Beheer

IT beheer
bureaublad Windows XP

'Veilig' doormodderen met XP

Windows XP valt straks uit de support. Hoe er nog veilig mee door te werken.

© Microsoft
7 maart 2014

Microsoft stopt de ondersteuning van Windows XP op 8 april aanstaande. Miljoenen ­gebruikers zullen niet op tijd zijn overgestapt naar een nieuwere versie van Windows. Dit geeft hackers vrij spel om te profiteren van gaten in het bijna 13 jaar oude ­besturingssysteem. Met deze tips werk je toch nog redelijk veilig door met XP.

De schattingen lopen uiteen. Begin februari constateerde Kasperksy nog dat 16,72 procent van de gebruikers van zijn producten wereldwijd gebruik maken van XP Professional. Van de Home Edition van XP maakt bijna 2 procent nog gebruik. Netmarketshare gaat zelfs uit van bijna 30 procent van de pc’s wereldwijd. Nederland doet het relatief goed volgens Microsoft met een percentage van ongeveer 10 procent dat met XP blijft werken. Maar dat zijn niet bepaald alleen kleine bedrijfjes en consumenten. Nieuwssite Nu.nl meldde enkele weken geleden nog dat een derde van alle Nederlandse gemeentes ook na 8 april nog met XP zal werken en daar zitten ook grote steden bij als Den Haag, Utrecht en Amsterdam. Hoe al die miljoenen gebruikers veilig denken door te kunnen werken, is maar in een enkel geval duidelijk. Eén optie is Microsoft te betalen voor het alsnog uitbrengen van beveilgingsupdates. Daarvoor kunnen organisaties individueel een contract afsluiten met Microsoft. Een dure grap is dat wel. De Ierse overheid bijvoorbeeld – waarvan nog zeker vier ministeries niet op tijd zijn overgestapt – betaalt 3,3 miljoen euro om nog 12 maanden verzekerd te zijn van beveiligingsupdates voor XP.

Stap over!

Overstappen naar een andere Windows-versie blijft daarom het meest gehoorde advies. Microsoft roept het al een paar jaar. Maar ook de Nederlandse politie, en dan met name het Team High Tech Crime, benadrukt dit. Het THTC is er van overtuigd dat er een opbouw van Windows XP-exploits in de digitale onderwereld plaatsvindt. Verwacht wordt dat zodra de ondersteuning is gestopt een niet te stuiten reeks aanvallen gedaan zal worden.

Ook China wil om precies dezelfde reden dat Microsoft langer XP blijft ondersteunen; in China draait nog zeker een kwart van de systemen hierop. Enkele zeer grote Chinese IT-bedrijven, zoals Tencent, Sogou en Kingsoft, zullen gezamenlijk zeker twee tot drie jaar technische ondersteuning geven aan Chinese organisaties die nog met XP werken om een beschermingshaag op te zetten rondom die XP-gebruikers.

Of dat voldoende is, moet nog blijken. Martijn van Lom, general manager Kapsersky Benelux & Nordic, wijst erop dat ook andere softwareleveranciers dan Microsoft de ondersteuning op hun eigen producten stopzetten. “Dus niet alleen is het besturingssysteem kwetsbaar, ook applicaties van derden zijn dat. Hierdoor wordt de kans dat je systemen worden geïnfecteerd aanzienlijk groter. Het is in feite een kettingreactie die alleen voorkomen kan worden door naar een nieuwere versie van Microsoft Windows te migreren.”

Geen verbindingen

Voor wie die mogelijkheid niet heeft, zijn er toch methodes om enigszins veilig gebruik te maken van XP. Walter Belgers, directeur bij beveiliger Madison Gurkha, adviseert te zorgen dat er geen verbindingen opgezet kunnen worden met machines die nog onder XP draaien. “Zorg ervoor dat er geen XP-machines worden ingezet om bijvoorbeeld bestanden te openen. Moet er toch gebrowset worden, dan kun je een aparte serverfarm opzetten met bijvoorbeeld Citrix van waaruit dat kan. Maar dat kan kostbaar worden, zeker als sprake is van een groot aantal systemen dat nog onder XP draait.” Een wat goedkopere oplossing is afscherming van het netwerk met een firewall of met aparte VLAN-netwerken.

Om het effect van mogelijke virusuitbraken te verkleinen is het volgens Belgers verstandig om intern de diverse afdelingsnetwerken te segmenteren. “Dat betekent: elke afdeling heeft een eigen netwerk dat is afgescheiden van de netwerken van andere afdelingen. Er zijn dus geen IP-verbindingen tussen. Dat kan bijvoorbeeld met firewalls. Het is bovendien sowieso verstandig om de netwerken gescheiden te houden, ook als je niet met XP werkt.”

Daarnaast raadt hij detectie-tooling aan. “Daarbij gaat het om logs die gevolgd worden. Er zijn ook appliances die detecteren of er verbindingen met gehackte systemen (command and control servers) gelegd worden. Zo’n verbinding is een aanwijzing dat er mogelijk geïnfecteerde systemen zijn. Dan heb je het niet voorkomen, maar ben je er wel snel bij en kun je de schade beperken.”

Belgers stelt wel nadrukkelijk dat dit ‘pleisters’ zijn. “Overstappen is toch echt het verstandigst. Voor een enkeling wordt dat heel moeilijk, maar ik vind het erg jammer dat er nog zo veel organisaties zijn die er te lang mee hebben gewacht.”

