Jsou aktualizace opravdu tak důležité?

8
Jsou aktualizace opravdu tak důležité?

K mému minulému článku o končící podpoře Windows 7 a Windows Server 2008 (R2) se na Facebooku rozběhla diskuze, kde se objevily i komentáře s názorem, že aktualizovat není potřeba. Na druhou stranu pak z médií slýcháme, že aktualizace jsou skoro až „životně“ důležité. Přijde mi to jako bezva téma k diskusi a rád přispěji svým pohledem a dosavadními zkušenostmi.

FB komentáře k aktualizacím
Komentáře k aktualizacím na Facebooku PATRON-IT (https://www.facebook.com/patronit/)

Aktualizace obecně přinášejí nové funkce a opravy chyb (bezpečnostních i funkčních). Aktualizace jsou v současnosti téměř vždy kumulativní – tzn. každá aktualizace obsahuje vše z předchozí aktualizace + něco navíc. Tzn. když 5 měsíců aktualizace vynechám a 6. měsíc nainstaluji poslední aktualizaci, dostanu se na plně aktuální program (který tedy obsahuje i ty předchozí aktualizace).

K aktualizacím se můžeme stavět 3 způsoby (viz další kapitoly):

  1. Instalujete všechny aktualizace, které vyjdou.
  2. Občas nějaké aktualizace vynecháte.
  3. Neinstalujete aktualizace vůbec.

Přičemž pro každé zařízení/program můžete volit jiný režim.

1. Aktualizovat pravidelně

Instalovat aktualizace hned, jak jsou dostupné, případně se zpožděním pár dní, aby byl čas na otestování funkčnosti aktualizace.

Výhody pravidelného aktualizování

Největším benefitem tohoto přístupu je z mého pohledu bezpečnost. Většina aktualizací (některé aktualizace jen přidávají funkcionalitu) totiž opravuje chyby v SW. Čím dříve aktualizaci nainstalujete, tím lépe.

Vydáním aktualizace se zvyšuje pravděpodobnost zneužití této chyby. Ptáte se proč? Jednak proto, že se celý svět dozví, že v aplikaci byla chyba a jakého typu (z release notes, nebo ze změn zdrojového kódu). Často i objevitel této chyby napíše článek (otázka prestiže) s popisem chyby včetně demonstračního exploitu (PoC – proof of concept). Pokud byla chyba opravdu „šťavnatá“, je pravděpodobné že se jí ujmou kyberzločinci a začnou ji hromadně zneužívat.

Čím je firma větší, tím větší bývají mezi jednotlivými systémy (počítači/servery/programy) závislosti (např. ověřování v rámci jedné Active Directory). Zneužití chyby na jednom PC tak může vést k řetězci událostí (lateral movement), které skončí nedostupností celé sítě během desítek minut (THE UNTOLD STORY OF NOTPETYA, THE MOST DEVASTATING CYBERATTACK IN HISTORY)

Za další plus pravidelných aktualizací (pro mne s menším významem) považuji okamžitou dostupnost nových funkcí, které s aktualizacemi často přichází. Například fanoušci Applu nebo Tesly čekají, co nového jejich zařízení budou s další aktualizací umět.

Nevýhody pravidelného aktualizování

Pravidelné aktualizovaní je snad nejpracnější, tudíž i nejdražší přístup. K nějakému produktu občas vyjde i několik aktualizací za týden (extrém). Většina aktualizací zároveň vyžaduje restart programu/systému a ne vždy to lze provádět během dne.

Zároveň musím říci, že ne všechny aktualizace se povedou. Buď se něco pokazí během aktualizace, nebo se po pár hodinách provozu zjistí, že aktualizace sice nějaké chyby opravuje, ale zároveň přináší chyby nové. 😊

Kdy je vhodné pravidelně aktualizovat

To, že se jedná o nejbezpečnější přístup (pokud neaktualizujete MeDoc 😉) neznamená, že je to přístup správný za každých okolností. 😊 Při výběru přístupu je nutné zvážit jeho náročnost (časovou – tudíž finanční) s ohledem na hrozící rizika (co by se stalo, kdyby ten systém někdo prolomil a ukradl/smazal data). Svému pejskovi taky nepořídíte atomový kryt místo psí boudy, i když je to nejbezpečnější řešení.

My tento přístup volíme pro programy, u kterých vidíme největší riziko (dle pravděpodobnosti zneužití a velikosti dopadu). To znamená hlavně programy provozující veřejně dostupné služby (poštovní servery, webové servery, databáze, VPN), operační systémy serverů/počítačů a webové prohlížeče (chodí přes ně velká část malware – jsou to v podstatě interpretery cizího kódu). 😊

2. Aktualizovat výběrově

Pravidelně sledovat informace o nově vydaných aktualizacích, procházet „release notes“ (informace o tom, co aktualizace řeší/mění) a na základě nich se rozhodovat o instalaci či vynechání aktualizace.

