Patchen – noodzaak. dilemma en onmogelijkheid

Afgelopen woensdag werd in Utrecht de Dcypher 2017 symposium gehouden. Daar werd een hele dag gesproken over digitale veiligheid en trends, maar ook over recente blunders en flaters. Het publiek bij Dcypher bestaat niet uit lezers van ISP Today, een reden te meer er over te schrijven.

Wie of wat is Dcypher

Dcypher staat Dutch Cybersecurity Platform Higher Education & Research. Het draait dus om onderwijs. Het is daarmee nadrukkelijk geen event met standhouders die de nieuwste hardware of software aanprijzen en bezoekers die met goodies overladen worden. Hier ga je als onderzoeker naar toe om te horen wat je collega’s doen, als student om te horen over spannende ontwikkelingen en er worden onderzoeksplekken te scoren. De wervende tekst op de website spreekt van: “Are you interested or involved in cybersecurity research, development, innovation, business and/or (higher) education? Come and join us at the first edition of the dcypher Symposium on the 4th of October. There will be a lot to learn, to discuss and share in cybersecurity R&D, innovation and higher education and it is free of charge!”  De opkomst was aanzienlijk. De keynote werd door naar schatting 300 bezoekers bijgewoond en lang niet ie”dereen was toen al binnen.

Het programma dat daarna volgde was divers en bijna alle onderwerpen waren min of meer te linken aan de business van een provider of hoster. Dat geldt zeker voor de college’s van steeds 35 minuten die werden gegeven. Een goed verhaal van Prof. Dr. Wouter Stol over de positionering van de politie in de digitale samenleving was er daar een van. Het klinkt makkelijk van op straat boeven vangen naar cybercriminelen achter de vodden aan zitten, maar alleen al de generaties lang aangehouden focus op een eigen fysieke regio is daar een flinke horde. Cijfers over marketplaces op Darkweb werden door Prof. Dr. Pieter Hartel besproken en in context geplaatst.

Patchen

Het college van Prof. Dr. Michiel van Eeten (pdf) was van een andere orde. Dit had direct een 100% met de gehele internetsector. Behalve dat van Eeten inging op stoute en domme providers en hosters stond hij ook bij iets heel alledaags stil: waarom gaat er zoveel mis met patchen? Aanleiding daarvoor was Wanacry dat kon toeslaan op niet gepatchte systemen. Waarom waren die systemen niet gepatched, wat is daarvan de logica. Die logica is volgens van Eeten extreem makkelijk en overtuigend. We worden dagelijks gebombardeerd met CVSS meldingen. Snelle rekensom: 50 per dag het afgelopen jaar. Geen normaal mens kan in een productie omgeving zoveel patches doorvoeren.

Met het aantal van 15.000 kwetsbaarheden is ook nog wat anders aan de hand. IJdelheid is de mens niet vreemd, iedereen heeft de neiging de zelf gevonden kwetsbaarheid als high prio in te schatten. Het gevolg is dat de lijst super urgent steeds groter wordt en er strikt genomen sprake is van vervuiling. Je kunt het dus als sys admin gewoon niet meer goed doen en soms iets niets doen de enige realistische optie.

 

Daags na deze opmerkelijke constatering door van Eeten wees de ex-CEO van Equifax het ontbreken van 1 patch –  te herleiden zou zijn tot 1 werknemer – aan als oorzaak voor de meest actuele en waarschijnlijkst meest waardevolle hack in de Amerikaanse geschiedenis.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.