Gepubliceerd: Maandag 6 juli 2009
Een update van McAfee antivirussoftware is voor sommige pc's en servers uitgedraaid op een drama. De combinatie van verouderde engine en false positives laat systemen crashen.
Toon volledig artikel
Volgens een post op het forum werd alle schuld te snel bij McAfee gelegd, terwijl mensen weigerden de fout bij zichzelf te zoeken. Dat was namelijk wel het geval, omdat ze hun antivirus-engine niet up-to-date hadden gehouden. Sinds de 5100-engine zijn er al twee nieuwe releases geweest. In de tussentijd waren hun computers onbeschermd tegen de laatste dreigingen, aldus forumposter Mal09.
Euhm? Vrijwaart dat McAfee om andermans systemen op te blazen?
Alle software moet je updaten, vooral 3rd party rommel (zoals Adobe Reader bijvoorbeeld). Je moet tenslotte ook je auto na een aantal km's controleren op olie, bandjes, etc. Is het dan zo gek om je scan engine van een update te voorzien? Sinds juli 2007 is de 5200 reeds beschikbaar en de meest recente (5300) sinds juli 2008. Voor de VSE7x of hoger versie vind ik het merkwaardig, omdat deze automatisch de scan engine update. Als je ePO gebruikt moet je dus moetwillig de engine downgraden, anders wordt die ook automatisch geupdate.
Op mijn werk gebruiken we ook ePO voor diverse klanten. Wat blijkt;
Een flink percentage van de laptops/PC's blijft achter omdat ze een tijd niet aan het netwerk hebben gehangen of niet zichtbaar zijn omdat ze achter een externe firewall hangen. Er wordt flink geklooid door eindgebruikers want die virusscanner is alleen maar lastig.
Applicatie-servers mogen van de klant vaak niet ge-upgraded worden uit vrees dat dan de applicatie vastloopt.
Ik heb niet zo'n medelijden met een klant als hierdoor zijn machines vastlopen.
Moet er wel bij zeggen dat AV bij het management van veel ICT-bedrijven niet zo heel belangrijk wordt geacht. Pas als er een uitbraak is wordt er moord en brand geschreeuwd. Ik zie veel omgevingen met slecht functionerende ePO-servers door missers in het design en tekortkomend (McAfee) kennis. Het mngt wil graag dat iedereen flexibel inzetbaar is dus is er weinig tijd voor verdieping en specialisatie.
Ook de fragmentatie van werkzaamheden binnen grote IT-bedrijven, outsourcing, budget-per-afdeling dragen hier aan bij.
Kortom, in dit geval ligt de zwarte Piet zeker niet bij McAfee
Je gaat mij toch niet vertellen dat als een laptop 2 jaar geen contact kan maken met de ePO server dat hij niet automatisch gaat updaten via een beschikbare internet verbinding? Dit is gewoon een standaard policy in ePO, dus die moet je verwijderen als je dat wilt doorvoeren. Daarnaast kunnen gebruikers niet veel met de VSE als je de ePO policies instelt, zoals het uitzetten van de console, wachtwoorden op de settings, etc. Zeker als je meerdere klanten hebt is het een kwestie van één keer policies maken, exporteren en bij de ander importeren. Dat is minuten werk. Toch blijven we het hier over de engine hebben en is een upgrade niet nodig. De engine werkt ook op VSE6.x, dus helemaal snappen doe ik dit argument niet.
Ik zou toch eens met mijn baas gaan praten over dat ze een verdiensten laten liggen bij jullie klanten. Ik weet zeker dat als je een klant uitlegt waarom dat ze overstag zullen gaan. Daarnaast werkt het alleen maar in je voordeel als je de klant inlicht. Als zij dan weigeren en het gaat fout, dan laat je zien dat jullie alert waren en dus een goed ICT-bedrijf.
Je gaat mij toch niet vertellen dat als een laptop 2 jaar geen contact kan maken met de ePO server dat hij niet automatisch gaat updaten via een beschikbare internet verbinding? Dit is gewoon een standaard policy in ePO, dus die moet je verwijderen als je dat wilt doorvoeren.
Je hebt het over de fail-back-repository. Natuurlijk staat die ingesteld en neemt die de proxy-instellingen van IE over. Maar toch zijn er zat mensen die het in de praktijk presteren om hun scanner niet te upgraden.
