77

„Dobry ziomek Microsoft” aktualizuje niewspierane systemy

Brak wsparcia dla konkretnej wersji systemu operacyjnego oznacza, że nie będzie on już otrzymywać kolejnych łatek wprost od producenta. Microsoft w swojej polityce aktualizacyjnej zrobił jednak wyjątek, którego katalizatorem było zagrożenie "WannaCrypt", które unieruchomiło sporo komputerów - również w firmach oraz instytucjach.

Gigant doskonale zdaje sobie sprawę z tego, że starsze wersje systemów operacyjnych w dalszym ciągu są wykorzystywane np. w firmach oraz instytucjach publicznych, gdzie ważniejsze od bezpieczeństwa oraz nowych funkcji jest utrzymanie kompatybilności ze specjalnymi programami, napisanymi dla konkretnej wersji oprogramowania Microsoftu. To bardzo zrozumiały krok – migracja na wyższą wersję systemu to drogie przedsięwzięcie, a trzeba jeszcze doliczyć koszty napisania praktycznie od nowa specjalistycznych programów np. do obsługi systemów zarządzającymi danymi w instytucjach.

Takie podejście ma jednak charakter miecza obosiecznego. Bo zaoszczędzone pieniądze w ten sposób mogą skutecznie przepaść, gdy pojawi się zagrożenie wykorzystujące podatność w starszych wersjach systemu operacyjnego. Tak właśnie stało się z WannaCrypt, który zaatakował nie tylko starsze platformy Windows, ale również te nowsze, dla których wsparcie jest cały czas świadczone.

Windows, Microsoft

Z powodu sporej ilości zarażeń WannaCrypt, Microsoft zdecydował się opublikować łatki dla systemów:

Windows Server 2003 SP2 x64 / x86
Windows XP SP2 x64 / x86
Windows XP Embedded SP3 x86
Windows 8 x86 / x64

Nowsze systemy operacyjne, począwszy od Windows 7, a skończywszy na najnowszych wersjach Windows 10 odpowiednie poprawki mają już zaimplementowane od marca. Warto dodać, że Microsoft wyraża swoje zaniepokojenie faktem, iż w przyszłości, WannaCrypt może wyewoluować, co spowoduje, że będzie on jeszcze bardziej niebezpieczny dla niezabezpieczonych maszyn. Z tego powodu nagięto nieco politykę aktualizacyjną i postanowiono wyposażyć starsze systemy w poprawki mimo ich niewspierania.

Microsoft należy pochwalić – tego typu działanie nie było obowiązkowe, ale i tak zostało podjęte

Gromkie brawa – zaangażowanie ekspertów ds. bezpieczeństwa oraz inżynierów oprogramowania do załatania starszych wersji systemu to oczywiście pewien koszt, który jednak firma zechciała ponieść ze względu na okoliczności, jakie towarzyszyły całej sytuacji. Pozostawienie starszych wersji systemu bez takiej poprawki, mimo wiedzy o tym, że są one obecne w wielu instytucjach oraz firmach mogłoby zostać poczytane jako „betonowe” podejście. Tym samym Microsoft piecze dwie pieczenie na jednym ogniu – unika nieprzyjemnych sytuacji związanych z masowym atakowaniem komputerów ze starszymi wersjami Windows, a w mediach zyskuje łatkę korporacji, która dba również o tych użytkowników, którzy niekoniecznie chcą / mogą instalować najnowsze wersje systemu. To również bardzo odpowiedzialne działanie – nie zdajemy sobie nawet sprawy z tego, jak wiele maszyn, od których zależy nasza codzienne aktywność działa na starych wersjach Windows. Wystarczy spojrzeć na niektóre bankomaty…

  • w pułapce Windows

    Firmy mają soft który wymaga IE i ActiveX

    Nie przejdą na nowa wersję Windows bo samo oprogramowanie nie napisze się od nowa.

    Jak już będą zmuszone do napisania od nowa, będzie jak z mediami i Silverlightem.
    Firmy zrezygnowały z Silverlight po tym jak Microsoft przestał go wspierać i przeszły na zupełnie inne, już nie microsoftowe rozwiązania.

    • Meretycz

      Oprogramowanie to jedno. Ale dla wielu to musiałoby oznaczać wymianę całego parku maszynowego a tu już nawet setki milionów wchodzą w grę. Inna sprawa, że same konstrukcje sieci są złe. Najbardziej newralgiczne systemy o ile dostęp do sieci zewnętrznej nie jest w nich wymagany powinny być oparte na sieci wewnętrznej odseparowane fizycznie.

