preventieve maatregel: elke update testen op elk mogelijk systeem binnen de organisatie? Hopelijk is er sprake van standaardisatie…

Of moeten we het meer gaan zoeken in de correctieve maatregelen? De kans dat het risico zich manifesteert is niet heel groot dus waarom veel tijd, middelen en geld investeren voor preventieve maatregelen? Dus laten we ons concentreren op de te doorlopen (correctieve) procedures op het moment dat de systemen worden platgelegd.
Maar repressieve maatregelen mogen ook hier niet over het hoofd worden gezien! Deze moeten immers voorkomen dat te veel systemen worden platgelegd! Misschien is een oplossing om te kiezen voor twee anti-virus oplossingen, verspreid tussen de verschillende systemen. Zo gaat alleen de helft van de organisatie plat…

Een mooie uitdaging om de juiste bundel maatregelen, passend bij de organisatie, te bepalen!

CONCLUSIE
Uiteindelijk blijkt toch weer dat je niet zonder meer kunt vertrouwen op externe partijen als het gaat om beveiliging. Uitbesteding wil niet zeggen dat je geen verantwoordelijkheden meer hebt! Je zult altijd rekening moeten houden met doemscenario’s als gevolg van een manco van je leverancier en zal hiervoor dus je eigen plan moeten trekken om zeker te weten dat Trojaanse paarden buiten de muren blijven!

Advertenties

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

w

Verbinden met %s