Een muur

Alex Warmerdam, directeur van WarMass Automatiserings Consultants, schetst enkele andere mogelijkheden voor organisaties die XP toch moeten of willen blijven gebruiken.

“Bouw er een muur omheen. Identificeer de mogelijke bedreiging. Kijk waar die vandaan kan komen. Sluit die toegang af. Zorg dus dat externe invloeden er niet meer bij kunnen. Een kassasysteem bijvoorbeeld dat niet in aanraking komt met gegevens van buitenaf, is van de problemen af. Bij de Amerikaanse winkelketen Target konden tientallen miljoenen klantgegevens gestolen worden doordat de onderhoudsmonteurs van de verwarming bij het kassasysteem konden. Sluit je die mogelijkheid af, dan is het veilig.”

Dat kan ook met gevirtualiseerde systemen, maar alleen als het gaat om specifieke applicaties waarbij die applicatie geïsoleerd wordt in zijn eigen sandbox. De machine kan dan onmiddellijk geïsoleerd worden als er gevaar dreigt. Zo kan de toegang beperkt worden tot de onderliggende harde schijf van het systeem en bepaalde bestanden. Infecties worden hierdoor tegengegaan. XP moet dan bovendien ontdaan worden van alle componenten die niet nodig zijn om die specifieke applicaties te laten draaien. Warmerdam wijst er op dat hierbij interactie tussen die applicatie en andere programma’s niet meer mogelijk is, waardoor het gebruik van virtuele machines in deze opzet zeer beperkt is.

Als tweede mogelijkheid zijn er de speciale firewalls die diverse fabrikanten op de markt hebben gebracht. Deze kunnen voor een netwerk geplaatst worden om met de gebruikelijke beveiligingsmethodieken bedreigingen buiten het netwerk houden. “Het zijn dezelfde methodieken die bij corporate firewalls worden gebruikt om beveiligingsbedreigingen af te vangen, maar dan in een verkleinde vorm. Ze zijn wel kostbaar”, waarschuwt hij. Voorbeelden zijn de Tofino Security Appliance van Tofino Security. De Hirschmann Industrial Firewall System van Hirschmann en de Connexium Industrial Firewall van Schneider-Electric.

Patch en verwijder

Sean Sullivan, security advisor bij beveiliger F-Secure, heeft een serie praktische aanwijzingen waarmee hardnekkige XP-gebruikers “redelijk veilig” kunnen laten doorwerken.

Google en Mozilla hebben wel toegezegd hun browsers Chrome en Firefox te blijven ondersteunen tot eind 2015. Dat is wel zo prettig in het licht van het advies over te stappen op een andere browser dan Internet Explorer. Microsoft stopt namelijk op 8 april óók met de ondersteuning van Office (Server) 2003 en met IE2003. Die laatste browser zal dus ook snel verworden tot een gatenkaas en kan dus maar beter snel worden vervangen. Probleem is echter dat nieuwere versies die nog wel ondersteund worden door Microsoft, niet meer goed werken met Windows XP.

Antivirus wel up-to-date

Microsoft mag er dan mee ophouden, de meeste grote leveranciers van antivirussoftware blijven wel nieuwe updates uitbrengen voor XP-systemen. AV-TEST, dat antivirussoftware test, heeft dat bij de leveranciers geïnventariseerd.

De meeste leveranciers blijven dat zeker nog twee jaar doen en wellicht langer mits dat technisch mogelijk blijft en er genoeg vraag naar blijft bij gebruikers. Trend Micro denkt zeker tot 2017 door te gaan en Webroot verwacht zelfs tot april 2019 updates te blijven leveren. Alleen Avira en ThreatTrack stoppen er na april 2015 mee. Sophos stopt eind september 2015.

Adviezen van de werkvloer

Senior systeembeheerder Bonno Bloksma:

  • “Ik denk niet dat een website meer gevaar loopt door een gehackte Windows XP-machine dan door een hacker die die server benadert. Tenzij... die server grotendeels dicht staat en de hacker er niet bij kan, anders dan via een gehackte XP-machine die wel bij die server mag. Dat laatste wordt straks een stuk makkelijker.”

Martijn Bellaard, security architect:

  • “Banken (gaan) weigeren zaken te doen met iemand die gebruik maakt van een Windows XP-machine.” Een andere browser kan een oplossing zijn, maar niet altijd.
  • Meer XP-systemen zullen in botnets worden ‘gevangen’. Wie gebruik maakt van XP, gebruikt vaak ook verouderde apparatuur: servers, firewalls. “Vaak is dit een trend in hun gehele ICT-beheer. Voor zulke organisatie is een upgrade van de werkplek alleen niet genoeg. Dit gaat verder.”
  • Update van XP-systemen die fabrieksmachines aansturen is vaak niet mogelijk of zelfs toegestaan.”Deze machines hebben een internetconnectie voor onderhoud op afstand of monitoring door de leverancier. Bedrijven zullen dus nog beter moeten nadenken over hoe ze deze machines aan het internet koppelen.”

ICT-adviseur Guus Brugman:

  • XP-systemen die toch toegang moeten krijgen tot internet, kunnen dat het beste zonder lokale admin-rechten doen. De lokale firewall moet ingericht worden op louter toegestaan bekend verkeer en de centrale netwerk firewall moet per definitie alle verkeer van XP-systemen blokkeren met een group policy. “In ieder geval zul je je netwerk in zones of VLans moeten opsplitsen om ongewenste uitwisseling tussen XP en nieuwere systemen te voorkomen.”
 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!