Er zijn ook veel problemen met VPN gebruikers. De ePO-client wordt actief bij het opstarten en wil gaan communiceren tijdens het lokaal-inloggen. Daarna wordt pas de VPN connectie opgebouwd. Als de gebruiker zijn laptop binnen een uur (default agent communicaion interval) weer uitzet of van de VPN haalt heb je geen upgrade. Die agent comm. interval wil je ook weer niet te kort zetten, dat geeft weer andere narigheid.
Daarnaast kunnen gebruikers niet veel met de VSE als je de ePO policies instelt, zoals het uitzetten van de console, wachtwoorden op de settings, etc..
Dat heeft niet zo veel zin. Een ePO-agent zal, ook offline, elke 5 minuten (default) de binnengehaalde policies aan de geinstalleerde McAfee tooling opleggen.
Mutaties aan instellingen die centraal door ePO zijn opgelegd worden zo hersteld. Het dichtzetten van de console e.d. maakt het voor de gebruiker lastig/onmogelijk om extra scan-taken toe te voegen. Ook bij klanten waar dit dicht is gezet zie ik vreemde dingen.
Zeker als je meerdere klanten hebt is het een kwestie van één keer policies maken, exporteren en bij de ander importeren.
Dat gaat in de praktijk toch anders. De klant is koning en degene die de ICT-zaken aan de klant verkoopt zegt te snel...ja. De beheerders mogen dan later gaan vertellen dat het toch anders moet.
Er wordt vanuit beheer continu gepraat over standaardisatie. Efficient werken heet dat. Ik heb echter al te vaak gezien dat als de klant iets wil, en de beheerders met goede argumenten dat afraden, het toch wordt doorgezet.
Elk (ICT) bedrijf probeert zoveel mogelijk klanten binnen te halen. Degene die dat doen worden niet altijd gehinderd door technische kennis. Die bonus lonkt wel erg en ach, het contract is binnen...de beheerders mogen het verder oplossen.
Het blijft allemaal mensenwerk, ook een engine upgraden.
Wat een onzin-redenatie. Als de schuld wordt gelegd bij de oude engines, dan moet de update zo aangepast worden dat oude engines niet de nieuwe updates downloaden, of alleen een beperkte set downloaden. De schuld bij de klant leggen is een marketing-blunder, hoewel deze opmerking niet van McAfee zelf afkomstig is geloof ik.
AV-software wordt continue aangepast aan de laatste infectie-methoden. Het eindeloos downwards competable houden van nieuwe versies leidt ook tot ellende.
Moet je zien hoelang we bij Microsoft nog met DOS en 16 bits code in de kernel hebben gezeten. Zit nieuwe ontwikkelingen goed in de weg. MS lacht je ook uit als je nu nog met Windows 95 aan komt zetten.
Da's wel een heel botte manier om je klanten tot upgraden te bewegen ;-)
McAfee, binnenkort history...
Dit is natuurlijk inderdaad geen goed argument om wel nieuwe virusdefinitie files te pushen naar die versie die niet meer ondersteunt wordt.
Als je virusdefinites blijft pushen moet je ze testen. Als je ze niet meer test push dan ook geen nieuwe virusdefinities en zorg dat de gebruiker genagd wordt om een nieuwe versie te nemen of andere security software te installeren.
Dom dat men nog steeds kiest voor een operating systeem die een virusscanner nodig heeft. (hoe bedoel je gaar OS)
En evenzo dom om te denken dat andere OS-en imuun zijn. En zo mogelijk nog dommer om de zoveelste "Mijn OS is beter" of "Windows zuigt!" discussie te starten.
En evenzo dom om te denken dat andere OS-en imuun zijn.
In de praktijk blijkt dat een Mac of Linux-pc jarenlang betrouwbaar functioneert zonder virusscanner en dat ook nog eens zonder trager te worden. Let wel, we hebben het hier over de tegenwoordige tijd, niet over een (virtuele) toekomst waarin Mac's of Linux-pc's de overhand hebben.
Overigens gedijen virussen/trojans/malware veel beter in een monocultuur.
Een van de redenen waarom ik Windows vaarwel heb gezegd: beveiligingssoftware die meer problemen veroorzaakt dan ze oplost. Dit is zeer zeker niet de eerste keer dat een grote speler op dit vlak een onbestaanbare flater slaat.
