Trustwave antwortet auf sechs gängige Fragen zum Ende von Windows XP
Aufgrund der vielfältigen Fragen zum Ende des Microsoft Betriebssystems Windows XP am 08. April 2014 hat der IT-Sicherheitsexperte Gregory Rosenberg die sechs gängigsten Fragen und Antworten im Trustwave Blog zusammengefasst:
1. Wann wird genau Windows XP abgekündigt?
Das langjährig auf dem Markt befindliche Betriebssystem Microsoft Windows XP wird von Microsoft ab dem 08. April 2014 nicht mehr supported. Ab diesem Zeitpunkt wird Microsoft keine offiziellen Sicherheitsupdates mehr für entdeckte Schwachstellen in Windows XP bereitstellen. Und dies ist genau das Problem, da Ende 2013 noch in etwa Dreiviertel bis ein Drittel aller weltweiten Desktop PCs Windows XP als Betriebssystem im Einsatz hatten.
2. Ist die Einstellung der Sicherheitsupdates wirklich ein so großes Problem?
Es gibt eine Sache, bei der man sich bezüglich Cyber-Attacken sicher sein kann: Es wird immer der Weg des geringsten Widerstandes beim Ausführen einer Attacke gewählt. Je niedriger der Aufwand für eine erfolgsversprechende Attacke ist, desto besser. Gerüchten zur Folge ist der Schwarzmarkt für noch nicht öffentlich bekannte Schwachstellen in Windows XP im letzten Jahr explosionsartig gewachsen. Es macht den Eindruck, als würden die Angreifer massenweise Angriffscodes zum Ausnutzen von Schwachstellen horten und diese erst einsetzen, wenn Microsoft keine offiziellen XP Patches mehr veröffentlicht. Was aber nicht nur ein Gerücht, sondern bei Codeanalysen von Angriffen beobachtbar ist: Es gibt etliche Gemeinsamkeiten im Code von Windows XP und neueren Microsoft Betriebssystemen. Wenn nun Microsoft Sicherheits-Patches für die neueren Microsoft Betriebssysteme veröffentlicht, dann werden die Angreifer diese geschlossenen Sicherheitslücken genau untersuchen und testen, ob diese Sicherheitslücken nicht auch in Windows XP vorhanden sind…
3. Welche Möglichkeiten haben Unternehmen, die ihre Rechner bis jetzt noch nicht auf ein anderes oder neueres Betriebssystem migriert haben?
Zu Beginn sollte man in seinem Netzwerk erst einmal eine Risikoanalyse durchführen und genau feststellen, auf welchen Systemen Windows XP eingesetzt wird. Wenn diese Systeme identifiziert sind, sollten sie entsprechend von aktuellen IT-Sicherheitssystemen überwacht werden. Wenn die Anzahl der XP Systeme größer als erwartet ist, sollte das Unternehmen sehr schnell über einen massiven Ausbau der gesamten Netzwerksicherheit einschließlich Anti-Malware, Intrusion Detection und Prevention sowie eines ganzheitlichen Netzwerkmonitorings nachdenken (nicht nur nachdenken, sondern auch umsetzen!). Natürlich sollten auch so grundlegende Dinge wie die massive Einschränkung von Privilegien für diese Systeme und die permanente Überprüfung, dass nur die neueste Browserversion auf solchen Systemen eingesetzt wird, vorgenommen werden.
Kunden mit einem gültigen Microsoft Wartungsvertrag werden für ihre XP Systeme noch bis zum 14. Juli 2015 Updates der Anti-Malware Signaturen für XP von Microsoft erhalten.
4. Stimmt das Gerücht, dass die Abkündigung des Supports für das Windows XP Betriebssystem auch die auf XP basierenden „Embedded“ Systeme – wie bspw. Verkaufsterminals, die auch mit Kreditkarteninformationen agieren – betrifft?
Obwohl Microsoft eine Supportverlängerung für einige auf Windows XP basierende „Embedded“ Systeme angekündigt hat, so endet der Support für das weitverbreitete Windows XP Professional for Embedded System – welches identisch zu Windows XP ist – auch am 08. April 2014. Hier die Auflistung der Embedded Versionen mit ihren Support-Endzeiten von der Microsoft Webseite (http://blogs.msdn.com/b/windows-embedded/archive/2014/02/17/what-does-the-end-of-support-of-windows-xp-mean-for-windows-embedded.aspx):
The following Windows Embedded products are based on Windows XP:
- Windows XP Professional for Embedded Systems. This product is identical to Windows XP, and Extended Support will end on April 8, 2014.
- Windows XP Embedded Service Pack 3 (SP3). This is the original toolkit and componentized version of Windows XP. It was originally released in 2002, and Extended Support will end on Jan. 12, 2016.
- Windows Embedded for Point of Service SP3. This product is for use in Point of Sale devices. It’s built from Windows XP Embedded. It was originally released in 2005, and Extended Support will end on April 12, 2016.
- Windows Embedded Standard 2009. This product is an updated release of the toolkit and componentized version of Windows XP. It was originally released in 2008; and Extended Support will end on Jan. 8, 2019.
- Windows Embedded POSReady 2009. This product for point-of-sale devices reflects the updates available in Windows Embedded Standard 2009. It was originally released in 2009, and extended support will end on April 9, 2019.
