6.6.07

Microsofts patchpolitik: $$$ kontra sikkerhed

Web-servere, der er baseret på Microsofts IIS-serversoftware, spreder langt flere sikkerhedsmæssige problemer, end MS-markedsandelen "berettiger". Det fremgår af en ny undersøgelse, som Googles division for "security og safety" har gennemført.

Servere, der var vært for over 80 millioner domæner, er tjekket. Der blev fundet 70.000 domæner, der gennem seneste måned enten selv har spredt ondartet kode (malware) eller har været vært for udnyttelser af browser-software, så besøgende får smittet deres pc via downloads (drive by downloads).

Kun 23 procent af serverne med de i alt 80 mio. domæner var Microsoft-baserede, men disse udgjorde hele 49 pct. af den samlede smittekilde.

Apache-serversoftwaren, der kommer fra Open Source-verdenen, lå på 66 procent af serverne, men smittekilde-andelen lå "kun" på 49 pct.

Kigger man på den landemæssige fordeling af smittekilderne, viser der sig et interessant billede. I Kina sker så godt som al smitte via Microsoft ISS. Også i Syd Korea er ISS-andelen meget dominerende. Google mener, at årsagen kan være, at netop disse to lande er kendt for kraftig piratkopiering. Har man en piratkopi af ISS, kan man IKKE benytte Microsofts automatiske opdatering af sårbarheder, så patching skal ske pr. "håndkraft". Men der er desuden visse patches som slet ikke kan bruges på piratkopier.

Problemet er altså, at Microsofts patchpolitik, der skal gøre det langt mindre attraktivt at bruge en piratkopi, ender med at øge de sikkerhedsmæssige problemer over hele verden. Der er tale om en slags "catch 22-situation", hvor der er onder, uanset hvad man vælger.

Google-rapporten er her.

I øvrigt er det lidt interessant i disse tider, hvor alle snakker om Microsofts monopol, netop at se på web-serverne. Her er softwaregiganten nemlig blevet lillebror. Apache er et rigtig godt stykke software, og så er det gratis. Når Microsoft selv har givet noget gratis for at opnå markedsandel har det ikke altid været tilfælde. Jeg tænker især på, da Microsoft sov i timen over for internettet, og Netscape nærmest "ejede" browsermarkedet. Den første Internet Explorer imponerede ikke, og hele Explorer-familien har jo været præget af store sårbarheder. Er det ikke først nu, at sikkerheden er kommet nogenlunde på plads?

PS: Interessant artikel på Ars Technica om, hvorledes brugere vurderer det, de er vænnet til at bruge, højere end andet, også selv om det nye måtte være lettere at bruge. En af mange forklaringer på, hvorfor altdominerende produkter bliver ved med at være altdominerende.

8 kommentarer:

Bo Drejer sagde ...

Hej Dorte,

Interessant rapport, men jeg savner en sammenligning af hvor stor en andel af MS smittekilderne som kører henholdsvis IIS 5.0 og IIS 6.0.

Årsagen er at IIS 6.0, blev rekodet totalt fra bunden og har haft meget få sikkerhedshuller, hvilket bestemt ikke var tilfældet med ISS 5.0 som er fra før MS's store sikkerheds initiativ blev sat i værk (deraf rekodningen).

Kunne faktisk også være interessant at se hvordan versionsfordelingen af smittebærere er på Apache.

Underligt at Google har udeladt det, da det efter min mening skal til for at kunne sammenligne seneste versioner.

Det er også en vigtigt fundament for konklusionen omkring manglende patchning...så underligt at disse tal ikke er med som underbygning...de burde jo have dem...

Hvis jeg skulle starte forfra idag og kun vælge webserver ud fra sikkerhed så ville antallet af sikkerhedshuller på seneste version, og fordelingen af hacks på de seneste webserver versioner ihvertfald være tal som interesserede mig, så mærkeligt at de ikke er med...

Og ja, vi kan kun blive enige om at det er vigtigt at patche til seneste version... :-)

/Bo

Dorte Toft sagde ...

Hej Bo,
Står det ikke her:

"Compared to our sample of servers across the Internet, Microsoft IIS features twice as often (49% vs. 23%) as a malware distributing server. Amongst Microsoft IIS servers, the share of IIS 6.0 and IIS 5.0 remained the same at 80% and 20% respectively.

The distribution of top featured Apache server versions was different this time: 1.3.37 (50%), 1.3.34 (12%) and 1.3.33 (5%). 21% of the Apache servers did not report any version information. Incidentally, version 1.3.37 is the latest Apache server release in the 1.3 series, and it is hence somewhat of a surprise that this version features so prominently. One other factor we observe is a vast collection of Apache modules in use."

Bo Drejer sagde ...

Hej Dorte,

Nej Ikke som jeg forstår det.

Der står ikke hvor står en andel af malware ditributione IIS 5.0 henholdsvis IIS 6.0 står for.

De 23% er IIS's andel af servere. De 49% er andelen af malware IIS står for.

Min pointe er: Hvor meget står IIS 6.0 i % af samlet malware. Det skal så sammenlignes med det tal som seneste version af Apache står for.

Hvis tallene ovenfor er de to IIS versioners andel af de 49% malware IIS distribuerer skulle tallet jo give 100%

Hvis det er procentdelen af det samlede malware, så skulle de 2 tal give 49%.

Så jeg kan ikke se hvor stort problemet er med ISS 6.0 som har haft meget få sikkerheds huller, hvorimod ISS 5.0 havde mange problemer med sikkerheds huller.

