Az IIS megérett a cserére?

A neves piackutató cég, a Gartner a napokban kiadott egy közleményt, melyben felhívja a nagyobb vállalatok figyelmét arra, hogy amennyiben a Microsoft IIS (Internet Information Server) szoftverét használják, megfontolandó lenne a valamely sokkal komolyabb biztonságot nyújtó szoftverre történő átállás, ugyanis a közelmúltban felbukkant és nagy károkat okozó Code Red és Nimda férgek eléggé megtépázták az IIS hírnevét. A múlt héten világhódító útjára indult Nimda féreg egyébként a webalapú Code Red féreg bizonyos részeire épül, és az IIS ugyanazon puffertúlcsordulási sebezhető pontját használja ki, mint a Code Red. A trend tehát azt mutatja, hogy a vírusprogramok írói és a hackerek egyre szívesebben használják ki az IIS sebezhető pontjait, ami a Gartner szerint elegendő okot adhat arra, hogy a nagyobb cégek örökre elfelejtsék az IIS-t, és inkább egy másik hasonló szoftvert vegyenek igénybe.

"Az internetre rákapcsolt IIS webszerverek elég nagy veszélyt jelenthetnek a cégek számára. A Nimda féreg újra megmutatta, hogy az IIS szoftver használata milyen veszélyeket rejt magában, így szerintünk sokkal érdemesebb a konkurens cégek hasonló szoftvereit használni, mint folyamatosan letölteni és üzembe helyezni a Microsoft különböző IIS javítócsomagjait és patch-eit" - áll a Gartner által a napokban kiadott jelentésben, mely jelentés az iPlanet és Apache szoftvereket tekinti az IIS méltó alternatívájaként.

Néhány antivírus szakértő szerint azonban a Gartner cég jelentését nem kell komolyan venni. Graham Luley, a számítógépes biztonsági megoldásokkal foglalkozó Sophos cég technológiai konzultánsa szerint világszerte sokkal komolyabb károkat okozna, ha minden nagyobb cég átállna egy másik webszerver szoftverre, mintha szépen csöndben minden érintett telepítené a Microsoft által bizonyos időközönként kiadott javítócsomagokat az IIS-re.

"A Code Red ügy szerintem sokkal inkább a minden szoftverben megtalálható bugokról, vagyis hibákról szólt, mintsem a Microsoft IIS szoftverének a sebezhetőségéről. A Code Red gyors terjedéséért és az általa okozott károkért szerintem leginkább azok a rendszeradminisztrátorok okolhatók, akik nem vették komolyan a Code Red veszélyeire figyelmeztető felhívásokat és nem telepítették a megfelelő patch-eket" - nyilatkozta Cluley.