100.000 forældede servere i Danmark blotlægger virksomheder for it-angreb

It-eksperter advarer om, at der fortsat står tusinder af usikre Windows servere hos virksomheder og det offentlige Danmark

‘Nu er det nu!,’ advarede virksomheden IT-Forum tilbage i juni 2015, en måned før Microsoft lukkede for supporten af deres Windows Server 2003.

Og i det britiske magasin V3 kunne man i februar 2015 læse, at server-producenten HP advarede om, at særligt mellemstore virksomheder, som vi har mange af i Danmark, ville gå en usikker fremtid i møde, hvis ikke de fik udskiftet de gamle Windows servere.

Fordi serverne ikke længere supporteres, og derfor ikke sikkerhedsopdateres, har hackere stort set fri adgang til serverne og kan enten stjæle eller ødelægge data, forklarer eksperter.

Alligevel står der ifølge Partner og leder af Consulting - Security & Technology hos PwC, Mads Nørgaard Madsen fortsat 100.000 aktive Windows Servere 2003 (Win2K3) i Danmark. Servere, der altså i snart et år ikke har modtaget sikkerhedsopdateringer.

»”If it works don't fix it” holdningen er desværre den, der ligger til grund for mange it-prioriteter,« forklarer Mads Nørgaard Madsen

Læs også: Microsoft understøtter ikke længere Windows Server 2003

Det er således svært for IT-afdelingerne at sælge risikoen ved de gamle, men velfungerende servere, til ledelsen af virksomhederne. Dårlig kommunikation mellem IT og forretningen er ifølge Mads Nørgaard Madsen hovedårsagen til, at der fortsat står så mange gamle Windows servere i virksomhederne.

»Det er medarbejderne i IT-afdelingerne, der får informationen om risikoen. Men der er ledelsen, der bestemmer, hvilke budgetter der skal prioriteres. Og her knækker koblingen,« forklarer Mads Nørgaard Madsen.

SAP og App vinder over sikkerhed

Key Account Manager Søren Bundgaard hos IT-Forum fortæller, at problemer med konvertering af SAP-databaser også er en af årsagerne til, at virksomheder ikke bare lige får udskiftet deres gamle servere.

»Problemet ligge både hos virksomhederne selv, som ikke vil tage investeringen. Men det kan også skyldes manglende udvikling hos udbyderen af et stykke software, som gør, at det ikke bare lige løftes op,« forklarer han.

En problemstilling Jacob Herbst, som er teknisk chef hos it-sikkerhedsvirksomheden Dubex, kan nikke genkendende til. Han forklarer, at grundene til, at de gamle servere fortsat findes, er mange, og at software og økonomi er nogle af dem.

»Vi støder både på gamle applikationer, som ikke kan, eller man ikke ved, hvordan flyttes til en nyere platform, produktionsmiljøer med specielle software eller hardware bindinger og miljøer, hvor opgaven er stor, og man mangler tid og penge til at opgradere,« forklarer han.

Læs også: It-sikkerheden sejler hos offentlige forsyningsvirksomheder

Men slutresultatet er ifølge Jacob Herbst det samme. Nemlig, at virksomheden står med et miljø baseret på et operativsystem, som er end-of-life, hvilket er et problem for sikkerheden.

»Mange sårbarheder ved de gamle servere rammer både nye og gamle Windows versioner, hvilket medfører, at der hos de pågældende virksomheder og organisationer står systemer, der er sårbare, uden man kan gøre noget ved det,« siger han.

Søren Bundgaard finder situationen yderst kritisk.

»Jeg synes det er kritisk, at man har systemer, man ikke kan opdatere, særligt i disse tider. Vi fortæller kunderne gang på gang, at de skal tage risikoen alvorligt,« fortæller han.

Lappeløsning bedre end ingen

Er det ikke muligt at udskifte de gamle Windows 2003 servere, anbefaler Jacob Herbst, at man holder et vågent øje med dem, og de opgaver de løser.

»Det er vigtigt at holde øje med de gamle servere. Tjekke deres logfiler for mistænkelig hændelser og holde øje med, at de ikke pludselig begynder at kommunikere med eksterne systemer,« forklarer han.

