Jsou aktualizace opravdu tak důležité?

K mému minulému článku o končící podpoře Windows 7 a Windows Server 2008 (R2) se na Facebooku rozběhla diskuze, kde se objevily i komentáře s názorem, že aktualizovat není potřeba. Na druhou stranu pak z médií slýcháme, že aktualizace jsou skoro až „životně“ důležité. Přijde mi to jako bezva téma k diskusi a rád přispěji svým pohledem a dosavadními zkušenostmi.

FB komentáře k aktualizacím
Komentáře k aktualizacím na Facebooku PATRON-IT (https://www.facebook.com/patronit/)

Aktualizace obecně přinášejí nové funkce a opravy chyb (bezpečnostních i funkčních). Aktualizace jsou v současnosti téměř vždy kumulativní – tzn. každá aktualizace obsahuje vše z předchozí aktualizace + něco navíc. Tzn. když 5 měsíců aktualizace vynechám a 6. měsíc nainstaluji poslední aktualizaci, dostanu se na plně aktuální program (který tedy obsahuje i ty předchozí aktualizace).

K aktualizacím se můžeme stavět 3 způsoby (viz další kapitoly):

  1. Instalujete všechny aktualizace, které vyjdou.
  2. Občas nějaké aktualizace vynecháte.
  3. Neinstalujete aktualizace vůbec.

Přičemž pro každé zařízení/program můžete volit jiný režim.

1. Aktualizovat pravidelně

Instalovat aktualizace hned, jak jsou dostupné, případně se zpožděním pár dní, aby byl čas na otestování funkčnosti aktualizace.

Výhody pravidelného aktualizování

Největším benefitem tohoto přístupu je z mého pohledu bezpečnost. Většina aktualizací (některé aktualizace jen přidávají funkcionalitu) totiž opravuje chyby v SW. Čím dříve aktualizaci nainstalujete, tím lépe.

Vydáním aktualizace se zvyšuje pravděpodobnost zneužití této chyby. Ptáte se proč? Jednak proto, že se celý svět dozví, že v aplikaci byla chyba a jakého typu (z release notes, nebo ze změn zdrojového kódu). Často i objevitel této chyby napíše článek (otázka prestiže) s popisem chyby včetně demonstračního exploitu (PoC – proof of concept). Pokud byla chyba opravdu „šťavnatá“, je pravděpodobné že se jí ujmou kyberzločinci a začnou ji hromadně zneužívat.

Čím je firma větší, tím větší bývají mezi jednotlivými systémy (počítači/servery/programy) závislosti (např. ověřování v rámci jedné Active Directory). Zneužití chyby na jednom PC tak může vést k řetězci událostí (lateral movement), které skončí nedostupností celé sítě během desítek minut (THE UNTOLD STORY OF NOTPETYA, THE MOST DEVASTATING CYBERATTACK IN HISTORY)

Za další plus pravidelných aktualizací (pro mne s menším významem) považuji okamžitou dostupnost nových funkcí, které s aktualizacemi často přichází. Například fanoušci Applu nebo Tesly čekají, co nového jejich zařízení budou s další aktualizací umět.

Nevýhody pravidelného aktualizování

Pravidelné aktualizovaní je snad nejpracnější, tudíž i nejdražší přístup. K nějakému produktu občas vyjde i několik aktualizací za týden (extrém). Většina aktualizací zároveň vyžaduje restart programu/systému a ne vždy to lze provádět během dne.

Zároveň musím říci, že ne všechny aktualizace se povedou. Buď se něco pokazí během aktualizace, nebo se po pár hodinách provozu zjistí, že aktualizace sice nějaké chyby opravuje, ale zároveň přináší chyby nové. 😊

Kdy je vhodné pravidelně aktualizovat

To, že se jedná o nejbezpečnější přístup (pokud neaktualizujete MeDoc 😉) neznamená, že je to přístup správný za každých okolností. 😊 Při výběru přístupu je nutné zvážit jeho náročnost (časovou – tudíž finanční) s ohledem na hrozící rizika (co by se stalo, kdyby ten systém někdo prolomil a ukradl/smazal data). Svému pejskovi taky nepořídíte atomový kryt místo psí boudy, i když je to nejbezpečnější řešení.

