"Använd inte Microsofts webbserver"

Analysföretaget Gartner varnar för IIS efter virusattackerna

Virusattackerna från Code Red och Nimda har orsakat enorma problem och ekonomisk skada för företag världen över.

Nu uppmanar analysföretaget Gartner företag att byta ut Microsofts Internet Information Server, IIS, mot säkrare alternativ.

Både Code Red och Nimda-masken utnyttjar ett säkerhetshål i IIS. Inga andra serverprogramvaror drabbades av virusattackerna.

Gartner skriver i ett pressmeddelande att de rekommenderar företag som drabbats av både Code Red och Nimda att snarast hitta alternativ till webbserverprogramvaran. De hänvisar bland annat till konkurrenterna iPlanet och Apache.

"Även om de här webbservrarna har krävt några programfixar har de visat sig betydligt säkrare än IIS, och attackeras heller inte av så många virusmakare eller maskskapare." skriver Gartner, som inte tror att Microsoft kommer att kunna täppa till säkerhetshålen förrän i slutet av 2002.

"Dyrt att bevara säkerheten"

"Code Red visade också hur lätt det är att attackera IIS-servrar", skriver Gartner i sitt pressmeddelande. "Därför blir det dyrt att bevara säkerheten på IIS-servrar som är tillgängliga via webben. Företag som använder Microsofts IIS-serverprogramvara måste uppgradera varje IIS-server med varje programfix som ges ut - nästan veckovis."

Det är ovanligt att ett analysföretag som Gartner går ut och varnar så här kraftigt mot en specifik tillverkares produkter.

- När man väljer programvara måste man väga in säkerhetsaspekter, säger Per Hellqvist, säkerhetsexpert på antivirusprogramföretaget Symantec.

- Vissa programvaror är känsligare än andra, på grund av en stor användarskara men även missar i designen. Det är bra att Microsoft får press på sig att höja säkerheten, tillägger han.

"Förvånad över rekommendationen"

Ulf Alvarsson är produktchef för Windows 2000 Server, där IIS ingår, på Microsoft. Han ställer sig frågande till Gartners kritik.

- Jag är förvånad över att de går ut med den här typen av rekommendation. Säkerhetsproblem drabbar alla plattformar, inte bara oss. Alla har haft säkerhetshål, säger han.

Han är noga med att påpeka att det bara är de som inte har uppdaterat sina system som drabbats av maskvirusen, och att det finns programfixar att ladda hem för att täppa till säkerhetsluckorna.

Är det rimligt att begära att företagen ska lägga ner så mycket tid och resurser på att hålla systemen uppdaterade?

- Tyvärr är det så att man måste arbeta aktivt med säkerhet. Vi har tagit fram olika verktyg för att underlätta det arbetet, bland annat nyhetsbrev, en särskild säkerhetssajt och program som håller koll på när det finns nya programfixar, säger han.

Hjälp för IIS-administratörer

Här är några länkar som Microsoft tillhandahåller för dig som har en IIS-server och vill försäkra dig om att den klarar ett virusangrepp.

Lotta Holmström