Jacob Herbst anbefaler også, at virksomhederne implementerer nogle kompenserende foranstaltninger i form af antimalware software, etablering af host firewall og opstrammer eksisterende firewall regler, således gamle systemer ikke kan gå på Internettet.

»Det løser naturligvis ikke det grundlæggende problem, men kan beskytte mod mange simple angreb,« fastslår han.

Hovedet i busken

For Mads Nørgaard Madsen og PwC er hovedproblemet, at de fleste virksomhederne ikke forholder sig til problemet, og derfor ikke forsøger at skærme sig mod det. Og her bakkes han op af Jacob Herbst.

»Naturligvis kan man implementere kompenserende kontroller. Men det er desværre sjældent, at virksomhederne rent faktisk får gjort nogen af disse ting i forhold til de gamle systemer,« forklarer han

I 2014, året inden Microsoft stoppede sin supportering af 2003 serverne, blev der udstedte 37 kritiske opdateringer til systemet. På det tidspunkt anslog produktchef for Windows Server, Ken Hyld hos Microsoft, at der i Danmark var mere end 60.000 installationer med Windows Server 2003.

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (15)

Brian Hansen

"Fordi serverne ikke længere supporteres, og derfor ikke sikkerhedsopdateres, har hackere stort set fri adgang til serverne og kan enten stjæle eller ødelægge data, forklarer eksperter."

Det kommer sku an på så meget, ikke mindst om de gamle styresystemer er på nettet eller ej!

Kristian Nielsen

Helt enig. Ved en af vores kunder er der stor sikkerhed omkring de ikke opdateret servere, med forskellige sikkerhedszoner og ikke mindst overvågning af trafikken mellem de forskellige zoner. Den generelle holdning fra kunden er at, hvis nogen får mulighed for at nå serveren igennem den valgte sikkerhedsmodel da har de helt andre udfordringer end gammel/ikke patchet systemer.

Ivar Hansen

Ja nuancerne går desværre tabt i statements som disse - se også artiklen der linkes til "It-sikkerheden sejler hos offentlige forsyningsvirksomheder". Det kan man trække på skulderen af, grine lidt af, og drage paralleller til eksempelvis år 2000 dommedags-retorikken, som en enig it-branche fik hypet op til et højere niveau end virkeligheden kunne bære. Det er jo ikke svært at se hvorfor og hvem der siger disse ting.

Henrik Hansen

Alligevel står der ifølge Partner og leder af Consulting - Security & Technology hos PwC, Mads Nørgaard Madsen fortsat 100.000 aktive Windows Servere 2003 (Win2K3) i Danmark.

[I 2014] anslog produktchef for Windows Server, Ken Hyld hos Microsoft, at der i Danmark var mere end 60.000 installationer med Windows Server 2003.

Nogle bud på hvordan diskrepansen mellem 'mere end 60.000' og '100.000' opstår? Jeg forestiller mig at Microsofts tal, er baseret på det antal maskiner de kan se, der har hentet sikkerhedsopdateringer og PWC's er mere FMA, men de bygger vel alligevel på et eller andet?

Povl H. Pedersen

Sålænge serveren ikke har nogen huller der kan udnyttes via de tilgængelige adgangsveje, hvor udsat er den så ?

Hvis der ikke er kendte huller i IIS 1.0 som ikke er patchede, så er den vel lige så sikker som IIS 8.0 ? Det er vigtigt at vurdere mulige attack vectors.

En fejl i en IIS 6.0 på en server 2003 som ikke kan nå internet, og hvor browseren aldrig bruges er ikke kritisk, og giver ingen adgang til serveren.

Hvis/når der begynder at dukke huller op typisk med remote exploits på normalt udbudte services, så begynder W2k3 at være et problem. Og så må man enten migrere til en nyere platform, eller have noget mitigation mellem server og Internet / klient. Men så har man også travlt.