Pod výběrovým aktualizováním si určitě nepředstavuji to, že si někdo jednou za 4 měsíce vzpomene, že už dlouho nic neaktualizoval. 😊

Výhody výběrového aktualizování

O něco méně práce (protože neinstalujete každou aktualizaci) a vyšší uptime (není aktualizace => není restart + není riziko vzniku nových chyb s novou aktualizací). Vám zůstane více času, zákazníkovi více peněz a všechny strany jsou spokojené. 😊

Nevýhody výběrového aktualizování

Bezpečnost nemusí být na takové úrovni jako v případě pravidelného aktualizování. Občas se totiž stane, že výrobce SW najde vážnou bezpečnostní chybu, potichu ji opraví a v release notes adekvátně neokomentuje. Vy pak aktualizaci vynecháte, protože se domníváte, že není třeba. Z hlavy mne napadá např. „Attacking SSL VPN – Part 1: PreAuth RCE on Palo Alto GlobalProtect“ nebo „QNAP fails to reveal data corruption bug that affects all 4 bay and higher NAS devices“.

Na procházení „release notes“ potřebujete někoho zkušeného, kdo je schopen vyhodnotit význam a dopad jednotlivých položek. Takový člověk nemusí být vždy po ruce. :-/

Kdy je vhodné aktualizovat výběrově

Dle mne se jedná o metodu, kdy jste schopni udržet nejvyšší dostupnost služeb (až na výjimky u izolovaných systémů, kde se může vyplatit neaktualizovat vůbec). Pokud pak program/zařízení nevyžaduje nejvyšší míru zabezpečení, jedná se o vhodnou metodu.

My takovýmto způsobem aktualizujeme například bezpečnostní routery FortiGate. Máme totiž takové zkušenosti, že aktualizace často přinášejí chyby, které předčí dané opravy. Takže si vždy na základě release notes vybereme, zdali nám update za to stojí, nebo ne. Následně jej měsíc testujeme na pár boxech a pak teprve přecházíme na zbytek boxů.

3. Neaktualizovat vůbec, či aktualizace neřešit

O aktualizace se nikdo nestará. Aktualizace se neinstalují vůbec, instalují se náhodně, nebo skrze „auto update“ daného programu bez zpětné kontroly. Způsob také známý jako „co funguje, na to nešahám“. 😊

Výhody života bez aktualizací

Hlavní předností je jednoduchost této metody. Neaktualizovat mne nestojí žádný čas. Zároveň se vyhýbám výpadkům způsobeným restarty po aktualizacích. Také se mne netýkají komplikace způsobené aktualizacemi (pokažené updaty, nové chyby v updatech).

Nevýhody života bez aktualizací

S postupem času roste množství objevených a nezáplatovaných chyb v aplikaci. Spolu s tím roste riziko, že se stane něco špatného (záleží na tom, jak je program/počítač/server exponovaný do sítě a jak s ním uživatel pracuje). To pak znamená reinstalaci/obnovu ze záloh a několikahodinový výpadek.

Stejně tak vynechání některých aktualizací může mít vliv na funkčnost programu (program dělá chyby v datech, nezvládne rostoucí data), zdraví HW (například u 6. generace Intel NUC byla chyba v řízení napájení CPU, která způsobovala jejich úmrtí – https://downloadmirror.intel.com/28825/eng/SY_0071_ReleaseNotes.pdf BIOS verze 42) čí výkon HW (např. Samsung Releases Firmware Update to Fix the SSD 840 EVO Read Performance Bug).

Neaktualizováním také vzniká něco, co bych nazval „technologický dluh“. Po určité době začnou být programy a operační systém tak staré, že na počítačích není možné spouštět nové verze jiných programů, přenášet data mezi dalšími systémy či přistupovat k webu/poště (např. chybějící SMBv2, TLS 1.1+, starý .Net). Když pak aktualizujeme nějakou komponentu (závislost), zprovozníme tím sice novou aplikaci, ale znepřístupníme jinou starou aplikaci. Stejně tak mohou vznikat problémy typu: upgrade nelze provést na přímo, nelze sehnat staré verze aplikací, nelze sehnat vývojáře staré verze programu, se starou verzí programu nechce mít nikdo nic společného. 😊

Kdy je vhodné neaktualizovat

Rozhodnout se nějakou aplikaci/systém neaktualizovat je samozřejmě v pořádku. Důležité však je ono slovo „rozhodnout se“. Musí se totiž jednat o racionální rozhodnutí po zvážení pro a proti, nikoliv o liknavost.