Waar het om gaat is dat je Als Windows gebruiker eigenlijk niet zonder anti-malware software kunt vanwege de inherent gebrekkige beveiliging van Windows. Het 'heuristic scanning' principe van anti-malware software die altijd valse positieven zal opleveren, en de mislukte updates zoals in dit geval levert elk jaar weer een dergelijk niet-kunnen-booten-door-virusscanner-update nieuwsbericht op.
Gewauwel? Fijn dat je zo'n kwalificatie verder niet onderbouwt. Goede basis voor een respectvolle gedachtenwisseling.
Mijn ervaring over de afgelopen 15 jaar is dat antivirusproducten een stevige aanslag plegen op de performance van je systeem, je nooit de feitelijke kwaliteit van het product kunt beoordelen, deze producten heel diep in de werking van je OS ingrijpen (nodig om hun werk te doen) en daardoor een groot risico geven op instabiliteit.
Het voordeel van de twijfel op dat gebied zijn ze bij mij al sinds vorige eeuw kwijt: antivirussoftware veroorzaakt in de praktijk gewoon een hoop problemen. Dat heb ik op de lange termijn in verschillende professioneel beheerde omgevingen van groot tot klein van nabij mogen aanschouwen. Dus ofwel er is iets aan de hand met deze categorie software, of werkelijk alle ICT-teams die ik de afgelopen 15 jaar heb gezien waren incompetent.. ik neig sterk naar optie 1.
Zo te zien kan jij er niet goed tegen dat Linux geen last heeft van virussen en jouw favoriete systeem wel.
Pardon: Linux lijkt op Unix, uit de jaren '70. En dos is daar de jaren '80 parodie op. Een parodie die Microsoft nooit meer te boven is gekomen. We zijn nu meer dan 25 jaar verder. En nog staan de slashes de verkeerde kant op. De grap is er voor mij een beetje af.
" Those who do not understand UNIX are condemned to reinvent it, poorly. "
Henry Spencer.
Bron: (The) Advanced Bash-Scripting Guide Version 3.8 - see: biblio.html
Hoewel dit in het geval van *BSD en Linux natuurlijk niet echt opgaat, deze systemen zijn IMNSHO eigenlijk veel beter dat het originele Unix. Waarbij *BSD het veiligst is - maar Linux de best trade-off blijkt tussen veiligheid, stabiliteit en gebruikers/installatie-vriendelijkheid ! :-)
En wat betreft "virus-scanners" en dergelijke het systeem vertragende/belastende/instabiliserende zaken - die hebben deze Open_Source systemen niet eens nodig, zoals het ook behoort op een "well engineered system" - maar dat wist u allemaal als ervaren ICT-ers (!=ms-er) natuurlijk allang... Nu ja, behalve dan degenen die dit, ehh, "bewust" niet willen weten, wat natuurlijk absoluut hun goed recht is. ;-)
Aangezien ik met Mac OS-X werk, is AV software mij vreemd.
En alsjeblieft: geen opmerkingen graag over struisvogels.
Het gaat nu even over een fout gelopen update.
Bij in ieder geval Apple is dat veel beter geregeld. O.a. doordat je via het programma "software update" zelf bepaald wat je installeert. Ik wilde laatst de laatste versie van iTunes installeren, maar kreeg toen de melding dat ik eerst de laatste security update moest installeren. Kijk, dat is vast niet voor niets geweest.....
Maar je hebt het hier wel over een update van Apple software op ee Apple OS. Dat is totaal iets anders dan hier het geval is.
Wat hier gebeurd is heeft ook niets te maken met Microsoft, maar is weer eens een screwup van Mcafee.
Tuurlijk heeft het met windows te maken. Windows kan niet zonder antivirus. Mcafee probeert onvolkomenheden in windows te repareren en dat gaat we eens mis.
Dus als jij water ipv benzine in je auto gooit is het de schuld van autofabrikant als de auto er mee stopt?!? Natuurlijk, volkomen logisch...
Als je als autofabrikant je auto zo aflevert dat elke willekeurige voorbijganger er water in kan donderen, ja dan is het de schuld van de autofabrikant. Mijn auto heeft een slot op de benzine dop, die ik alleen kan openen.