Aufgrund dieser Ankündigung sollten sich auch Händler, die diese POS Systeme einsetzen, durchaus der Risiken nach dem 08. April 2014 bewusst sein. Vor allem wenn man den alarmierenden Trend der gezielten Malwareentwicklung für POS-Systeme verfolgt…
Die meisten Unternehmen sind sich des Risikos von nach wie vor im Einsatz befindlichen XP Systemen bewusst – und das die Deadline bezüglich des offiziellen Supports mittlerweile überschritten ist. Aber ob sich Finanzinstitute und Händler sich auch darüber bewusst sind, dass XP auf ihren Verkaufssystemen läuft? Ob dies überhaupt schon realisiert wurde? Beängstigend…
5. Wenn man die offizielle Einstellung des Supports von Windows XP und diesen Malware-Trend für POS Systeme bedenkt – wie wichtig ist die Unterstützung durch Lösungen von Drittanbietern?
Es gibt eine ganze Reihe von sinnvollen Schritten, die Unternehmen zu ihrem eigenen Schutz vor Angriffen auf POS Systeme durchführen können. Das kürzlich von Trustwave veröffentlichte Whitepaper „Combatting Point-of-Sale Malware“ enthält wichtige Hilfestellungen wie die gezielte Überwachung der Logdateien von Remoteverbindungen, die Segmentierung dieser Systeme vom Rest des Netzwerkes, die permanente Änderung von Passwörtern, Pen-Tests und die Implementierung leistungsstarken Malwareerkennungslösungen.
Das Whitepaper endet mit einer wichtigen Warnung: „Handeln Sie immer unter der Annahme, dass nicht nur so ein Vorfall eventuell möglich ist – er ist unmittelbar bevorstehend (wenn nicht schon passiert)“. Unter der Berücksichtigung dieser Annahme sollten vor allem Händler proaktiv mögliche Angriffsvektoren beispielsweise unter Zuhilfenahme der Lösungen von Unternehmen wie Trustwave durchführen lassen. Spezialisten sind in der Lage festzustellen, ob man bereits das Opfer einer Attacke wurde oder gerade angegriffen wird. Das Ziel ist hierbei, denn Vorfall / Angriff so schnell wie irgendwie möglich zu erkennen, um den Schaden, den Zeitaufwand und die Reparaturkosten zu minimieren.
6. Verletzt man Compliance Vorgaben, wenn man noch XP auf POS Systemen einsetzt?
In diesem Artikel wird behauptet, dass der Betrieb von XP auf POS Systemen nach dem 08. April 2014 die PCI DSS 6.2 Vorgabe verletzt, da von Händlern immer die Installation des letzten Sicherheitspatches gefordert wird. Es kann angenommen werden, dass in etwa 30 Prozent aller im Umlauf befindlichen POS Systeme XP einsetzen – und die meisten Händler sind sich dessen aus unterschiedlichsten Gründen nicht einmal bewusst.
Wenn Unternehmen in der zwingenden geschäftlichen Lage sind, noch weiterhin auf Windows XP basierende POS Systeme einsetzen zu müssen, dann müssen sie auch kompensierende Kontrollmaßnahmen wie Web Application Firewalls, Whitelisting, IPS/IDS und eine Patch-Unterstützung implementieren, um die Compliance Vorgaben erfüllen zu können. Natürlich ist die beste Option alle XP POS Systeme auf Windows Embedded umzustellen – aber das ist Kosten- und Zeitintensiv.
Derzeit sind Alle etwas durcheinander und unsicher. Das Wichtigste ist aber, die richtige Aufmerksamkeit für diese Thematik zu haben. Wenn sich Unternehmen des Risikos bewusst sind und entsprechende Maßnahmen ergreifen, dann kann das wesentlich dazu beitragen, zumindest schon die Hälfte des Kampfes gegen die Angreifer zu gewinnen.
Quelle: Trustwave Weblog – Autor: Gregory Rosenberg
Über Trustwave
Trustwave hilft Unternehmen, sich vor den Cyberbedrohungen zu schützen, die eigenen Daten abzusichern und die Sicherheitsrisiken zu minimieren. Mit den eigenen Cloud- und Managed Security Services, den integrierten Technologien und einem globalen Team von IT-Sicherheitsexperten, ethischen Hackern und Forschern ermöglicht Trustwave Unternehmen, Organisationen und Behörden ihre Informationssicherheit und Compliance-Programme vor allem auch im Zuge geschäftlicher IT-Herausforderungen wie Big Data, BYOD und Social Media zu gewährleisten. Über zwei Millionen Geschäftskunden haben sich bereits der Trustwave TrustKeeper (R) Cloud Plattform angeschlossen, über die Trustwave automatisiert, effizient und kosteneffektiv den richtigen Datenschutz, ein umfassendes Risikomanagement und einen intelligenten Schutz vor Bedrohungen bereitstellt. Trustwave ist ein im Privatbesitz befindliches Unternehmen mit Hauptsitz in Chicago (USA). Das Unternehmen verfügt über Kunden in 96 Ländern auf der ganzen Welt. Weitere Informationen zu Trustwave finden Sie unter www.trustwave.com