Zet Windows XP per direct buiten de deur
Op 8 april stopt Microsoft met de support van Windows XP. Steeds meer mensen reageren hierop. Het houdt in dat er vanaf 8 april geen updates van Microsoft meer verschijnen voor Windows XP machines.
Op dit moment zijn er nog een aantal van deze machine in productie, zowel in de thuissituatie als in de bedrijfssituatie. Deze machines blijven het na 8 april nog wel doen, maar ze worden wel kwetsbaarder voor virussen en ze lopen extra beveiligingsrisico’s.
Wat kan het probleem worden?
Hackers
Op dit moment zijn hackers al een offensief aan het starten voor de aanval op de overgebleven Windows XP machines. Na 8 april kunnen ze alle “slechte” software gewoon rücksichtsloos loslaten op internet. De maker van Windows XP zal namelijk niet meer bijsturen door middel van patches. De hackers hoeven dus minder voorzorgsmaatregelen te nemen om detectie en uitschakeling te voorkomen.
Updaten en patchen
Eén van de belangrijkste regels in computersecurity-land is dat je altijd moet patches en up-to-date moet blijven. Na 8 april is dat onmogelijk.
Internetbankieren
De banken hebben kort geleden benoemd dat je je eigen machine waarvandaan je internet bankiert goed bij moet houden, anders ben je zelf verantwoordelijk als er iets mis gaat. Windows XP is niet meer bij te houden en mag dus volgens de regels niet meer gebruikt worden voor internetbankieren.
Daarnaast kunnen banken zien dat je Windows XP gebruikt door middel van informatie die je browser aanlevert aan de webserver (andere sites ook overigens). De verwachting is dan ook dat binnen redelijke tijd dergelijke sites niet meer toegankelijk zijn voor Windows XP gebruikers.
Wat zijn schijnoplossingen?
Firewall
Een veelgehoorde opmerking is dat het mogelijk is om met extra threatscanning op een firewall Windows XP machines toch nog te beveiligen. Dit mechanisme gaat er dan wel vanuit dat er alleen threats van internet afkomen, dit is in de praktijk natuurlijk zeker niet het geval.
Daarnaast ontstaat hier het probleem dat firewall fabrikanten voor het herkennen van threats eigenlijk allemaal gebruik maken van een lijst met vulnerabilities die door Microsoft wordt gepubliceerd. Omdat Microsoft deze vulnerabilities toch niet meer gaat patchen is de verwachting dat deze lijst binnen de kortste keren niet meer actueel zal zijn. Het gevolg daarvan is dat firewall fabrikanten niet meer eenvoudig op de hoogte zijn van alle vulnerabilities en dus niet alle threats kunnen anticiperen.
Intrusion Detection (eventueel met client isolatie)
Intrusion detection is een system dat detecteert dat een bepaalt systeem geïnfecteerd is. Daarna kunnen er eventueel (automatisch) acties genomen worden om een geïnfecteerde systemen los te koppelen van het bedrijfsnetwerk. Het idee is dan dat deze machine door een beheerder wordt gecontroleerd en wordt schoongemaakt. De laatste stap van een dergelijke schoonmaakactie is altijd dat de machine up-to-date wordt gemaakt door middel van de laatste patches. Dit kan met Windows XP na 8 april niet meer, wat intrusion detection geen goede oplossing maakt.
Wat is de juiste oplossing?
Gebruik geen Windows XP meer
De enige juiste conclusie is dat Windows XP vanaf 8 april niet meer gebruikt moet worden, de beveiligingsrisico’s zijn simpelweg te groot. Dit houdt in dat in bedrijfssituaties de machines allemaal geüpdatet moeten worden naar een nieuwere versie van Windows. In thuissituaties houdt het in veel gevallen in dat er een nieuwe computer of laptop gekocht moet worden.
“Ja maar we kunnen nog niet zonder Windows XP oplossing”
Zoals gezegd de enige honderd procent juiste oplossing is om de Windows XP machines zo snel mogelijk weg te werken. In een aantal situaties is het echter onmogelijk om alle Windows XP machines weg te werken. Overigens wordt dit vaak ten onrechte geroepen, dus het is zeker van belang om goed uit te zoeken of het echt noodzakelijk is dat Windows XP blijft draaien.
Als het echt niet anders kan kunnen de onderstaande opties helpen om de risico’s van het doordraaien met een Windows XP machine zoveel mogelijk te beperken.
Schakel internet uit
Ondanks dat niet alle bedreigingen via internet komen is het wel één van de grootste bronnen. Daarom is het verstandig om internet uit te schakelen op Windows XP machines. Dit kan bijvoorbeeld door middel van scripts die alleen uitgevoerd worden op Windows XP machines (default gateway weghalen bijvoorbeeld). Of als er sprake is van statische IP-adressen voor deze machines kan dit op de firewall gebeuren.
Schakel andere media uit
Diskettestations en CD-drives worden bijna niet meer gebruikt dus daar zal de bedreiging niet echt vandaan komen, maar de USB sloten zouden bijvoorbeeld ongeschikt gemaakt kunnen worden voor USB-drives.
Gebruik het werkstation alleen voor één functie
Als bijvoorbeeld een werkstation echt Windows XP moet blijven draaien voor een boekhoudapplicatie dan is het verstandig om andere programmatuur te verwijderen (denk aan het mailprogramma, het officeprogramma en bijvoorbeeld programmatuur om PDF files te kunnen lezen). Het nadeel is dat een medewerker van de boekhouding wel twee werkstations moet hebben, maar als het Windows XP station alleen gebruikt wordt voor die ene applicatie is dat wel veel veiliger.
Conclusie
Het advies van Lantech is: “Zet Windows XP per direct buiten de deur.”
Mocht dat écht niet kunnen, dan denken wij graag mee in een flexibele oplossing om de noodzakelijke applicaties onder Windows XP nog aan de gang te houden. Dit zal echter altijd een tijdelijke oplossing zijn, tenzij het Windows XP station volledig geïsoleerd wordt van alle andere apparaten.
Auteur: Rian van Weeghel | Security Consultant | Lantech BV