    • stefan

      co ma sieć do tego. Pani Jadzia przyniesie dokument Worda na pendrive z binarnym wirusem zakodowanym bsase 64 w skrypcie VB i pozamiatane.

      Windows i Office to gówno, a jego ewangeliści to mafia.

    • Meretycz

      Stefan idź szczekać na wszystko co nie ma jabłka gdzie indziej bo mnie już nudzisz…. Jeśli nie rozumiesz, że w wielu firmach się NIE DA nie mieć Windowsa to rozmowa z Tobą nie ma sensu. A co do „Pani Jadzi” to wystarczy zablokować porty USB.

    • stefan

      nie będziesz mi mówił co mam robić.

      Tak, wiem, bez Windows nie da się żyć ludziom którzy niczego innego nie potrafią.

    • Meretycz

      Będę mówił, bo mam do tego prawo. Ty mnie co najwyżej nie musisz słuchać. I tak: nie da się żyć. Jak masz np. robota za klika milionów w fabryce a sterowniki są pod Windowsa to się żyć bez niego nie da. Więc przestań robić z siebie kretyna tylko zacznij myśleć.

    • lanister

      Kretynem się nie bywa, a jest, więc nie wymagaj od niego niemożliwego :)

    • stefan

      A ojciec cie pługiem robił.

    • Meretycz

      No i to koniec twoich możliwości…

    • Xytras

      Oj gosciu, widac niewiele wiesz, a szczekasz za glosno ;(

    • Kowalczyk Damian

      Przypomniało mi się jak kiedyś powiedziałem swojej byłej szefowej bardzo podobnie gdy wymyśliła jakieś nowe, durne pomysły, a konkretnie: „nie będziesz mi mówiła jak mam żyć, okeeej?!”
      Dzięki temu prostemu trickowi, udało mi się szybko przejść z szefostwem na per „Ty” i równie szybko zmusić się do szukania innego zajęcia. Z czego dziś jestem bardzo zadowolony 🙌🏻

    • Sebastian Florek

      Głupoty piszesz

    • Xytras

      Wg Ciebie kazdy Os to gowno w takim razie :(

    • Marecki

      pani Jadzia moze i tez ale raczej tępawy prezes firmy lub manager wyzszego szczebla to zrobi, nie wspominajac o prawnikach bo ci są technologicznymi debilami

    • ech…

      Abstrahując od tego całego niezbędnego „oprogramowania”, to sięgam pamięcią do lat 70 i 80-tych gdy jako dziecko bawiłem się takim dużym liczydłem, którego używał mój ojciec jako główny księgowy w peerelowskiej spółdzielni. Był sam na tym stanowisku, na tamte czasy to była duża firma. Potem wraz z postępem technologicznym dostał kalkulator na korbkę. Wreszcie przyszły lata 90-te i z powodu braku wyższego wykształcenia ojca w wieku 60 lat wysłano na wcześniejszą emeryturę.
      Do czego zmierzam? Otóż mój ojciec prowadził sam księgowość bez komputerów, offisów i innych cudactw, sam z ołówkiem w ręku i kalkulatorem, a teraz ta spółdzielnia jest o połowę mniejsza i jest główna księgowa oraz kilka osób do prowadzenia tej księgowości, jest jednostka, która ich kontroluje a ponad nimi jeszcze inna jednostka kontrolna…
      A ponoć komputery miały usprawnić pracę ;)

    • Meretycz

      Tak jakby świat zwariował

    • Piotr Potulski

      Super – porównaj teraz jak szczegółowa księgowość była prowadzona wtedy, a jak szczegółowa jest teraz. Inna sprawa, że działy księgowości dość często są przerośnięte, bo raz w miesiącu potrzeba dodatkowo jednej osoby, a raz w roku 2.

    • anonim

      Zapoznaj się z prawem Parkinsona ;)

      http://czteryasy.com.pl/download/prawo_parkinsona.pdf

    • Piotr Potulski

      No, to że praca jest w stanie zająć wszelkie istniejące zasoby to też znana prawda.

    • ŻółtyŻółwik

      Bo kobiety ogólnie są głupsze…

    • waldi

      Wystarczy spojrzec na Anglię gdzie atak hackerski załamał całą służbę zdrowia

    • ee43g3

      za prl bylo 150 tys urzedasow teraz okolo miliona (czesc nie widnieje w statystykach bo sa oficjalne limity wiec zatrudnia sie ich jako ofsorcing czy umowy zleceniam)

    • stefan

      oprogramowanie nie napisze się od nowa, więc trzeba je napisać.