My tento přístup volíme pro programy, u kterých vidíme největší riziko (dle pravděpodobnosti zneužití a velikosti dopadu). To znamená hlavně programy provozující veřejně dostupné služby (poštovní servery, webové servery, databáze, VPN), operační systémy serverů/počítačů a webové prohlížeče (chodí přes ně velká část malware – jsou to v podstatě interpretery cizího kódu). 😊

2. Aktualizovat výběrově

Pravidelně sledovat informace o nově vydaných aktualizacích, procházet „release notes“ (informace o tom, co aktualizace řeší/mění) a na základě nich se rozhodovat o instalaci či vynechání aktualizace.

Pod výběrovým aktualizováním si určitě nepředstavuji to, že si někdo jednou za 4 měsíce vzpomene, že už dlouho nic neaktualizoval. 😊

Výhody výběrového aktualizování

O něco méně práce (protože neinstalujete každou aktualizaci) a vyšší uptime (není aktualizace => není restart + není riziko vzniku nových chyb s novou aktualizací). Vám zůstane více času, zákazníkovi více peněz a všechny strany jsou spokojené. 😊

Nevýhody výběrového aktualizování

Bezpečnost nemusí být na takové úrovni jako v případě pravidelného aktualizování. Občas se totiž stane, že výrobce SW najde vážnou bezpečnostní chybu, potichu ji opraví a v release notes adekvátně neokomentuje. Vy pak aktualizaci vynecháte, protože se domníváte, že není třeba. Z hlavy mne napadá např. „Attacking SSL VPN – Part 1: PreAuth RCE on Palo Alto GlobalProtect“ nebo „QNAP fails to reveal data corruption bug that affects all 4 bay and higher NAS devices“.

Na procházení „release notes“ potřebujete někoho zkušeného, kdo je schopen vyhodnotit význam a dopad jednotlivých položek. Takový člověk nemusí být vždy po ruce. :-/

Kdy je vhodné aktualizovat výběrově

Dle mne se jedná o metodu, kdy jste schopni udržet nejvyšší dostupnost služeb (až na výjimky u izolovaných systémů, kde se může vyplatit neaktualizovat vůbec). Pokud pak program/zařízení nevyžaduje nejvyšší míru zabezpečení, jedná se o vhodnou metodu.

My takovýmto způsobem aktualizujeme například bezpečnostní routery FortiGate. Máme totiž takové zkušenosti, že aktualizace často přinášejí chyby, které předčí dané opravy. Takže si vždy na základě release notes vybereme, zdali nám update za to stojí, nebo ne. Následně jej měsíc testujeme na pár boxech a pak teprve přecházíme na zbytek boxů.

3. Neaktualizovat vůbec, či aktualizace neřešit

O aktualizace se nikdo nestará. Aktualizace se neinstalují vůbec, instalují se náhodně, nebo skrze „auto update“ daného programu bez zpětné kontroly. Způsob také známý jako „co funguje, na to nešahám“. 😊

Výhody života bez aktualizací

Hlavní předností je jednoduchost této metody. Neaktualizovat mne nestojí žádný čas. Zároveň se vyhýbám výpadkům způsobeným restarty po aktualizacích. Také se mne netýkají komplikace způsobené aktualizacemi (pokažené updaty, nové chyby v updatech).

Nevýhody života bez aktualizací

S postupem času roste množství objevených a nezáplatovaných chyb v aplikaci. Spolu s tím roste riziko, že se stane něco špatného (záleží na tom, jak je program/počítač/server exponovaný do sítě a jak s ním uživatel pracuje). To pak znamená reinstalaci/obnovu ze záloh a několikahodinový výpadek.

Stejně tak vynechání některých aktualizací může mít vliv na funkčnost programu (program dělá chyby v datech, nezvládne rostoucí data), zdraví HW (například u 6. generace Intel NUC byla chyba v řízení napájení CPU, která způsobovala jejich úmrtí – https://downloadmirror.intel.com/28825/eng/SY_0071_ReleaseNotes.pdf BIOS verze 42) čí výkon HW (např. Samsung Releases Firmware Update to Fix the SSD 840 EVO Read Performance Bug).

