DEBATT: – Patch alt, alltid!

[Redaksjonen.]

DEBATT: – Patch alt, alltid!

[Anders Jensen]

Må si jeg sliter med å akseptere dette. Kanskje av to årsaker.

1) det går 13 på dusinet av sikkerhets artikler som ikke adresserer elefanten i rommet. Nemlig den enorme kompleksiteten i dagens løsninger og hva som må gjøres med den for å kunne bygge systemer som er langt mer håndterbare å holde løpende sikker. I det ligger det en innrømmelse av at ingen system vil være helt sikre, men det går kanskje an å redusere angrepsflaten til en promille?

2) Automatisk utrulling av patcher vil før eller siden medføre epidemiske problemer i systemet. Typisk noe slik som; alle klienter mister kontakt med tjeneste x. Dette kan løses med canary deploys, men det krever en sentralisert test og orkestrerings mekanisme og kan ikke realiseres ved at alle noder har en update:auto type policy. innen k8s domenet er dette "løst" for klient flåter er det vel litt mer manuelt pt?

[belsebobb]

Jeg er helt enig med deg her.

Å patche i "blinde" kan få seriøse konsekvenser. Dette er også ekstremt industri avhengig, hvilke systemer det gjelder og kritikalitet av systemene.

Et skikkelig sårbarhets regime har alle godt av, men det må planlegges samt utføres skikkelig.

 

[Helm]

Windows 10 kom med en endring i hvordan oppdateringer tilbys, eller nå er det ikke lenger et tilbud: Oppdateringer er påtvunget. Man kan utsette dem men man har langt mindre kontroll. På en PC som brukes til online videospill var dette uholdbart. PC'n kunne finne på å starte på nytt midt i en spilløkt, eller at Windows kom med en melding i forbindelse med oppdateringer som dyttet spillet i bakgrunnen. Det går ut over meg og det går ut over alle andre som jeg spiller sammen med.

 

Dette kunne jeg ikke leve med. Jeg fant veien til registeret og deaktiverte tjenestene som driver oppdateringer. Det er nå kanskje snart fire år siden PC'n så en oppdatering sist. Jeg vil gjerne oppdatere, men jeg orker ikke regimet som kom med Win10.

Når jeg får så liten kontroll over oppdateringene blir løsningen å grave frem "hovedbryteren" og deaktivere alt sammen.

 

[Gravitass]

Dette er jo fint for organisasjoner og bedrifter som har en IT avdeling. Om det oppstår problem så er det gjerne litt nedetid og frustrasjon, men ikke så mye mer enn det.

Når det skjer med vanlige folk så kan det bli et stort problem. Slik som Webview for Android, om Digi nylig skrev om. Det er noe som blir oppdatert automatisk i Play Store for milliarder av telefoner. Nå fikk det ikke så veldig store konsekvenser, siden det ikke skjedde med alle telefoner og det hadde en lett fiks. Men hva med neste gang?

Jeg har manuell oppdatering på telefonen pga. slike hendelser, pluss at det er praktisk å lese om hva som er nytt/fikset (om det er tilgjengelig, noe det uheldigvis blir mindre av).

 

Endret 10. april 2021 av Gravitass
Skrivefeil

[Zlatzman]

Helm skrev (2 timer siden):

Windows 10 kom med en endring i hvordan oppdateringer tilbys, eller nå er det ikke lenger et tilbud: Oppdateringer er påtvunget. Man kan utsette dem men man har langt mindre kontroll. På en PC som brukes til online videospill var dette uholdbart. PC'n kunne finne på å starte på nytt midt i en spilløkt, eller at Windows kom med en melding i forbindelse med oppdateringer som dyttet spillet i bakgrunnen. Det går ut over meg og det går ut over alle andre som jeg spiller sammen med.

 

Dette kunne jeg ikke leve med. Jeg fant veien til registeret og deaktiverte tjenestene som driver oppdateringer. Det er nå kanskje snart fire år siden PC'n så en oppdatering sist. Jeg vil gjerne oppdatere, men jeg orker ikke regimet som kom med Win10.

Når jeg får så liten kontroll over oppdateringene blir løsningen å grave frem "hovedbryteren" og deaktivere alt sammen.

 

Det må være lenge siden Win10 gjorde det? Stadig masse automatiske oppdateringer, men har ikke opplevd utidige omstarter på årevis. 

