Aktualizácie a cesta do pekla

Práve teraz je perfektná búrka aktualizácií. Okrem zdanlivo nekonečného toku aktualizácií operačného systému (OS) existujú aj aktualizácie aplikácií a teraz aktualizácie hardvéru. Všetci sme si zvykli na mesačné vydávanie opráv do systému Microsoft Windows do tej miery, že každý mesiac očakávame opravu. Ale teraz je toho viac.

Výskumníci v oblasti bezpečnosti odhalili problémy s riadiacim systémom spoločnosti Intel, ktorý žije vo svojom malom OS v procesoroch Intel. Vedci potom zistili vážne problémy so spôsobom, akým procesory plánujú vykonávanie programu, čo viedlo k zraniteľným miestam označeným ako Specter and Meltdown. Meltdown ovplyvňuje bezpečnostné hranice v medzipamäte procesorov, zatiaľ čo Specter je zapojený do špekulatívneho vykonávania a ovplyvňuje všetky procesory, nielen procesory od spoločnosti Intel. (Pre úplný popis si prečítajte Tom Brant je Ako chrániť vaše zariadenia pred tavením, stĺpec Spectre Bugs.)

Takže okrem obvyklých aktualizácií pre Windows a Linux a menej častých aktualizácií pre MacOS teraz vidíme aj aktualizácie procesorov, ktoré ich podporujú. Na jeseň roku 2017 spoločnosť Intel poskytla výrobcom počítačov správy Engine Engine, ktoré potom vydali opravy firmvéru. Potom prišli opravy firmvéru a mikrokódu procesora na opravu Meltdown na procesoroch Intel a do istej miery aj na takmer všetkých procesoroch.

Záplaty Specter a Meltdown sa tiež zobrazujú v softvéri OS, takže 3. januára bola vydaná dôležitá služba Windows Update, ktorá je mimo bežného utorkového sledu opráv. A samozrejme, stále tu bol pravidelný Patch utorok.

Aktualizovať alebo neaktualizovať

Zrazu je tu veľa aktualizácií. Používate ich len tak rýchlo, ako sa ukážu? Odpoveď znie: pravdepodobne nie. Spoločnosť Intel už rieši problémy s niektorými staršími procesormi, ktoré sa po použití opráv začali reštartovať. Teraz existujú správy, že niektoré priemyselné riadiace systémy nefungujú v dôsledku opráv.

Je zrejmé, že by ste mali premýšľať o jednoduchom použití záplat, keď sa ukážu. Ak sa tak nestane, musíte sa tiež obávať dôsledkov. Ako sa rozhodnúť?

Dôsledky rozhodnutia nevykonávať aktualizáciu sú známe. Nesprávna zraniteľnosť nakoniec otvorí vaše systémy jednému z mnohých zneužití a spôsobí stratu údajov a všetky zlé veci, ktoré nasledujú. Z výberu záplaty však vyplývajú aj dôsledky. Okrem problémov týkajúcich sa opráv spoločnosti Intel môžu nastať problémy aj vtedy, keď aktualizácie vášho operačného systému môžu spôsobiť problémy. Musíte ich zvážiť.

Napríklad je možné, že lokálne napísané alebo niektoré vlastné aplikácie nemusia po použití opravy na Windows fungovať správne. V súčasnosti je to veľmi zriedkavé, ale existuje možnosť. Ak máte takúto aplikáciu, musíte ju pred použitím vo všetkých svojich systémoch otestovať.

Problémy sú pravdepodobnejšie, keď je aktualizácia veľká, napríklad keď sa aktualizovalo veľa počítačových systémov zo systému Windows 7 na Windows 10. Potom, napriek tomu, že komerčný softvér by mal zvládnuť prechod, je stále dôležité testovať vykonaním zmeny pár počítačov, než pôjdete celú cestu.

Za normálnych okolností, keď máte čo do činenia s kancelárskymi počítačmi so spustenými kancelárskymi aplikáciami, nie je dôvod nechať aktualizáciu uskutočniť hneď, ako to umožní pracovné zaťaženie osoby, ktorá ju používa. Z aktualizácie vyplýva len malé riziko a riziko, že používatelia niečo urobia, by nemali byť dosť vysoké.

Osobitné úvahy týkajúce sa serverov

Počítače používané ako servery sú iným problémom. Tam je riziko zo strany používateľov o niečo nižšie, ale riziká, ktoré môžu vyplynúť z aktualizácie problémov, sú vyššie. Ak je server nevyhnutný pre vaše podnikanie, sú tu aj náklady na prestoje. V takom prípade je potrebné starostlivo zvážiť proces uplatňovania aktualizácie.

Asi najlepším spôsobom, ako aktualizovať servery, je jeden po druhom, ktorý začína rezervou. Aktualizujete náhradný server a otestujete to. Ak ste si istí, že beží tak, ako by mala, potom server vymieňajte za aktualizovaný. Chvíľu počkajte, kým sa aktualizácia nestane so zvyškom siete a potom ju aktualizujte. V závislosti od toho, koľko serverov máte, to môžete urobiť naraz alebo ich môžete zautomatizovať pomocou softvéru na správu opráv.

Kľúčom je to, že svoje aktualizácie neodkladáte iba navždy. Mnohé porušenia údajov, ktoré boli úspešné v roku 2017 a skôr, boli možné, pretože hackeri využívali zneužitia, ktoré záviseli od neodstrániteľných zraniteľností, ktoré mali k dispozícii aktualizácie a opravy po celé mesiace alebo roky, ale ktoré sa nikdy nepoužili. Vďaka okamžitej dostupnosti vykorisťovaní, ktoré vyvinula spravodajská komunita - a odkedy boli vyradené -, sa riziká, že sa záplata nevyužije, ešte zvýšia.

Ak rozdelíte rozhodovanie, bude to jednoduchšie. Po prvé, okamžite opravte tie systémy, v ktorých je riziko záplaty nízke a riziko záplaty najvyššie, čo zahŕňa vaše kancelárske stroje a všetky počítače, na ktoré sa verejnosť obráti. Ďalej aplikujte opravy a aktualizácie na systémy, v ktorých si môžete dovoliť krátke prestoje, ako sú servery, ktoré môžu ísť cez noc offline.

Nakoniec zvážte prístup náplasti a nahradenia zvyšku vašich systémov, kde máte viac času na testovanie a prestoje sú minimalizované. Opäť poskytnite systémom, ktorý si vymeníte čas, aby ste sa uistili, že sa dobre hrajú v sieti.

Ale nech robíte čokoľvek, nesmiete aplikovať kritické záplaty. Naplánujte ich, aby pracovali podľa vašich požiadaviek, ale jednoducho ich neodkladajte. Nechcete byť ďalšou spoločnosťou, ktorá zasiahne titulné stránky kvôli útoku.