      Jak widać urzędnicy są krótkowzroczni, a informatycy zakochani w Microsofcie i słuchający kłamiliwych ewangelistów Windowsa skazują potem całe narody na problemy. Wychowywanie młodych pokoleń w kulcie Microsoftu i mamy efekty.

    • Meretycz

      Z tobą jest coraz gorzej… To już na jakąś chorobę wygląda. Dorabiasz jakieś chore ideologię tam gdzie nie ma na nie miejsca.

    • stefan

      Ból dupy jak u Macieja G. Zgadłem?

    • Meretycz

      Po prostu widzę jak szczekasz pod każdym postem o Androidzie, Windowsie i Nintendo a tam gdzie mowa o Apple masz wielkie pretensje do każdego, kto wypowiada się w jakikolwiek sposób o nim krytycznie. Ot, widać że funboy i czasu szkoda.

    • stefan

      Szczeka to twoj stary jak za dlugo siedzisz na kompie.

    • Meretycz

      Dobrze, że niczego poza szczekaniem i ślepą agresją od ciebie nie oczekuję, bo bym się zawiódł.

    • QWERTY

      Dla Ciebie jedynym ratunkiem jest odcięcie od internetu

    • Dima Noizinfected

      a dla mnie ma racje

    • Adrian

      Błąd! Windows 7 i IE 11 również uruchamiają ActiveX. Nie trzeba siedzieć na XP.

  • Tak czy siak u mnie wszystkie urządzenia mają najnowszy ms win10 :)

    • nindustrialny

      Na SGS8 też masz windows 10?

    • Morski Morświn

      On ma xiaomi tylko w polu „nazwa telefonu” wpisał „SGS8”. Potwierdził to wieloktrotnie wrzucając screenshoty

    • A wiesz że nawet bym za taki model dopłacił więcej niż zapłaciłem za sgs8+ z DeX :)

    • Morski Morświn

      Dziecko na swoim xiaomi to możesz odpalić co najwyżej emulator DOSa.

    • SimOn

      U mnie też i się nie chwalę :p

    • Kowalczyk Damian

      Telefon też?

    • Lumia1520 z W10M już sprzedana w zeszłym roku :)

  • Dima Noizinfected

    nie zdajemy sobie nawet sprawy z tego, jak wiele maszyn, od których zależy nasza codzienne aktywność działa na starych wersjach Windows. Wystarczy spojrzeć na niektóre bankomaty…

    to wyp****lcie stamtąd to gówno i zastąpcie darmowym i bezpiecznym oprogramowaniem Linux, oferującym tylko to co w danym momencie jest niezbędne. Istnieje tyle dystrybucji ze wsparciem, jak ktos potrzebuje (Red Hat czy SUSE)

    Ransom przychodzi mailem i jakas glupia biurwa go otwiera (jakim cudem na pracowniczym komputerze ma takie uprawnienia do wykonania binarek biurwy, i dlaczego serwer mailowy nie filtruje binarek???). Po czym rozprzestrzenia sie przez luke w protokole SMB (wiadomo, protokół Windows) i oczywiscie wszystko w firmie okazuje sie na nią poddatne.
    Betonowym podejsciem jest trzymanie pracownikow na IE9. Betonowym podejsciem jest Silverlight, Flash i przeglądarkowa Java. Betonowym podejsciem jest brak aktualizacji. Betonowym podejsciem jest uzywanie Windows.

    • JD tego orka

      Zgadzam się z bankomatami. Większość z nich działa na Windows XP Embedded. Lecz co z tego, wszystko działa i jest bezpieczne. Od tego są zabezpieczenia wdrażane przez samych właścicieli banków.

    • Dima Noizinfected

      czyli wylaczenie jakiegokolwiek protokołu sieciowego (łacznie z SMB) poza protokolem aplikacji bankomatu czy jej updatera ;) i tak lepiej zainstalowac tam CentOS z aplikacja bankomatową. I taniej. Ale oczywiscie Microsoft podpisal stosowne umowy z instytucjiami by uzywano tylko ich zabawek.

    • johny

      „Od tego są zabezpieczenia wdrażane przez samych właścicieli banków.”

      Jak są błędy w protokołach sieciowych, to właściciele banków nic nie zrobią bez Microsoftu.
      Tylko Microsoft może poprawić błędy w samym Windowsie. Admini bankowi mogą tylko (i aż) zadbać o jego prawidłową konfigurację.

    • doogopis

      Ta,ostatnio jak sie zacieła jedna automatyczna kasa w auchanie to pokazał sie ekran z windows 2000. Ah te nowe systemy płatności.

