Het recente nieuws dat de broncode van XP openbaar is gemaakt, is met gemengde reacties ontvangen. Het is begrijpelijk dat sommige mensen ervan uitgaan dat XP al zo lang niet meer wordt ondersteund dat het er niet echt toe doet. Er zijn echter een paar belangrijke manieren waarop deze blootstelling een ernstige impact kan hebben.

Ten eerste is er het risico voor kritieke verticals

Dit nieuws zette me aan het denken over het probleem dat nog steeds voortduurt met betrekking tot end of life-besturingssystemen die in verschillende sectoren doordringen. Terwijl het wereldwijde marktaandeel van Windows XP-machines slechts 0,82% is, neemt die prominentie echter toe in bepaalde industriesegmenten – waaronder geldautomaten en medische apparatuur.

Dus, toen ik ging zitten om dit te schrijven, reikte ik vrienden in de financiële en gezondheidszorgsectoren de hand om de kwestie wat meer te onderzoeken. Hoewel het ideale antwoord op de vraag “Hoeveel geldautomaten en medische apparaten draaien nog steeds op Windows XP?” 0% zou zijn, is de realiteit niet zo eenvoudig.

Op 8 april 2014 beëindigde Microsoft de standaardondersteuning voor Windows XP. Op dat moment schatte de Payment Card Industry Security Standards Council (PCI SSC) dat 95% van de geldautomaten wereldwijd Windows XP draaiden, en dus begon de migratie naar Windows 7. Trend Micro Research en Europol onderzochten de cyberbeveiligingsrisico’s voor geldautomaten verder in 2017.

Fast forward 6 jaar naar 14 januari 2020, toen Microsoft het end-of-life (EoL) van Windows 7 van kracht maakte. Geschat wordt dat de verhuizing 85% van de meer dan 3,5 miljoen geldautomaten met Microsoft OS’en wereldwijd zal treffen. Deze keer zullen de geldautomaten echter zowel de software als de hardware moeten upgraden. De kosten van deze upgrade voor de financiële instellingen en de exploitanten van geldautomaten zijn hoog, zowel wat betreft de daadwerkelijke uitgaven als wat betreft de totale middelen die nodig zijn om een dergelijke grootschalige verandering te ondersteunen.

Volgens degenen met wie ik heb gesproken, wordt het aantal geldautomaten waarop Windows XP nog draait, zelfs na 6 jaar, op ongeveer 25% geschat. Volgens een ruwe schatting zouden dat wereldwijd meer dan 750 duizend machines kunnen zijn, wat resulteert in een aanzienlijk risico.

Omdat de kosten van het bijwerken van die machines aanzienlijk zijn, dringen sommigen in de financiële sector aan op de Windows-besturingssystemen. Dit kan de kosten en de last van het upgraden van geldautomaten om de paar jaar verlichten, maar het lost het risico van aanvallen op geldautomaten niet op. Deze zomer nog bracht Diebold een waarschuwing uit waarin een nieuwe jackpotcampagne werd beschreven waarbij cybercriminelen gebruik maakten van een aangesloten black box om onwettige uitgifteopdrachten te versturen die mogelijk propriëtaire delen van de Diebold softwarestack bevatten. Of het nu Windows, Linux of zelfs een proprietary stack is, de kosten na verloop van tijd van het niet updaten van software zijn veel groter dan de initiële overstap, zowel in termen van blootstelling als risico.

In de gezondheidszorg is de blootstelling veel groter, en eerlijk gezegd is het risico dat ook. Een enorm deel van de blootgestelde met internet verbonden beeldvormingsapparaten in ziekenhuizen in de VS en wereldwijd draait op verouderde besturingssystemen, volgens een Trend Micro Research-rapport in 2017.

De medische apparaten die Windows XP draaien, omvatten machines die röntgenfoto’s, MRI’s, mammogrammen en CAT-scans maken. Het risico wordt tastbaar wanneer de toegang tot deze apparaten wordt verstoord, aangetast of geweigerd.

Er is ook risico buiten kritieke industrieën

Hoewel het risico voor kritieke industrieën en machines hoog is, is het niet het enige risicogebied dat Windows XP nog steeds vormt. Er zijn twee andere manieren waarop de blootstelling aan broncode een bredere impact kan hebben.

1. Sommige delen van de wereld vertrouwen nog steeds zwaar op dit besturingssysteem. Ondanks het einde van de ondersteuning is Windows XP op sommige wereldmarkten nog steeds in gebruik. Dit creëert een groot doelwit voor cybercriminelen die op zoek zijn naar een quick win.
2. Legacy systemen van Windows XP bestaan nog steeds in Windows 10. Cybercriminelen zouden kunnen zoeken naar XP-bugs in deze legacy-code die nog steeds wordt ondersteund, waardoor een levensvatbare exploit-keten ontstaat die zou werken op moderne OS’en.

Dustin Childs, communicatiemanager voor Trend Micro’s Zero Day Initiative, zei dit over de mogelijke impact:

“Op dit moment zijn exploit-ontwikkelaars waarschijnlijk de code aan het doorspitten op zoek naar bugs die ze kunnen gebruiken tegen moderne OS’en. Het is echter geen 1-op-1 vertaling. Moderne besturingssystemen hebben extra beveiligingen die uitbuiting moeilijker maken. Dit is nog een reden om te upgraden naar het nieuwste besturingssysteem om te profiteren van de nieuwe verdedigingsfuncties.”

Updates zijn nooit eenvoudig. Het ombouwen van een bedrijfsomgeving naar een nieuw besturingssysteem kost veel tijd en geld. Vermenigvuldig dat met de schaal van een overheid, ziekenhuissysteem, fabriek of wereldwijd verspreide geldautomaten, en je hebt een probleem dat velen niet aankunnen.