Neaktualizováním také vzniká něco, co bych nazval „technologický dluh“. Po určité době začnou být programy a operační systém tak staré, že na počítačích není možné spouštět nové verze jiných programů, přenášet data mezi dalšími systémy či přistupovat k webu/poště (např. chybějící SMBv2, TLS 1.1+, starý .Net). Když pak aktualizujeme nějakou komponentu (závislost), zprovozníme tím sice novou aplikaci, ale znepřístupníme jinou starou aplikaci. Stejně tak mohou vznikat problémy typu: upgrade nelze provést na přímo, nelze sehnat staré verze aplikací, nelze sehnat vývojáře staré verze programu, se starou verzí programu nechce mít nikdo nic společného. 😊

Kdy je vhodné neaktualizovat

Rozhodnout se nějakou aplikaci/systém neaktualizovat je samozřejmě v pořádku. Důležité však je ono slovo „rozhodnout se“. Musí se totiž jednat o racionální rozhodnutí po zvážení pro a proti, nikoliv o liknavost.

My máme také pár systémů v režimu „nešahat na ně“. Jedná se o systémy řídící výrobu, kde není prostor provádět údržbu, výpadek stojí veliké peníze a dodavatel systémů již neexistuje. V takovém případě máme systémy izolované od zbytku prostředí (aby se vzájemně neovlivňovaly) a k systémům máme udělané diskové kopie (pro případ zotavení z SW/HW problému).

Závěr

Jakou strategii aktualizování/neaktualizování jste zvolili vy? Mám pocit, že (ne)aktualizování je věčné téma k diskusi, jsem proto zvědavý na vaše názory. Napište mi do komentářů a podělte se o vaše zkušenosti.

Líbí se vám témata, o kterých píši?

Abyste nemuseli kontrolovat, jestli už vyšel nový článek, rád vám ho ihned po zveřejnění pošlu do e-mailu. Každý kontakt, který mi poskytnete, si nechám vždy jen pro sebe.

Diskuze k článku

Karel

06. 08. 2019 v 07:52

Odkaz na PDF z Intelu je rozbitý

Odpovědět

Odpovědět

Martin Haller

06. 08. 2019 v 08:29

Opraveno, díky za upozornění.

Odpovědět

Odpovědět

Aleš Blinka

06. 08. 2019 v 11:35

Měli jsme v budově dva zákazníky. Jeden s Windows 10, který updatoval, druhý s Windows 7, kde se ne vše podařilo updatovat. Když šla po světě NotPetya, ten první byl v klidu, kdežto ten druhý to na měsíc mohl zabalit. Za mě, jasné 🙂

Odpovědět

Odpovědět

Martin Haller

06. 08. 2019 v 12:36

Konečně někdo s pozitivním přístupem k Windows 10 a aktualizacím. Děkuji 😉

Odpovědět

Odpovědět

PavelJ

08. 08. 2019 v 07:01

V současné firmě (cca 60 zaměstnanců) kde pracuji se razí přístup: Není třeba aktualizovat, protože máme aktualizovaný antivirus. :)) Nějak nevím co si o tom myslet – když vir zneužije díru a dostane se k admin právům, tak může přeci antivir vypnout nebo je antivir natolik chytrý, že vir odhalí?
IT mám od mládí jako koníček a měl jsem i 6let jako práci, a osobně mi velí „IT rozum“ aktualizovat a řešit až případné problémy (odinstalací aktualizace nebo s podporou dotčeného programu), kterých ve finále zase tolik není. V této firmě ale nepůsobím jako Správce IT, takže to bohužel nemohu nijak ovlivnit – sice jsem na to správce IT upozornil, ale byl jsem odbyt s tím, že to takhle funguje už dlouho a nechce řešit problémy způsobené aktualizacemi a přeci od chytání virů je tu antivir. :)))

Odpovědět

Odpovědět

Martin Haller

08. 08. 2019 v 09:01

Děkuji za zkušenost. S tou argumentací „už to takhle funguje X let a ještě se nic nestalo“ se setkáváme stále. Zatím jsem na to ještě nějakou „killer“ odpověď která by druhou stranu odzbrojila nenašel :-/.

