Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

onsdag 24. mars 2010

Norske bedrifter og Internet Explorer 6

I den senere tid har ulike nettaviser ved flere anledninger slått opp at ansatte i flere store, norske bedrifter fremdeles benytter Internet Explorer 6 (IE 6). Samtidig har sikkerhetsaktører som bl.a. NorSIS på generelt grunnlag gått ut og advart mot å benytte den 9 år gamle nettleseren, som har en rekke sårbarheter og svakheter knyttet til seg. Årsakene til at IE6 fremdeles benyttes i en del norske bedrifter kan nok være mange og komplekse, men i hovedsak antar vi at den benyttes pga. kompatibilitet mot gamle og/eller egenutviklede applikasjoner. I det følgende vil vi se litt på utbredelsen av de ulike nettleserne i norske bedrifter, og sette dette i et sikkerhetsperspektiv.

Oversikten under viser fordelingen av de ulike nettleserne observert ifbm. webtrafikk hos et representativt utvalg av TSOC sine norske kunder. Dette er kunder som kjøper tjenesten sikkerhetsovervåking av Telenor, og datagrunnlaget for oversikten antas å være et tilnærmet gjennomsnitt av norske bedrifter.


Som oversikten viser, har Internet Explorer totalt sett en andel på over 85%. Sammenlikner man med nettleserstatistikken mot Finn.no for februar 2010, ser man at den totale IE-andelen der er 66,9%. Forskjellen forklares nok best med at privatbrukere av finn.no har vært langt flinkere til å ta i bruk alternative nettlesere enn bedrifter. Mer bekymringsfullt er det at omlag 26% av bedriftsbrukerne fremdeles benytter IE 6, en nettleser som i følge SecurityFocus skal ha hele 396 upatchede svakheter av varierende alvorlighetsgrad knyttet til seg. Skjeler man til Finn.no igjen, ser man at andelen IE 6 brukere her er nede i 5,6%. Også IE 7 og IE 8 har endel upatchede svakheter i seg, hhv. 15 og 31. Til sammenlikning har Firefox og Opera for øyeblikket ingen upatchede sårbarheter i seg. I sikkerhetsbransjen er det da også en generell oppfatning at Microsoft ofte benytter lengre tid enn konkurrentene på å tette nye svakheter som blir oppdaget/publisert.

Det skal også nevnes at Internet Explorer var hovedangrepsvektor i det som sikkerhetsbransjen har døpt Operasjon Aurora, der flere store, internasjonale selskaper i perioden desember 2009 til februar 2010 ble utsatt for målrettede angrep fra Kina vha. en da ukjent sårbarhet i IE 6/7/8. Det har i ettertid kommet frem at Microsoft hadde kjent til svakheten siden september 2009, og planla å slippe en fiks i forbindelse med deres sikkerhetsoppdatering for februar 2010. Fiksen ble imidlertid gitt ut som en hasteoppdatering den 21. januar.

Tallene over viser at en rekke norske bedrifter idag løper en betydelig risiko for å bli kompromittert ved å benytte IE 6. Her bør det fokuseres på å oppgradere, eventuelt fase ut, gamle applikasjoner slik at man kan ta i bruk nyere versjoner av IE, og dermed redusere denne risikoen. Dette er imidlertid ofte både kostbart og tidkrevende å gjennomføre i praksis. Derfor kan en løsning der man tar i bruk en alternativ nettleser for ekstern bruk, og kun benytter IE 6 mot interne/proprietære applikasjoner, være en akseptabel løsning mens man er i denne prosessen.

1 kommentar:

itinsecurity sa...

Jeg sitter med følelsen av at bildet egentlig er enda litt mørkere enn det gis uttrykk for i denne bloggposten.

For er det virkelig et gjennomsnitt av bedrifter som kjøper sikkerhetsovervåking?
Eller er det de som er antatt mer sikkerhetsbevisste (eller i alle fall som bruker mer penger på sikkerhet)?

I så fall er det skremmende at de fortsatt henger så langt etter i applikasjonsforvaltningen.

Kanskje er de bare overmodige og tror de har kontroll, nettopp fordi de faktisk har gjort (noen) fornuftige investeringer i sikkerhet. Det ville ikke forundre meg. Jeg har møtt flere som feks. tror de er trygge fordi de har kjøpt sikkerhetsprodukt X. Men de glemmer å tenke på helheten (for eksempel å passe på applikasjonene sine, og ikke bare stole på brannmurer el. likn) og dermed faller de for relativt enkle grep.

Sikkerhet er ikke gjort i en håndvending, selv ikke for de sikkerhetsbevisste...

 
>