Stig Robertsen

... blotlægger virksomheder for it-angreb ...
Hvad er det for en overskrift, og top billede - har René Kornum været for tidligt oppe (6:25) ?
Det lyder som om alle vægge og døre falder ud, i firmaer der stadig kører W2K3 - det er jo ikke tilfældet - og de fleste genkender problematikken og tager deres forholdsregler, som vi også kan læse. Samtidig har mange af de 'ubudne' gæster mistet interessen for W2K3 i lighed med ældre database eller applikations versioner der ofte er værre fordi de kan skabe adgang 'udefra'.
Sammenkædningen med forsynings virksomhedernes 'distribuerede' systemer som fx er el-målere der er på el-nettet og kan tilgå's - kører jo ikke W2K3 :-)

Johnnie Hougaard Nielsen

Hvis der ikke er kendte huller i IIS 1.0 som ikke er patchede, så er den vel lige så sikker som IIS 8.0 ?

For produkter ude af support, er en pålidelig opgørelse over huller nok lidt teoretisk. Microsoft giver selv et vink med en vognstang om at de ældre udgaver har "sikkerhedsmæssige begrænsninger": We strongly recommend that all users upgrade to Microsoft Internet Information Services (IIS) version 7.0 running on Microsoft Windows Server 2008. IIS 7.0 significantly increases Web infrastructure security.

Bent Jensen

"Mere end 100.000 server køre med fejlfyldt software fra MS, og bør skifte til Linux eller andet sikkere software snarest."

En lige så god og rigtigt overskrift.

Selv om meningen med den "undersøgelse" nok var at sælge en nyt Server med Vindows på. Så viser den jo mere, at det er en meget dårligt strategi at basere sin software på et lukket styresystem fyldt med fejl, og med en levetid og udskiftnings hastighed der ikke passer til firmaets strategi.

Johnnie Hougaard Nielsen

Hvorfor er open source bedre end closed, set i sikkerhedsperspektiv?

Det klassiske argument er at når der er flere kritiske øjne, øges chancen for at fejl bliver spottet (og større opmærksomhed på fundne fejl), i modsætning til når lukket software kan have et meget begrænset antal øjne på hver del af koden.

Selvfølgelig kan der være fejl alligevel, også med en lang historie bag sig, fx Heartbleed hvor der næppe var så mange øjne, men det er jo ikke fordi closed source ligefrem har en "ren" historie omkring sikkerhedsrelaterede fejl.

Bent Jensen

Som det gode eksempel i artiklen, du vil løbende have opgraderet dine server når der var kommert nye LTS, uden at skulle tænke på licenser og nyt hardware.

Så du ikke "pluseligt" stå med 10 år gammel software uden suport og opdatering.

Det er vel et godt et godt eksempel på områder hvor opensource er langt bedre ?

Ivo Santos

Nu finder der jo ting i en virksomhed som man ikke sådan lige udskifter med for eksempel 5 års mellemrum fordi de koster flere millioner hvis den pågældende maskine skal udskiftes.7
Nogle af de programmer kan for eksempel være inkompatibel med Windows 7 eller vista eller hvad ved jeg.

Hvis man kunne få de pågældende programmer som open source eller havde muligheden for at kunne ændre i kilde koden så ville det da være en store fordel.
Nu har jeg så ikke kendskab til maskiner som er i drift i flere årtier og koster flere millioner så jeg er ikke i stand til at komme med et eksempel, men det skal være sagt at hvis programmerne var åbne så ville man da være i stand til at portere det pågældende program til en nyt operati system, eller lukke de huller der måtte være i operativ systemet hvis altså det også er open source.
Så selvom der også findes huller i open source projekter så er der på den anden side også fordele i forhold til lukkede systemer som for eksempel Windows.

Mads Bendixen

Som det gode eksempel i artiklen, du vil løbende have opgraderet dine server når der var kommert nye LTS, uden at skulle tænke på licenser og nyt hardware.

Det er vel ligegyldigt, hvis applikationen ikke kan køre en nyere version, hvad enten det er Windows eller Linux. Min erfaring siger at det sjældent er en evt. licens til server OS der hindrer det bliver opdateret. Det er oftest den billige del.

Log ind eller opret en konto for at skrive kommentarer