Bizar hoor dat jij de autofabrikant aansprakelijk stelt als iemand anders nota bene water in je tank gooit. Maar goed dat jij geen rechter bent, anders waren er helemaal geen fabrikanten van auto's meer geweest. Het heeft namelijk tot halverwege jaren 80 geduurd voordat men zachtjes aan begoin de "slot-patch" door te voeren...
de meeste tanksloten zijn erg simple van opzet. Moderne wagens hebben dit vaak gekoppeld aan de automatische sloten waardoor je tankdop open kan zolagn de wagen open is. Allemaal redenen om iedere voorbijganger extra in het oog te houden in jouw optiek. Ze zouden toch eens water in je tank kunnen doen.
Maar jouw oplossing is nog beter je koopt een electrische auto en gaat daarmee de woestijn in ;) ( je neemt vast een verlengkabel mee) Voor de zekerheid neem je toch maar een hybride ( bootcamp,dual boot met Windows) zodat je overal makkelijk terecht kunt. Daarmee heb je meteen het huidige succes van Apple verklaard ;)
Analogieën zijn problematisch omdat ze meestal niet precies passen op het oorspronkelijke onderwerp. Zo ook hier.
1. Het saboteren van een auto levert geen aanmerkelijk gewin op voor de saboteur. Bij PC's is dit wel het geval door bijvoorbeeld de vorming van een botnet, of het ontvreemden van financiële informatie.
2. Het is lastig om in korte tijd grote aantallen auto's te controleren op een openstaande tankdop. Bij PC's kun je praktisch ongezien duizenden "tankdoppen" per uur controleren.
Verder is het gebruik van een elektrische auto in de woestijn helemaal niet zo'n groot probleem. Juist in de woestijn is het relatief eenvoudig op op basis van wind- en zonne-energie zelfvoorzienende oplaadpunten te realiseren. Dat die infrastructuur er (nog) niet is, is niet relevant voor de kwaliteit van de elektrische auto als vervoermiddel. Het is eerder kenmerkend voor een markt die nog in de kinderschoenen staat.
Wat de Windows/UNIX-discussie betreft qua veiligheid, die is betrekkelijk eenvoudig. Uitgaande van een schone installatie is UNIX beter bestand tegen aanvallen van buitenaf dan Windows, simpel gevolg van de ijzeren wet die gebruikerscomfort inruilt tegen veiligheid en de keuze voor veiligheid in de UNIX-wereld tegenover comfort in de Windows-wereld. Beide systemen laten zich na installatie maken of breken door het beheer eromheen.
Echter: Windows heeft het nadeel dat veel van de gebruikte beveiligingssoftware ingrijpt in de kernel van het systeem terwijl die kernel een black box is. Dat is riskant, wat in de praktijk ook blijkt. Microsoft is niet voor niets bezig met een set API's die dit soort ingrepen in goede banen moet leiden. Antivirussoftware wordt pas stabiel wanneer de makers netjes de API's gebruiken, al zal dat lastig blijven omdat malware zich nu net niet op deze gebaande paden begeeft.. Kip, ei.. wie zal het zeggen?
Vandaar dus dat ik meer vertrouwen heb in een wat spartaans maar veilig opgezette UNIX-omgeving. De modulaire opzet van Windows Server 2008 geeft wel wat meer vertrouwen, waarbij ik het wel grappig vind te zien dat dat product feitelijk een hoop lessen trekt uit het verleden van UNIX en er dus steeds meer op gaat lijken.. in de hoop dat Henry Spencer in dit geval ongelijk zal krijgen.
Zonder nu de hierboven benoemde analogie verder uit te melken, het is natuurlijk onzinnig om en fabrikant de schuld te geven van een passant die water in je tank gooit.
Dat er sinds de doorbraak van het internet duizenden hackers hun dagbesteding maken van het inbreken in willekeurige pc's van diverse merken en OS sen had in 1995 niemand vermoed. Tenminste niet in die mate als nu gebeurt. dat een laagdrempleig OS zoals windows, wat van oorsprong niet gemaakt was voor netwerk gebruik, daarbij het grootste slachtoffer werd is een feit. Inmiddels is er veel aangepast en is het veilig geworden en is het bewustzijn van veel gebruikers aanzienlijk gestegen. Tenslotte is ook een prima afsluitbare tankdop die je niet op slot doet de zwakheid die elk OS in zich heeft.