Co se týče toho antiviru, tak ten chrání před spuštěním známé hrozby. Problém nastane, když tu hrozbu nebude znát/nerozpozná a nechá ji systém spustit. Následně už bude záležet na tom co je to za hrozbu. Asi bych to přirovnal k situaci mít auto s nefunkčním ABS. Neznamená to, že se hned za rohem vybouráte, nicméně mohou nastat situace kdy by vás ABS zachránilo.

Zrovna o obcházení antivirů budu mít přednášku na Hacker Festu :).

Ať se Vám daří :),
Martin

Odpovědět

Odpovědět

Michal Zobec

20. 08. 2019 v 22:57

@Martin: jako killer odpověď právě slouží neaktualizace a reálné šíření ransomware 🙂 bez aktualizací je antivir a firewall k ničemu, protože průnik je na úrovni kódu a běží pak v paměti jak píšete. když se pak snaží zapisovat tak jej antivir najde a smaže, ale to už je pozdě, může třeba „aspoň“ začít šifrovat data …

@Pavel: existuje i mallware, který cíleně hledá a vypíná antiviry, ale zatím jich není tolik a navíc ne vždy bývá úspěšný.

Odpovědět

Odpovědět

Martin Haller

21. 08. 2019 v 08:41

Ad reálně šíření ransomware) Trochu mi přijde, že to ti bad actors flákají. Když by se trochu zasnažili, určitě by teď BlueKeep a DejaBlue odkázali napsat něco alespoň na úrovni NotPetaya/WannaCry.

Odpovědět

Odpovědět

Kyssling

12. 08. 2019 v 14:07

Osobně aktualizuji periodicky cca 1x za dva,tři měsíce cca 30pc a ntb. Jako aktualizaci chápu kromě WIn i aktualizace programů jako Acrobat, Java, Prohlížeč, PDFCreator, Zip, Videolan a spostu dalších utilit,HP Support Assiatant, Intel driver updater atd.

Je to daň za to, že kdysi jsem měl spuštěné autoaktualizace win na některých strojích a pořád jsem tam lítal (proč chce restart, proč mám pomalej internet, proč se mě změnila ikona, proč mě nejde tohle …).

Zkoušel jsem programy jako Kaspersky Software Updater a pár jiných (tedy free nebo za pár šlupek) ale prostě NEJSOU spolehlivé (umí jen pár programů).

Ale je jasné, že můj systém má své chyby a je použitelný pouze do určitého počtu počítadel.

Jinak když je kritická aktualizace (naposledy třeba RDP) která je pro nás směrodatná, tak ji nasadím hned.

Odpovědět

Odpovědět

Martin Haller

12. 08. 2019 v 14:26

To máme podobné zkušenosti.

Nám se naštěstí podařilo uživatelům vysvětlit, že restarty jsou nutné (popravdě je vynucuje monitorovací systém – po 2 týdnech žádost o restart, po 3 týdnech vynucený restart).

Ani ten patch management systém co používáme my není dokonalý – občas se rozbije a nějaký SW neumí. Jednou „popletl“ jazykové mutace a na pár stovek PC nám poslal FireFoxu v EN místo v CZ….

…občas to jsou radosti v tom našem povolání :).

Díky za nasdílení zkušenosti a ať Vám síť hladce funguje,
Martin

Odpovědět

Odpovědět

Mára B.