    • .
    • BlahFFF

      To w sumie nic nadzwyczajnego. Widzialem juz kilka wiekszych sklepow, ktore maja kasy dzialajace w oparciu o 2000 czy XP-ka z klasycznym interfejsem. Z drugiej strony, sa odciete od internetu, dzialaja tylko w sieci lokalnej a mozliwosc ingerencji w system jest minimalna (tylko dotyk, zero klawiatury, myszki). Rownie dobrze moglo by to dzialac i na OS/2 – kwestia tego na co soft wydano.

    • Xytras

      I ty tez jestes beton ;(. System jest tak bezpieczny jak zadba o niego admin, zawsze i kazdy system bedzie wymagac aktualizacji. Przejscie na inne platformy rowniez bedzie wymagac aktualizacji i kosztowo moze byc nieoplacalne.

    • Dima Noizinfected

      aktualizacje takie drogie bo co… transfer danych kosztuje? W Active Directiry nie mozna zarzadzic aktualizacji stacji roboczych?

    • Xytras

      „darmowe i bezpieczne” to oksymoron… albo jestes gimnazjalista, albo bardzo naiwnym czlowiekiem…

    • johny

      A płatne i bezpieczne to nie ?

      Synciu, budowałem sieci internetowe. Wówczas Zawirusowany Windows i po prostu Windows to było jedno i to samo.
      Nie ma w tym żadnej przesady ani trolowania. Skala zawirusowania komputerów sięgała kilkudziesięciu procent.

      W tym samym czasie serwery stały na FreeBSD lub Linux. I pomimo to, że były narażona na o wiele bardziej zmasowane ataki, nigdy nie zawiodły.
      Wnioski wyciągnij sobie sam.

      W Microsofcie płaciło się za nic i nadal płaci się za nic.

    • QWERTY

      Tylko że przepisanie softu bankomatowego na Linuxa to zapewnie grube miliony dolarów plus przeszkolenie techników itp. Zresztą XP jest bezpieczny bo nie jest połączony z Internetem oraz XP na urządzenia wybudowane ma wsparcie do 2019 roku.

    • johny

      WannaCrypt nie działa przez Internet (przynajmniej nie bezpośrednio), ale przez SMB a więc w praktyce sieci lokalne.

      Teoretycznie więc można zawirusować Windowsa np. PENem, a reszta komputerów w tej samej sieci już złapie wirusa przez SMB.
      Ktoś też może dobrać się fizycznie do jednego z bankomatów.

    • gom1

      WannaCrypt nie działa przez Internet (przynajmniej nie bezpośrednio)

      Sęk w tym, że działa.

    • johny

      Nie, nie działa. Domyślnie Windows załącza firewalla na tzw sieci publiczne, właśnie po to żeby filtrować tego typu robaki.

    • gom1

      To zależy od konfiguracji danej maszyny. Na Niebezpieczniku dali przykład badacza, któremu w ciągu trzech minut zainfekowała się testowa maszyna wystawiona publicznie właśnie.

    • johny

      Jak podłączasz się do sieci to Windows pyta czy to Sieć publiczna, Domowa, czy Firmowa. I w zależności od odpowiedzi ustawia regułki firewall’a.
      Jeśli źle odpowiedziałeś, to rzeczywiście masz problem.

    • Dima Noizinfected

      już nie pyta ;) tak bylo do 10ki na pewno ;D

    • Dima Noizinfected

      mamy rok 2017, 2019 to mniej niz 2 lata. Można zacząć przepisywać soft.

    • QWERTY

      to zapłać za napisanie softu i sterowników bo nikt ci tego nie zrobi za darmo

    • Dima Noizinfected

      niech nie robi. Potem będzie cry ;) ktos mysli ze „raz zlecili, raz napisali, dziala” bedzie dzialalo juz zawsze? Od tego ta firma bankomatowa jest by w razie potrzeby inwestować w nowe rozwiązania.

    • johny

      „Ransom przychodzi mailem i jakas glupia biurwa go otwiera”

      Chyba nie widziałeś współczesnych emaili z ransomami, bo nie administrujesz siecią w firmie.
      Szkoda, że jednego nie zachowałem, bo bym ci wkleił screena.

      Uwierz mi, że są praktycznie nie do odróżnienia od legalnych, o ile nie jesteś komputerowym geekiem.
      Sam email do złudzenia przypomina tego z paczkomatów lub DHL i w samej treści nic, dosłownie nic nie wzbudza podejrzeń.