Je oplaadpunten in de woestijn zijn voer voor een andere discussie, dat lijkt me teveel OT.
Of Microsoft in 1995 had kunnen voorzien dat netwerk-PC's een grote vlucht zouden nemen, is twijfelachtig. Bill Gates zelf gaf in 1996 'The Road Ahead' uit, een boek waarin hij zijn visie op een door internet verbonden wereld ontvouwt. Die visie moet al een tijdje binnen MS geborreld hebben voordat 'ie in boekvorm beschikbaar kwam. Bovendien was concurrent OS/2 Warp sterk gericht op connectiviteit, net als Sun met z'n slogan "The network is the computer" en Microsoft zelf met zijn "Where do you want to go today?". De geesten waren er over de hele linie rijp voor, alleen wilde MS graag een eigen 'walled garden' opzetten in de vorm van het CompuServe-achtige Microsoft Network (het latere MSN). Dat heeft er een paar jaar over gedaan om definitief te mislukken, maar het idee heeft in Windows 98 bijvoorbeeld wel sporen nagelaten (active desktop, een MSN-ikoontje op je bureaublad). Het MSN-plan heeft Microsoft ervan weerhouden ook maar een stap te zetten richting internet. Dat is een stevige inschattingsfout geweest, en de ontstane blinde vlek heeft Windows 9x/ME altijd achtervolgd.
Anderzijds hebben ze op tijd ingezien dat Win9x geen toekomst had in een serieus netwerk. Windows NT is vanaf het begin gebouwd met een sterke visie op netwerken in het achterhoofd (ACL's op alle objecten, een sterk multi-user filesystem). Het is daar aan de basis ook erg geschikt voor, en zeker in staat de concurreren met UNIX. Alleen de focus op consumenten heeft de veiligheid van het product door de jaren heen geen goed gedaan. Steeds meer riskante subsystemen kregen een intieme verhouding met de kernel, en de voor die tijd werkelijk fantastische ACL-implementatie werd niet voldoende afgedwongen waardoor jan en alleman als admin ging draaien omdat applicatiesoftware dat maar nodig vond of dat vanuit Win9x gewend was. Daar is het fout gegaan.
Kortom: de marketingmachine van Microsoft heeft de technologisch erg sterke NT-architectuur ruim voortijdig de das omgedaan. Het had zoveel beter uit de verf kunnen komen. Geloof het of niet, maar ik was werkelijk enthousiast over Windows NT 4.0 toen het 3.51 opvolgde.. maar helaas gaat het Workstation-product sinds Windows 2000 eigenlijk alleen nog maar bergafwaarts. Vista is het in mijn ogen bedroevende eindstation van wat ooit een mooi en professioneel werkstation-OS was. Zelfs de business-variant zit vol met nutteloze bling, en handje-vasthoudende wizard-meuk waardoor je als professional steeds minder ziet wat er nou echt gebeurt onder de motorkap.
Het feit dat MS in de serverproducten blijkbaar wel weet hoe het moet, sterkt mij in bovenstaand vermoeden. Windows 2003 was was al goed, 2008 is nog veel beter. Ze draaien wel allemaal vrijwel dezelfde NT-kernel, maar het fundamentele verschil is dat de serverproducten niet de consumentenmassa als doelgroep hebben, die MS-marketing zo te zien (volstrekt onterecht) als bijkans debiel beschouwt.
Maar je hebt het hier wel over een update van Apple software op ee Apple OS. Dat is totaal iets anders dan hier het geval is.
Wat hier gebeurd is heeft ook niets te maken met Microsoft, maar is weer eens een screwup van Mcafee.
Of het nu van Apple is, Microsoft of wat dan ook is niet relevant.
Mijn punt is:
Elke update procedure moet checks uitvoeren om dit soort problemen te voorkomen. Als Apple een belangrijke check achterwege laat, kan het ook fout gaan. Een crash van een systeem bij een bedrijf kost geld.
Om te kunnen reageren, dient u ingelogd te zijn.
1 jaar geleden: 14 februari 2011
4 jaar geleden: 14 februari 2008
5 jaar geleden: 14 februari 2007
6 jaar geleden: 14 februari 2006
12 jaar geleden: 14 februari 2000
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
