Nyheten om att källkoden till Windows XP har gjorts tillgänglig för allmänheten har mötts av olika reaktioner. Det är förståeligt att en del människor antar att det inte längre har haft stöd så länge att det inte spelar någon roll. Det finns dock några viktiga sätt på vilka denna exponering kan få allvarliga konsekvenser.

För det första finns det en risk för kritiska vertikaler

Denna nyhet fick mig att tänka på det problem som fortfarande kvarstår i samband med uttjänta operativsystem som genomsyrar olika sektorer. Den globala marknadsandelen för Windows XP-maskiner är visserligen bara 0,82 procent, men den framträdande ställningen ökar i vissa industrisegment – bland annat bankomater och medicinteknisk utrustning.

Så när jag satte mig ner för att skriva detta tog jag kontakt med vänner inom finans- och hälsovårdssektorerna för att undersöka frågan lite mer. Det ideala svaret på frågan ”Hur många bankomater och medicinska apparater kör fortfarande Windows XP?” skulle vara 0 %, men verkligheten är inte så enkel.

Den 8 april 2014 avslutade Microsoft standardstödet för Windows XP. Då uppskattade Payment Card Industry Security Standards Council (PCI SSC) att 95 % av bankomaterna i världen körde Windows XP, och därför började migreringen till Windows 7. Trend Micro Research och Europol undersökte ytterligare cybersäkerhetsriskerna för uttagsautomater 2017.

Fast forward 6 år till den 14 januari 2020 då Microsoft gjorde slutet av livscykeln (EoL) för Windows 7 effektivt. Det uppskattas att åtgärden kommer att påverka 85 % av över 3,5 miljoner bankomater som kör Microsofts operativsystem globalt. Den här gången kommer dock uppgraderingen att kräva att de som använder uttagsautomater uppgraderar både mjukvara och hårdvara. Kostnaden för denna uppgradering för finansinstitut och leverantörer av uttagsautomater är hög, både när det gäller den faktiska utgiften och deras totala resurser för att stödja en sådan omfattande förändring.

Enligt dem jag talade med är den uppskattade exponeringen av uttagsautomater som fortfarande kör Windows XP även efter 6 år ungefär 25 %. Enligt en grov uppskattning kan det handla om över 750 000 maskiner globalt, vilket innebär en betydande risk.

På grund av de betydande kostnaderna för att versionera dessa maskiner efterlyser vissa inom finanssektorn Windows-operativsystem. Detta kan minska kostnaderna och bördan av att uppgradera uttagsautomater med några års mellanrum, men det löser inte risken för attacker mot uttagsautomater. Så sent som i somras släppte Diebold en varning som beskrev en ny jackpotting-kampanj där cyberkriminella utnyttjade en ansluten svart låda för att skicka olagliga utlämningskommandon som potentiellt inkluderade proprietära delar av Diebolds programvarupaket. Oavsett om det är Windows, Linux eller till och med en proprietär stack är kostnaden över tid för att inte uppdatera programvaran mycket större än den första övergången, både när det gäller exponering och risk.

Inom hälso- och sjukvården är exponeringen mycket större, och uppriktigt sagt är risken det också. En stor del av de exponerade internetanslutna bildbehandlingsenheterna på sjukhus i USA och globalt kör föråldrade operativsystem, enligt en rapport från Trend Micro Research 2017.

De medicinska enheterna som kör Windows XP inkluderar maskiner som tar röntgenbilder, MRT, mammografier och datortomografier. Risken blir påtaglig när tillgången till dessa enheter störs, försämras eller nekas.

Det finns även risker utanför kritiska industrier

Men även om risken för kritiska industrier och maskiner är hög är det inte det enda riskområdet som Windows XP fortfarande utgör. Det finns två andra sätt på vilka exponeringen av källkoden kan få en bredare inverkan.

1. Vissa delar av världen är fortfarande starkt beroende av detta operativsystem. Trots att stödet har upphört är Windows XP dominerande på vissa globala marknader. Detta skapar ett stort mål för cyberkriminella som är ute efter en snabbvinst.
2. Legacy-system från Windows XP finns fortfarande kvar i Windows 10. Cyberkriminella kan leta efter XP-buggar i dessa äldre koder som fortfarande stöds, vilket skapar en fungerande kedja för exploatering som skulle fungera på moderna operativsystem.

Dustin Childs, kommunikationsansvarig för Trend Micros Zero Day Initiative, säger så här om den möjliga effekten:

”Just nu är det troligt att utvecklare av exploateringsmetoderna häller igenom koden för att leta efter buggar som de kan använda mot moderna operativsystem. Det är dock inte en 1-till-1-översättning. Moderna operativsystem har ytterligare begränsningsåtgärder som gör det svårare att utnyttja dem. Det är ytterligare en anledning till att du bör uppgradera till det senaste operativsystemet för att dra nytta av de nya försvarsfunktionerna.”

Uppdateringar är aldrig enkla. Att se över en typisk företagsmiljö för att köra ett nytt operativsystem kräver betydande lyft och budget. Om man multiplicerar detta med en myndighet, ett sjukhussystem, en fabrik eller globalt utspridda bankomater, står man inför ett problem som många inte klarar av att hantera.