My máme také pár systémů v režimu „nešahat na ně“. Jedná se o systémy řídící výrobu, kde není prostor provádět údržbu, výpadek stojí veliké peníze a dodavatel systémů již neexistuje. V takovém případě máme systémy izolované od zbytku prostředí (aby se vzájemně neovlivňovaly) a k systémům máme udělané diskové kopie (pro případ zotavení z SW/HW problému).

Závěr

Jakou strategii aktualizování/neaktualizování jste zvolili vy? Mám pocit, že (ne)aktualizování je věčné téma k diskusi, jsem proto zvědavý na vaše názory. Napište mi do komentářů a podělte se o vaše zkušenosti.

Líbí se vám témata, o kterých píši?

Abyste nemuseli kontrolovat, jestli už vyšel nový článek, rád vám ho ihned po zveřejnění pošlu do e-mailu. Každý kontakt, který mi poskytnete, si nechám vždy jen pro sebe.

  1. Měli jsme v budově dva zákazníky. Jeden s Windows 10, který updatoval, druhý s Windows 7, kde se ne vše podařilo updatovat. Když šla po světě NotPetya, ten první byl v klidu, kdežto ten druhý to na měsíc mohl zabalit. Za mě, jasné 🙂

  2. V současné firmě (cca 60 zaměstnanců) kde pracuji se razí přístup: Není třeba aktualizovat, protože máme aktualizovaný antivirus. :)) Nějak nevím co si o tom myslet – když vir zneužije díru a dostane se k admin právům, tak může přeci antivir vypnout nebo je antivir natolik chytrý, že vir odhalí?
    IT mám od mládí jako koníček a měl jsem i 6let jako práci, a osobně mi velí „IT rozum“ aktualizovat a řešit až případné problémy (odinstalací aktualizace nebo s podporou dotčeného programu), kterých ve finále zase tolik není. V této firmě ale nepůsobím jako Správce IT, takže to bohužel nemohu nijak ovlivnit – sice jsem na to správce IT upozornil, ale byl jsem odbyt s tím, že to takhle funguje už dlouho a nechce řešit problémy způsobené aktualizacemi a přeci od chytání virů je tu antivir. :)))

    • Děkuji za zkušenost. S tou argumentací „už to takhle funguje X let a ještě se nic nestalo“ se setkáváme stále. Zatím jsem na to ještě nějakou „killer“ odpověď která by druhou stranu odzbrojila nenašel :-/.

      Co se týče toho antiviru, tak ten chrání před spuštěním známé hrozby. Problém nastane, když tu hrozbu nebude znát/nerozpozná a nechá ji systém spustit. Následně už bude záležet na tom co je to za hrozbu. Asi bych to přirovnal k situaci mít auto s nefunkčním ABS. Neznamená to, že se hned za rohem vybouráte, nicméně mohou nastat situace kdy by vás ABS zachránilo.

      Zrovna o obcházení antivirů budu mít přednášku na Hacker Festu :).

      Ať se Vám daří :),
      Martin

  3. Osobně aktualizuji periodicky cca 1x za dva,tři měsíce cca 30pc a ntb. Jako aktualizaci chápu kromě WIn i aktualizace programů jako Acrobat, Java, Prohlížeč, PDFCreator, Zip, Videolan a spostu dalších utilit,HP Support Assiatant, Intel driver updater atd.

    Je to daň za to, že kdysi jsem měl spuštěné autoaktualizace win na některých strojích a pořád jsem tam lítal (proč chce restart, proč mám pomalej internet, proč se mě změnila ikona, proč mě nejde tohle …).

    Zkoušel jsem programy jako Kaspersky Software Updater a pár jiných (tedy free nebo za pár šlupek) ale prostě NEJSOU spolehlivé (umí jen pár programů).

    Ale je jasné, že můj systém má své chyby a je použitelný pouze do určitého počtu počítadel.

    Jinak když je kritická aktualizace (naposledy třeba RDP) která je pro nás směrodatná, tak ji nasadím hned.

    • To máme podobné zkušenosti.

      Nám se naštěstí podařilo uživatelům vysvětlit, že restarty jsou nutné (popravdě je vynucuje monitorovací systém – po 2 týdnech žádost o restart, po 3 týdnech vynucený restart).

      Ani ten patch management systém co používáme my není dokonalý – občas se rozbije a nějaký SW neumí. Jednou „popletl“ jazykové mutace a na pár stovek PC nám poslal FireFoxu v EN místo v CZ….

      …občas to jsou radosti v tom našem povolání :).

      Díky za nasdílení zkušenosti a ať Vám síť hladce funguje,
      Martin

Napsat komentář