Så hvis IIS 6.0 andel af malware distributionen skulle vise sig at være meget lav, så er problemet løst (bortset fra de servere som ikke er opdateret selvfølgelig). Hvis tallet skulle vise sig at være meget lavt vil det også være fair overfor Apache at sammenligne med seneste Apache version.

Det ville ikke overraske mig hvis en stor del af malware distributionen skyldes IIS 5.0, som jeg personligt mener var alt, alt for hullet.

Af samme årsag blev IIS 6.0 rekodet fra bunden, og vi har derfor længe kraftigt opfordret alle til at opgradere til IIS 6.0.

Heldigvis er 80% nu opgraderet til IIS 6.0, men det kunne da være rart at se hvor meget mere sikker IIS 6.0 er end IIS 5.0 ved at se hvor stor andelen af malware distributionen er. Det vil også kunne sige noget om hvor effektiv sikkerheds fokuset i MS er.

Jeg skal lige sige at jeg ikke selv kender tallet, så det kunne godt vise sig at være højere end jeg forventer...men lad os da få tallene på bordet og få sammelignet andelen af malware distribution for seneste version af IIS og seneste version af Apache.

/Bo :-)

Bo Drejer sagde ...

Hej Dorte,

Hmmm...ret skal være ret...

Ifølge nedenstående CW artikel i US, så ser det ud til at tallene skal tolkes således at der også er en 80/20 fordeling mellem IIS 6.0 og IIS 5.0 på de servere som distribuerer malware.

Det overrasker mig squ' noget...og vist også Secunia lidt som udtaler sig i artiklen...

Det siges dog også at IIS 6.0 opfattes som meget sikker, da der kun har været 3 huller siden release i 2003....

Artiklen i CW hvor sikkedsfirmaer udtaler sig er her:
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9023859&source=rss_news50

/Bo :-)

Dorte Toft sagde ...

@ Bo. Ja, det var de tre ord "remained the same" i udsnittet, jeg bragte, som jeg havde fæstnet mig ved.

Du skriver i øvrigt, at der kun har været 3 huller i MS ISS siden release i 2003. Men det er tilsyneladende nok alligevel.

Total fejlfri kode får vi aldrig, når det gælder store programmer. Der er for mange millioner koder, hvor selv en lille tanketorsk kan lede til en sårbarhed. Men siger du selv til MS's patchpolitik?

Bo Drejer sagde ...

Ja, du var lidt skarpere i din læsning end jeg. Jeg må gå i træning :-)

Jeg er faktisk ikke helt ekspert i vores patch politik, men som du siger er det en kompliceret sag og noget af en Catch 22 situation. Jeg er personligt tilhænger af commerciel software og mener at man bør betale for det man bruger...men det er der jo desværre mange som ikke gør eller respekterer...

En af metoderne til at komme piratkopieringen til livs er jo så at begrænse adgang til opdateringer eller gøre patch processen mere manuel så man har adgang til patches bare ikke automatisk. Såvidt jeg ved er det de sidste politik vi kører for at være sikker på at der er adgang til patches bare ikke automatisk, da det er en service som dem som har betalt for softwaren har betalt og adgang til...Jeg synes personligt at dette er en ganske rimelig praksis, da det sikres at alle for internet sikkerhedens skyld har adgang til patches. Dermed være også sagt at jeg personligt synes at alle sikkerhedspatches bør være tilgængelige for alle af hensyn til internet sikkerheden, men at det er OK at distributionsformen er manuel for pirater for at gøre livet vanskeligere for dem.

Omkostningen her er så at man risikerer at ”piraterne” ikke får patchet af ren og skær dovenskab/uvidenhed og dermed stadig er sårbare overfor infektion......problemet er reelt så at dem som ikke patcher serverne er sløsede og uansvarlige, og hvordan bekæmper man det?

Hele sikkerheds situationen gøres iøvrigt endnu mere kompleks af at vi i langt højere grad ser at det idag er applikationerne snarere end platformen (OS og Web server) som angribes, da sikkereheden her er blevet markant forbedret de seneste 5 år (jvf. de kun 3 fejl på IIS 6.0 siden 2003). Disse applikationer er typisk ikke Microsoft applikationer men 3. parts applikationer som vi ikke har umiddelbar kontrol over...Dette ser iøvrigt også ud til at være et problem for Apache platformen, da 50% af malwaren fra Apache tilsyneladende kommer fra seneste Apache version...

Det betyder dog ikke at vi ikke har et ansvar her, det har vi skam! Jeg sidder netop i planlægning for vores næste finans-år, og en af de ting vi diskuterer er hvordan vi kommer bedre igennem med at kommunikere de Best Practices på sikkerhed vi har erfaret og etableret de seneste 5 år, overfor hele vores udvikler økosystem. En vigtig opgave som vi har en stor del af ansvaret for, og som sikkerheds eksperternes tolkninger af Google rapporten viser at vi bør opprioritere yderligere.

Microsoft har levet under heftige sikkerhedsangreb i mange mange år og har tilpasset hele sin kodningspraksis efter det, men mange andre er blot i starten af denne fase da hackerne først de senere år er begyndt at rette sig mod dem. Derfor er en en koordineret og målrettet informations indsats overfor udviklerne en vigtig brik i løsningen af dette problem, selvom det nok desværre aldrig helt vil gå væk.

God Week-end!:-)

/Bo

Klaus sagde ...

Hej Dorte

Da jeg læste din blogpost første gang, blev jeg lidt forvirret over, at du skrev ISS. Det er vel retteligt IIS, der er tale om...

Dorte Toft sagde ...

Ja, retter straks. Dum fejl.