[GitKenneth]

Når man ikke kan stole på QA testingen til leverandører, så vil ønskene i denne artikkelen forbli en utopi. Ikke engang (store) Microsoft klarer å rulle ut én oppdatering uten at det får en konsekvens for kundene sine. Fremtiden blir tynnere og tynnere klienter med mer nedlåste operativsystem som benytter webtjenester i all hovedsak. Dette løser mye av oppdateringsproblematikken.

[Mats Magnem]

Jeg leser det du skriver, og kan ikke forstå hvordan det går an. Ja, jeg har opplevd at PC'en blir mistenkelig treg når det er en oppdaterting som ønsker restart. Men at den restarter av seg selv har jeg aldri opplevd noen gang. Og jeg sitter med PC time ut og time inn i arbeid. Noen ganger har jeg prosesser som står og flytter eller utfører ting i mange dager uten at oppdateringene har avbrutt det.

Jeg har hørt at Windows enkelte ganger har restartet av seg selv hvis man har ignorert restart over mange, mange dager.

Majoriteten av oppdateringene jeg får er til og med oppdateringer som ikke krever restart. De bare installeres, så er de ferdige. Det er bare når det er sånne inkrementielle periodiske oppdateringer at det trengs restart. Likevel kan man jo sette "active hours" til når man måtte ønske det og heller installere og restarte utenfor dette, som når man ikke spiller.

Hos meg laster alle oppdateringer ned selv. De installeres også selv, så jeg slipper å tenke på det. Jeg får beskjed om det kreves oppdateringer, så restarter jeg jo uansett PCer og laptoper regemlessig fordi det synes jeg trengs.

Kan ikke i det hele tatt forstå hvordan det du skriver er så stort problem at du velger å la en PC som står åpen mot internet fri for oppdateringer.

[Andre2]

Prinsippet om å patche er bra. Men.. ofte har man flere lag av sikkerhet så det er ikke nødvendigvis slik at man må legge på en patch. I tillegg er det jo ofte sammenhenger mellom softwaren i infrastrukturen. F.eks avhengigheter på kernel mot software som kjører på toppen.

Det er jo en viss kompleksitet og å ha kontroll på dette, men har man en IT avdeling så er det mulig.

[Helm]

Det kan være at Windows mente jeg hadde utsatt en oppdatering for lenge, men av en eller annen grunn bestemte Windows seg for omstart.

Mine "active hours" er i praksis 24 timer i døgnet. Jeg sitter ikke selv 24 timer i døgnet og bruker PC'en, når jeg er fraværende, såkalt "AFK", spiller spillet seg selv. Dersom Windows da foretar en reboot slår spillet seg av og jeg er ikke der til å starte det igjen.

 

Og så er det problemet med både popup-meldinger og lagg i forbindelse med oppdateringer. Meldingene kan legge spillet i bakgrunnen og føre til at jeg og 30 andre spillere dør. Også dette problemet forsvant etter at jeg deaktiverte tjenestene som driver oppdateringer.

 

Slik kan det være å spille MMO.

 

Med tanke på oppdateringer fungerte XP og 7 mye bedre for meg, der hadde jeg total kontroll og foretok oppdateringer manuelt.

Jeg rebooter Windoes ca annenhver måned, og da er det fordi systemet begynner å kjøre tregt.

 

Endret 11. april 2021 av Helm

[9MNAOD9R]

Må si at jeg er skuffet av dette, det er et konsulent firma som skal være særiøst og veldig bra, men denne artikkelen vitner om lite bakke kontakt og forståelse for kompliserte IT miljøer.

[jetmotor]

Dette er trist lesning.

Nei, ikke patch alt - alltid.

Ha god oversikt over hvilke systemer du har som er eksponert, og ha god oversikt over hvilke systemer du har som er kritiske. Men med kritiske; hvilke som er kritiske for å tjene penger. For det er derfor arbeidsgiveren din eksisterer; for å tjene penger. Ikke for å være sikker. Sikkerhet er et sekundærbehov for å understøtte det å tjene penger.

De systemene som er kritiske for å tjene penger, skal patches når man har et vedlikeholdsvindu - og patchen må være testet. I mellomtiden må man passe ekstra på disse systemene, og alltid ha kontinuerlig overvåkning av disse primært. For tar patchen ned disse systemene, og stopper bedriften fra å tjene penger...da er du blitt problemet med sikkerhet, ikke angriperen.