Heresia. Sim eu sei. De qualquer forma, do meu ponto de vista, a Atualização Automática do Windows é para idiotas.
Assim como o argumento “os usuários devem ser forçados a alterar suas senhas com frequência” que não é mais conscienteo argumento “os usuários devem ser corrigidos imediatamente” é baseado em alegações antigas, defeituosas e totalmente infundadas que fazem as pessoas de segurança se sentirem melhor e pouco mais.
Com algumas exceções notáveis, no mundo real, os riscos de ser derrotado por um patch ruim superam em muito os riscos de ser atingido por um exploit que acabou de ser corrigido. Muitos “especialistas” em segurança bufam com essa afirmação. Os poohbahs pregam a Atualização Automática para as massas sujas, enquanto frequentemente se isentam do edital.
Sim, você precisa ser corrigido eventualmente. Sim, sua santa tia Martha, que tem medo de jogar mahjong porque isso quebrará sua Microsoft algo ou outro, precisa estar em atualizações automáticas. Sim, existem patches altamente incomuns (por exemplo, para EternalBlue / WannaCry e BlueKeep) que precisam ser aplicados logo após serem lançados. Mas, na grande maioria dos casos, para a grande maioria dos clientes razoavelmente coerentes do Windows, esperar uma semana ou duas ou três para instalar a última safra de patches do Windows e do Office faz sentido.
A sabedoria convencional que se dane.
Na minha opinião, os paralelos com a tripa “os usuários devem ser forçados a alterar suas senhas com frequência” são manifestos. De volta ao início do tempo das senhas, alguns seguranças bem-intencionados perceberam que forçar as pessoas a alterar as senhas ao longo de um cronograma definido tornaria mais difícil para os bandidos invadirem.
Prazos de validade de sessenta dias cheiram a bom senso, mas eles simplesmente não ajudam. A Microsoft estudou a situação, abandonou as noções preconcebidas e recomendado no final de abril que os administradores parem a prática, chamando-a de “antiga e obsoleta”.
A Microsoft não estudou, até onde eu sei, a heresia “esperar algumas semanas para aplicar atualizações”. É difícil para mim imaginar como testá-lo. Mas ele olhou para algo semelhante, que pode ser quantificado. Em fevereiro, um punhado de pesquisadores da Microsoft mostrou que as chances de ser infectado por malware recém-corrigido são pequenas, em comparação com todas as outras formas de infecção.
Sim, você precisa ser corrigido eventualmente. Neste momento, por exemplo, a antiga vulnerabilidade do Editor de Equações CVE-2017-11882 que foi fixado no final de 2017 está desfrutando de um ressurgimento. Remende. O Buraco EternalBlue SMBv1 não foi embora. Obrigado, NSA. Remende. BlueKeep ainda não foi craqueladomas você definitivamente precisa colocar um garfo nele.
Mas em todos esses casos de alto perfil, as pessoas que esperaram uma semana ou duas ou três para instalar os patches mais recentes não foram mordidas. Na verdade, eu me esforço para encontrar um exemplo recente de uma falha de segurança recém corrigida que se transformou em um malware genuíno do mercado de massa em apenas algumas semanas. Por outro lado, posso apontar para centenas de patches recentes que derrubaram algumas máquinas Windows.
Não estou falando de organizações que guardam segredos de Estado, negociam títulos em tempo real ou calculam o sentido da vida, do universo e tudo mais. Essas grandes organizações têm seus próprios batalhões de segurança que investigam os patches assim que eles saem e milagres falados! eles também não corrigem imediatamente. Em vez disso, eles gastam enormes quantidades de esforço e dinheiro para garantir que os novos patches não danifiquem nada em seus sistemas antes de serem lançados.
Se você não tem uma equipe de especialistas em segurança à sua disposição, você pode querer considerar fazer a mesma coisa que eles estão fazendo, mas, em vez de gastar milhões em equipamentos de teste e droides, apenas sente-se e espere e ouça o uivos de dor das pessoas que instalam as atualizações com bugs. Pense nisso como depuração de patch de crowdsourcing.
Se os patches da Microsoft estivessem incompletos quando lançados, isso seria um exercício acadêmico. O fato é que os patches do Windows continuam estragando, muitas vezes de maneira devastadora. Embora seja absolutamente verdade que apenas uma porcentagem presumivelmente pequena de usuários do Windows é atingida por qualquer bug específico, o volume de bugs é enorme. Não acredita? Veja os últimos dois anos de patch whack-a-mole documentado em minhas colunas mensais.
A Microsoft ainda não confessou o erro de seus caminhos, pelo menos, não na medida em que soou um alarme de calibre de “mudança forçada de senha”. Podemos nunca obter uma declaração definitiva sobre “bugs como serviço”. Mas estamos vendo algum progresso.
Dois meses atrás, o MVP da Microsoft Mike Fortin postou um anúncio no blog do Windows que promete que os clientes do Win10 1803 e 1809 terão a chance de atrasar as atualizações forçadas para a versão 1903 usando o chamado recurso “Baixar e instalar”. Desde então, ouvimos dizer que 1803 clientes não terão tanta sorte de serem forçados a entrar em 1903 a partir deste mês, embora 1803 não chegue ao fim do prazo até novembro. Não está claro qual vai enfrentar qual shove, mas pelo menos há uma abertura oficial para melhorias.
Também vimos as configurações do Windows Update do Win10 1903 gerarem uma nova opção, para as versões Pro e Home: a partir deste momento, de qualquer maneira, você pode clicar em um botão no Windows Update 1903 que atrasará todas as atualizações por sete dias. Clique no botão novamente e você adiciona mais sete dias. Você pode clicar até cinco vezes, com cada ocasião adicionando mais sete dias. Pela primeira vez, os usuários do Win10 1903 Home têm algum controle sobre as atualizações forçadas. Bravo.
Ao mesmo tempo, as configurações das opções de atualização do Win10 1903 (somente Pro, não em Home) foram alteradas para eliminar o desfasamento atual do canal de negócios/semi-anual que passou por uma dúzia de alterações desde que o Win10 chegou. Infelizmente, neste momento, fazer qualquer escolha na página para adiar os resultados da atualização em todas as suas opções vão AWOL.
Eu estou supondo que esse comportamento é um bug um dos muitos em 1903 e não tenho certeza de qual comportamento acabará por abalar. Independentemente disso, a fácil disponibilidade de adiamentos de atualização/atualização, mesmo no Win10 1903 Home, é um sinal claro de que a Microsoft está se afastando de sua postura linha-dura de “os usuários devem ser corrigidos imediatamente”.
Isso é progresso. Pena que muitos na comunidade de segurança não vejam o que está escrito na parede.
Se você quiser seguir o conselho “antigo e obsoleto” para habilitar a atualização automática e instalar os patches no minuto em que estiverem disponíveis, ei, acho isso ótimo.
Quando você encontrar problemas com patches rebeldes, confie em mim, você nos contará tudo sobre isso é AskWoody.
