Gartner Group zaleca administratorom WWW rezygnowanie z oprogramowania IIS Microsoftu.

Po serii głośnych ataków m.in. wirusów Code Red i Nimda, które dały się we znaki administratorom systemów opartych na Microsoft Internet Information Server, firma analityczna Gartner Group opublikowała raport, który zawiera jednoznaczną sugestię - użytkownicy powinni jak najszybciej zrezygnować z IIS.

Alternatywne rozwiązania zapewniają większe bezpieczeństwo, czego dowodzą badania częstotliwości "infekcji" różnych serwerów internetowych. Internet Information Server jest celem zmasowanych ataków. Ciągłe "łatanie" IIS jest pracochłonne i ryzykowne - kontynuują autorzy raportu. Analitycy Gartner Group radzą więc zaniechanie korzystania z IIS, przynajmniej do czasu pojawienia się nowej, przebudowanej od podstaw wersji i udostępnienia jej do publicznych testów. W opinii firmy analitycznej, nie nastąpi to wcześniej niż pod koniec 2002 r.

Choć zwykle przy okazji kolejnych ataków internetowych gniew opinii kieruje się w stronę Microsoftu, którego produkty umożliwiają rozprzestrzenianie się wirusów, tym razem jednak wielu analityków i użytkowników skrytykowało główne tezy Gartnera.

Niefrasobliwość administratorów

Według szacunkowych ocen, z Inter-net Information Server korzysta ok. 6 mln serwerów internetowych. Tylko w 2001 r. znaleziono ponad 10 poważnych błędów w IIS i powiązanych z tym serwerem elementach Windows. Kierownictwo Microsoftu, świadome zagrożeń, zorganizowało specjalną komórkę, której zadaniem jest współpraca z użytkownikami i informowanie ich o dostępnych poprawkach.

Sieciowi przestępcy najczęściej wykorzystują zaniedbania administratorów, którzy nie przypilnowali aktualizacji oprogramowania. Gdyby nie nagminne niedbalstwo lub niewiedza osób odpowiedzialnych za obsługę serwerów internetowych, prawdopodobnie udałoby się udaremnić sporą część ataków, w tym także ostatnie dwa spowodowane przez groźne wirusy - Code Red i Nimda.

Wirus Nimda, który w ciągu kilku godzin zaraził dziesiątki tysięcy komputerów i istotnie ograniczył przepustowość sieci, wykorzystuje znane już od kilku miesięcy luki w IIS. Również Code Red, który w lipcu i sierpniu br. zainfekował setki tysięcy serwerów pracujących pod kontrolą oprogramowania Microsoftu, wykorzystywał błąd, który można było usunąć instalując poprawkę, dostępną już w czerwcu br.

Czyja wina?

W dyskusji rozpętanej po publikacji raportu słychać opinię, że użytkownicy mają kłopoty ze zidentyfikowaniem, która aktualizacja jest przeznaczona dla danej wersji aplikacji, a proces instalacji poprawek jest czasochłonny. Niektórzy administratorzy skarżą się, że programy narzędziowe Microsoftu, przeznaczone do śledzenia dostępności odpowiednich uaktualnień, wskazują błędne wyniki.

Zdecydowana większość internautów, biorących udział w dyskusji, zakwestionowała jednak wnioski opublikowane przez Gartner Group. Przeważa opinia, że Microsoft nie ponosi winy za obecny stan rzeczy. Odpowiedzialnością obarcza się nieodpowiedzialnych administratorów. "Atakowane są te systemy, które są najczęściej stosowane. Z tego względu porównanie IIS z rzadziej wykorzystywanymi serwerami może być mylące. Zmiana serwera nie musi oznaczać zwiększenia bezpieczeństwa" - dodaje analityk z Forrester Research.

Przedstawiciele Microsoftu uważają natomiast, iż "rekomendacja zawarta w raporcie Gartnera ignoruje fakt, że bezpieczeństwo jest problemem dotyczącym całego przemysłu, a poważne luki w systemach zabezpieczeń zostały wykryte również we wszystkich innych aplikacjach obsługujących serwery internetowe na różnych platformach". Stanowisko Microsoftu sprowadza się do tego, że IIS jest tak samo bezpieczny, jak produkty konkurencyjne.

Czy sugestie cieszącej się dużym autorytetem Gartner Group zaważą na popularności IIS? W przypadku firm korzystających z IIS jest mało prawdopodobne, by nastąpiła masowa migracja. Firmy zainwestowały znaczne środki w tę platformę WWW i trudno oczekiwać, że teraz ją zmienią. Rekomendacja Gartner Group może mieć większe znaczenie dla firm, które decydują się na wdrożenie serwerów WWW.