      I nie, nie zawierają exe’ców – ale np doc’i lub ew js, vbs.

      Skanery antywirusowe też obchodzą, bo np załącznik jest zaszyfrowany a w mailu masz Twój indywidualny kod do dokumentu dot. odbioru Twojej paczki.

      I skąd taka biurwa ma wiedzieć, ze spośród dziesiątek lub setek podobnych maili, akurat ten to fałszywka.

    • Dima Noizinfected

      vbs (skrypty w Visual Basicu) bezpieczne tak bardzo. Javascript (ktory powinien byc otwarty przez notepad) uruchamiany jest poprzez systemowy interpreter. No taaak.

      Nie wystarczy uzywac zwyklej pieprzonej przegladarki z webklientem, ktora rozumie mimetypy, a nie rozszerzenia?

      w mailu masz Twój indywidualny kod do dokumentu dot. odbioru Twojej paczki.

      w javascript czy vbs? Wracamy do zrodla – moze nie powinnismy uzywac Outlooka czy Worda tylko Chrome i webaplikacji?

      Moze soft Microsoftu wcale nie jest bezpieczny, skoro takie sytuacje jak wlamy na niego i wirusy zdarzają sie notorycznie? A moze stacja robocza nie powinna posiadac wysokich uprawnien pozwalających na otwieranie czegokolwiek binarnego czy odpalania wlasnych skryptów?

      W dobie Chromebooków, systemow Linuxowych, systemow mobilnych (takich jak iOS czy nawet Android, o ile z niego nie korzysta jakas glupia biurwa ktory pozwoli na instalacje apki spoza sklepu bo jakas stronka ja o to prosi) takie problemy jak zalaczniki w mailu wydaja sie smieszne.

    • Natanek

      Tylko, że jak coś zamawiasz, to albo sklep powiadamia o wysłaniu paczki, albo firma kurierska wysyła sms i maila o wysłaniu paczki z linkiem do śledzenia, a mail (i sms) z kodem przychodzi na koniec i ma znaną formę. Jeśli ktoś podszywa się pod jakąś firmę, to zwykle ta firma ostrzega swoich klientów byłych lub potencjalnych, na co trzeba uważać, bo dbają o swoją reputację.
      Parafrazując klasyka: „Jeśli dostajesz maila o paczce na którą nie czekałeś, to wiedz, że coś się dzieje!” ;)

  • Tomasz Biliński

    Tylko dlaczego nie da się na stronie MS znaleźć rzeczonych poprawek a linki podawane przez różne serwisy przekierowują na nieistniejące podstrony tejże firmy?

  • Adrian Paczoska

    A gdzie Vista?

    • Vista

      W dupie

    • gom1

      Vista dostała update w marcu.

  • ikonsoler

    Na końcu tekstu jest błąd grubości tekstu!

  • Tylko Windows7 i żaden inny!

    • Marian Szewczyk

      Tylko golf 3 w TDI i żaden inny!

  • mily niemiec

    Można uruchomić te programy w trybie starszej wersji systemu

    • Meretycz

      Co nie gwarantuje poprawnego działania.

  • rfgfferr4

    na maszynie z xp bedzie dzialac linux, jesli juz potrzebne dziwne oprogramowanie taniej wyjdzie zaplacic za kilka funkcji w wine

  • Sławek Krynicki

    CO z aktualizacjami Vista oraz chrome dla Vista?

  • Solik

    „Dobry ziomek Microsoft” aktualizuje niewspierane systemy

    Wspiera za kilkaset dolarów od maszyny https://www.theregister.co.uk/2017/05/16/microsoft_stockpiling_flaws_too/ Firmy które wykupiły dodatkowe wsparcie miały dostępne łatki już w lutym.
    https://i.imgur.com/7EBhLFI.png
    Gorszy sort, łaskawie dostał łatkę gdy ransomware już szalał na całego. Gdyby MalwareTechBlog nie zarejestrował tak szybko domeny dezaktywującej działanie ransomware, ofiar było by o wiele więcej.
    Sygnatury pierwszych wersji WannaCry były dostępne już od lutego https://zaufanatrzeciastrona.pl/post/jak-ransomware-wannacry-polaczony-jest-z-niedawnymi-atakami-na-polskie-banki/ A miesiąc temu ktoś umieścił próbkę wersji która szalała w weekend na hybrid-analysis. Trochę się zeszło firmom AV zaktualizowanie sygnatur wykrywania.
    Windows Defender nie popisał się ponownie.
    https://i.imgur.com/tGHQ3XT.png
    https://i.imgur.com/doVQwFu.png