W ciągu ostatnich dwóch miesięcy dwie duże firmy antywirusowe spowodowały niemały chaos na systemach użytkowników PC. Przyczyną były niepoprawne aktualizacje, które wskazywały, że programy wchodzące w skład Windows, takie jak explorer.exe, są “szkodnikami”.
W sierpniu mieliśmy okazję się przekonać, że McAfee dzięki swojej aktualizacji z poniedziałku, 4-tego, uznał, że Office Live Meeting Microsoftu jest trojanem. Chodziło o plik LMCAPI.exe, komponent Live Update. Osoby, które miały okazcję otrzymać taką niespodziankę od McAfee dowiadywały się, że program dostarczany przez Microsoft jest szkodnikiem o nazwie Swizzor. W rezultacie plik był kasowany.
Mimo, że jak potwierdziła to firma w oficjalnym komunikacie prasowym, problem dotknął jedynie małego procenta użytkowników, administratorzy systemów musieli dystrybuować nowe wersje Live Update, a także poprawiony plik DAT dla skanera.[1][2]
Inny przypadek zdarzył się w piątek, 5-tego września, kiedy Trend Micro zidentyfikował wiele kluczowych elementów systemu Windows jako trojany. W rezultacie utraty kluczowych plików system stawał się niestabilny, nierzadko powodując restart maszyny. Trend poprawił swój błąd jeszcze tego samego dnia, ale zostawił wielu użytkowników z problemem naprawy systemu operacyjnego.
W tym wypadku, Trend Micro Internet Security wskazywał na robaka Troj_Generic.ADV, jakoby znajdującego się w wielu plikach DLL. Efektem mogł być brak paska zadań, wiele aplikacji uruchamiających się przy starcie nie uruchamiało się, aplikacje takie jak Word czy Excel pokazywały różne błędy.[3]
To tylko dwa przykłady, z całej palety błędów producentów oprogramowania antywirusowego. Do klasyki można zaliczyć Kasperskiego traktującego Windows Explorer jako szkodnik, AVG podobnie traktującego Adobe Reader, a CA i McAfee nie pozwalającego na uruchomienie nieszkodliwego kodu JavaScript.
Problem zdaje się nie istnieć na pojedynczych komputerach domowych, choć może być bardzo dokuczliwy. Prawdziwy problem dotyka firmy, które instalują oprogramowanie antywirusowe na wszystkich komputerach w firmie. W takim wypadku, incydent z Trend Micro mógłby zakończyć się prawdziwym paraliżem niejednego biura.
Jest kilka metod, które mogą zabezpieczyć nas przed wpadkami innych firm. Jedną z nich jest dystrybuowanie uaktualnień z własnego systemu, nie z systemu producenta (na zasadzie działania Windows Update + SMS’y). Przy takim rozwiązaniu warto posiadać komputer, na którym mamy zainstalowane wszystkie najpopularniejsze programy używane w firmie i traktować go jako poligon doświadczalny dla nowych aktualizacji.
Tja, i dodatkowy etat dla człowieka, który zrobi testy tego softu po każdej aktualizacji:
- adobe,
- office,
- AV,
- LOBy,
- system.
Szczególnie, że zarządzanie zmianą jest procesem (a aktualizacje softu są zmianą). Niestety w praktyce admina - szczególnie kiedy pamiętam wspaniałe case study MSa 1 admin ileś tysięcy stanowisk (z promo 2003 servera) brak na to czasu - albo nie łatamy wogóle, albo (szczególnie w AV) rzuca się łaty na wybraną grupę userów i patrzy czy zmiana zadziałała negatywnie czy nie. W tym drugim wypadku dorzuca się paczkę na pozostałe grupy.
Oczywiście poważne zmiany w LOBapp muszą być zarządzane i opisywane, ale system? Who da … carez ’bout da system, mate?
@vermin: znasz alternatywe?
Co ciekawe - wydaje się, że tak - tyle, że nie skalowalną do enterprise do końca. Odraczać aktualizacje na systemach backendowych przerzucając siły na zdublowane entry-pointy z zewnątrz/pomiędyz segmentami, gdzie passive failover jest aktualizowany później.
Zalety: Jak coś poleci to “najwyżej” przejdziemy na drugą nogę, mamy system działający, drugi odtwarzamy migiem z backupu (mamy wszak snapshoty FSa, prawda?),
Wady: Koszt infraastruktury (ale tu virtualizacja pomaga) i wyższe koszty maintenance (dwie polityki aktualizacji, domyślne wyłączenie rut przez węzły pasywne i w związku z tym chociaż skrypty do utrzymania HA, nie mówiąc o kosztowniejszych cudach).