Jak se ukazuje vše zakázat je správná cesta. Tedy pokud tím budeme myslet serverové služby u chystaného Windows .NET Serveru.
Podle studie provedené firmou
Netcraft se zjistilo, že jeden z devíti serverů s nainstalovaným IIS je děravý. Poslední test proběhl v říjnu a byla při něm zpracována data z 33,1 miliónů webových stránek. Výsledky jsou zarážející, protože jsou daleko horší než měsíc předcházející.
Průzkum se provádí automaticky každý měsíc a zjišťuje se software, na kterém běží server, doba bezporuchového provozu serveru a přítomnost bezpečnostních děr. Servery s nainstalovaným IIS podléhají speciálnímu průzkumu.
Při testech byly odhaleny závažné bezpečnostní chyby, které opomněli laxní správci či uživatelé zalepit. Je s podivem, že i přes podle mne slušnou informovanost o některých bezpečnostních chybách (CodeRed) i v masových médiích (televize) se tyto chyby neustále opakují. A nejenom, že opakují počet nezaplátovaných IIS opět roste!
Na ukázku provedu srovnání zjištěných děr v měsíci září a říjnu.
Odhalené chyby |
září |
říjen |
soubor „root.exe“ umožňující přístupu k systému (pozůstatek Code Red II)
přístupná stránka pro administraci
předinstalované vzorové stránky a skripty
možnost prohlížet souborovou strukturu a jiné
možná infikace červem CodeRed |
8,5%
17%
17%
8,5%
0% |
11%
25%
26%
10%
2,5% |
Skoro mně to přijde jako házet hrách na stěnu. Zejména internetová média se snaží uživatele upozorňovat na výskyt nových bezpečnostních chyb a uživatel zůstává hluchý. U správců serverů tomu už nerozumím vůbec, snad stávka. Pokud to tak půjde dál, zanedlouho (měsíc, dva) tu máme CodeRed IV nebo jinou potvoru.
Jak už sem zmínil v úvodu je jen dobře, že Microsoft plánuje implicitně vypnout serverové služby u nových produktů. Pokud si budete chtít spustit například webový server, nebude vám stačit ho nainstalovat, ale budete muset ještě potřebné služby spustit! Za úvahu by asi stálo i pořádné otestování, aby se opravy nemusely aplikovat každý měsíc.