De houdbaarheidsdatum van software

Opinie

De houdbaarheidsdatum van software

Zijn er veiligheidsrisico’s door de ‘End-of-Life’ van Windows 2003?

14 juli 2015. Een datum die in softwareland nog wel een tijdje onthouden zal worden. Waarom? Omdat op die dag Microsoft haar ondersteuning voor Windows Server 2003 beëindigd heeft. Dat betekent effectief dat er vanaf deze datum geen updates en patches meer gaan komen voor dit besturingssysteem. ‘End-of-Life gaan’, heet dat in het jargon. Wat betekent dit voor uw organisatie? En hoe kunnen de security risico’s die hiermee gepaard gaan gemitigeerd worden?

Jeroen Slobbe & Jan-Jan Lowijs - 16 juli 2015

Waar het End-of-Life gaan van Windows XP op 8 april 2014 destijds voor veel rumoer zorgde, blijft het rond het End-Of-Life gaan van Windows Server 2003 nu betrekkelijk stil. Dat bevreemdt ons eigenlijk wel: toegegeven, Windows XP draaide op talloze individuele werkstations, niet alleen op het werk maar ook privé bij mensen thuis. Daarmee was Windows XP zichtbaarder dan de Windows Server 2003 – veel mensen in een organisatie weten waarschijnlijk niet eens op welke software de servers van hun organisatie draaien. Maar toch: omdat Windows Server 2003 draait op servers, is de impact van het End-of-Life gaan misschien nog wel groter dan de impact die Windows XP had.

Servers kunnen namelijk veel meer informatie bevatten dan individuele werkstations. Ze zorgen er bovendien voor dat netwerken blijven draaien en dat wij op deze manier met z’n allen gebruik kunnen maken van zaken zoals e-mail, (financiële) administratie systemen en gedeelde schijven. Daarnaast kunnen servers rechtstreeks aan het internet verbonden zijn, om bijvoorbeeld websites te hosten.
 

Wat is het risico als organisaties hun software niet tijdig upgraden?

Toen Windows XP op 8 april 2014 End-of-Life ging, duurde het 18 dagen voordat de eerste kwetsbaarheid gepubliceerd werd waarvoor geen reparatie meer beschikbaar kwam: er was een lek in de beveiliging van het systeem ontdekt. Dit lek werd (zoals gebruikelijk) gepubliceerd, zodat iedereen ervan op de hoogte was dat de betreffende software niet meer 100% veilig is. Maar er is niemand die iets kan doen om het lek ook daadwerkelijk te dichten – Microsoft doet het niet meer, terwijl alleen zij de benodigde broncode van het programma heeft. Kortom, een Windows XP systeem dat na 26 april 2014 nog in gebruik was, kon dus voor altijd als onveilig worden bestempeld, zou dat voor altijd blijven en bovendien weet iedereen ervan.

Dat zelfde scenario geldt nu voor Windows Server 2003. Er zijn nog geen kwetsbaarheden gepubliceerd, in ieder geval niet door Microsoft, maar dat is slechts een kwestie van tijd. Als uw organisatie nog Windows Server 2003 gebruikt, dan is het risico dat u kwetsbaar bent en zal blijven wel degelijk aanwezig. Dit zou er bijvoorbeeld uiteindelijk toe kunnen leiden dat er beveiligingsdoorbraken gaan plaatsvinden, met alle mogelijke consequenties van dien.
 

Software life cycle management

Dat software End-of-Life gaat en niet meer ondersteund wordt is natuurlijk niets nieuws. Het Nationaal Cyber Security Centrum (NCSC) heeft hier zelfs een mooi factsheet voor: “Software heeft een houdbaarheidsdatum”. Je zou dus kunnen zeggen dat het een bekend fenomeen is en iets tamelijk gebruikelijks en dat we allemaal weten wat we moeten doen. Dat blijkt in de praktijk toch minder waar te zijn, dus daarom hieronder nog enkele tips.

  • Migreer Windows Server 2003 bijtijds naar een nieuw besturingssysteem dat wel ondersteuning blijft ontvangen van de fabrikant.
  • Als deze migratie echt niet mogelijk is, dan kunt u uw systeem van het internet en andere netwerken afschermen en uitrusten met wat ze noemen een whitelisting oplossing. Dit zorgt ervoor dat alleen de broodnodige communicatie met de server plaatsvindt, en dat deze hopelijk beschermd wordt.
  • Zorg voor awareness binnen uw organisatie. Als systeembeheerders, product ontwikkelaars en security professionals niet weten dat een product niet meer ondersteund wordt, dan kan er geen actie ondernomen worden.
  • De beste oplossing is natuurlijk om dit allemaal te voorkomen. Zorg dat u op de hoogte bent van wanneer End-of-Life situaties zich voor gaan doen, zodat u vroegtijdig kunt migreren naar een nieuw systeem om het probleem voor te blijven.

Door met bovenstaande zaken rekening te houden en uw software op regelmatige basis te upgraden, kunt u risico’s met betrekking tot de beveiliging mitigeren.

Vond u dit nuttig?

Gerelateerde onderwerpen