14. 08. 2019 v 15:47

Mám stejný pohled na aktualizace jako Ty Martine. Využíváme prakticky všechny varianty, které si zmiňoval.
Ještě bych možná přidal jednu kategorii (možná je to podkategoriebodu 2., jak to komu vyhovuje 🙂 ), kterou používám u jednoho zásadního systému a to je reaktivní instalace aktualizací. Tedy přístup kdy použiju aktualizaci/patch/datafix pouze v případě, že potřebuji vyřešit konkrétní, uživatelem nahlášený problém. A důvodem pro tuto metodu je vysoký workload pro otestování chování aplikace. Aplikace má implemnetované úpravy, které mohou být smazány aktualizací. Pro příklad v rámci GDPR jsme potřebovali implementovat patch, který přinesl novou funkcionalitu. Bohužel tento patch obsahoval mnoho změn a testování (uživatelé testovali) a opravy zabraly 3 měsíce a zdvojnásobení původně odhadnutých nákladů na implementaci 🙂
Takže plně souhlasím se závěrem článku. Vždy je důležité se rozhodnout o osudu aktulizací a to rozhodnutí zadokumentovat! Protože za půl roku už nevíme, proč jsme se rozhodli neaktulizovat 🙂
Mára

Odpovědět

Odpovědět

Martin Haller

19. 08. 2019 v 08:12

Ahoj Máro, promiň za prodlevu s odpovědí, měl jsem teď pár dní volno :).

Ten case co popisuješ je peklo. To už pak není pouhé aktualizování, ale rovnou projekt a stojí to balík (čas lidí z IT a uživatelů co to testují). Obzvlášť když nějaká chybka/nefunkčnost proklouzne i testováním a dostane se do produkce. My naštěstí máme takových systémů pod správou jenom pár a tam se o to stará buď interní IT, nebo dodavatel systému – naše kompetence končí u přihlašovací obrazovky :).

Díky za doplnění,
Martin

Odpovědět

Odpovědět

Marcela Skřipcová

18. 12. 2023 v 13:03

Dobrý den,
je možné odinstalovat poslední aktualizaci z programu Adobe Acrobat? Děkuji. Marcela

Odpovědět

Odpovědět

Martin Haller

18. 12. 2023 v 15:20

Nevím, ale tipoval bych, že to nejde. V takovém případě by byla jediná možnost sehnat někde instalátor starší verze (žádnou URL však nemám).

Odpovědět

Odpovědět

Pavel

24. 06. 2024 v 15:25

Co říkáte prosím na toto: https://www.premocz.eu/odblokovani-tiskarny ? Tedy na to, že si firma vypne aktualizace firmware u tiskáren, aby jim to neblokovalo kompatibilní tonery po aktualizaci a ušetřili tak za náplně. Je to běžná praxe? Jak moc velká rizika to přináší?

Odpovědět

Odpovědět

Martin Haller

24. 06. 2024 v 16:31

Dobrý den, Pavle, díky za nasdílení. Sám jsem se s tím ještě nesetkal (i když jsem už vícekrát slyšel o tom, že výrobci se snaží bránit v používání neoriginálních tonerů. jak moc rozšířený jev to je netuším (já jsem se s tím ještě nesetkal). Vliv na bezpečnost to mít může, ale taky nedokáži řici jak velký:
* u USB tiskárny bude menší než u síťových tiskáren ve firmách,
* dá se mitigovat uzavřením tiskáren do VLAN s omezenou komunikací (FireWall),
* může se to do budoucna zhoršit, když se útočníci začnou zaměřovat na tiskárny (např. pro persistency).

Odpovědět

Odpovědět

Pavel

25. 06. 2024 v 11:08

Díky za reakci. Asi se teď zeptám úplně hloupě – může se pak útočník dostat i k datům na počítačích ve firemní síti, nebo je nějakým způsobem omezen např. na data, co projdou tiskárnou v rámci tisku?

Odpovědět

Odpovědět

Martin Haller

25. 06. 2024 v 11:52

Primárně je omezen na data jdoucí skrze tiskárnu/skener. Avšak může se snažit (a dává to smysl) dostat v síti dále – tzn. skrze tiskárnu by „pivotoval“ na další zařízení v síti (skrze nějakou zranitelnost/exploit, miskonfiguraci či uhádnout přihlašovací údaje) – tzv. fáze laterálního pohybu/eskalování privilegií.

Odpovědět

Odpovědět

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Hack The Box OSCP MCSE CHFI ECSA CCNP CCNA