Gates weerspreekt kritiek op veiligheid Microsoft-software

Bijna twee jaar geleden introduceerde Bill Gates in een e-mail aan zijn werknemers het ‘Trustworthy Computing’-initiatief. Zijn boodschap: beveiliging en betrouwbaarheid hebben vanaf nu topprioriteit bij de ontwikkeling van software. Sinds die accentverschuiving hebben internetgebruikers steeds meer virussen te verwerken gehad. Een paar van de meest wijd verspreide, zoals SQLSlammer en MSBlaster, maakten gebruik van zwakheden in Microsoft-producten. Microsoft zelf heeft sinds Gates’ e-mail 110 beveiligingsbulletins met patches voor Microsoft-producten uitgebracht. En vorige week spande een vrouw in Californië zelfs een rechtszaak tegen Microsoft aan; ze verwijt het bedrijf dat ze het slachtoffer van fraude is geworden door de slechte staat van beveiliging van de Microsoft-software. Deze kritiek maakt weinig indruk op Gates, bleek afgelopen week op de drukbezochte TechEd-conferentie van Microsofts Software Developers Network in Den Haag. Het aantal virussen en wormen dat op internet circuleert mag dan toegenomen zijn, voor hun invloed op de computers die aan internet gekoppeld zijn geldt dit zeker niet, meent Gates. "Zo erg als met de I Love You-worm en het Code Red-virus is het niet meer geweest." Hij blijkt juist heel tevreden met de resultaten die Microsoft op beveiligingsterrein heeft geboekt. "Onze code wordt steeds veiliger. Met kwaliteitsinspecties en de toepassing van moderne testmethoden zoals statische analyse hebben we enorme vooruitgang geboekt. Om een idee te geven: in de eerste acht maanden van zijn bestaan hebben we voor Windows Server 2003 - waar we deze methoden voor het eerst volledig toepasten - twaalf beveiligingsbulletins moeten publiceren. Bij Windows 2000 waren het er 43. En tussen haakjes: voor Linux waren er in die periode negentig van zulke bulletins. Overigens is twaalf in acht maanden nog te veel, dat willen we nog met een factor tien terugbrengen. Maar het is wel een enorme verbetering." "Daarnaast hebben we het tempo waarin we problemen oplossen, versneld van gemiddeld 48 naar 24 uur, dankzij verbeterde processen en de inzet van gespecialiseerde teams en dankzij een doorbraak op het vlak van regressietesten. Ook daar leggen we de lat nog hoger: de bedoeling is die responstijd terug te brengen naar twaalf uur." "Het derde terrein waarop we maatregelen hebben genomen is de verspreiding van virussen. We hebben het makkelijker gemaakt om firewalls te installeren en beveiligingspatches door te voeren. Dat werkt. Microsoft-klanten die hun software up-to-date hebben gehouden en een firewall gebruiken, hebben geen problemen ondervonden van de recente virussen en wormen op internet." Gates schrikt overigens wel terug voor het hardop uitspreken van de logische conclusie van zijn vorige opmerking: dat het je eigen schuld is wanneer je getroffen wordt door virussen en wormen. "Ik kan niet beoordelen of het de eigen schuld van getroffen bedrijven en personen is; in ieder geval stel ik wel vast dat Microsoft er mede schuld aan heeft omdat onze update-functie niet makkelijk genoeg te gebruiken was en de voorlichting aan gebruikers van onze producten tekortschoot." Hij wijst als voorbeeld van dat laatste op problemen in het verleden met draagbare computers, die onvoldoende gescand werden op virussen en op achterhaalde versies van de geïnstalleerde software, waardoor virussen achter de firewall konden komen. Een bekend voorbeeld is de auto-update-functie, die Microsoft vroeger niet standaard ingeschakeld had. Daardoor werden belangrijke beveiligingspatches lang niet altijd tijdig geïnstalleerd. Gates gaat nog net niet zover dat hij het uitschakelen ervan onmogelijk wil maken, maar de auto-update-functie is tegenwoordig wel standaard ingeschakeld. Veel systeembeheerders zullen zich achter de oren krabben bij deze verandering. Er is namelijk altijd veel kritiek geweest op de manier waarop Microsoft zijn patches verspreidde. Het installeren van de continue stroom patches vergt veel werk, beïnvloedt de beschikbaarheid van computersystemen negatief en leidt soms ook tot storingen in de bedrijfsinfrastructuur. Het aanbieden van patches wordt nu door Microsoft gestroomlijnd om dergelijke problemen te voorkomen, belooft Gates. "Er zal duidelijk onderscheid gemaakt worden tussen verbeteringen die ernstige beveiligingslekken dichten en minder kritieke verbeteringen van de Microsoft-software. Die laatste zullen voortaan nog maar eenmaal per maand gedistribueerd worden, maar de kritieke patches zullen uitgebracht worden zodra daar aanleiding toe is." Gates raadt bedrijven wel aan niet te talmen met installeren van dergelijke patches, als ze de auto-update-functie uitgeschakeld hebben. "Virusschrijvers reageren steeds sneller op het bekend worden van zwakke plekken in software. Bij Code Red duurde het na publicatie van de patch nog zeven of acht maanden voordat er een programma verscheen dat internet afging op zoek naar ongepatchte systemen. Nu zie je de aanval soms al twee weken nadat we een patch uitgebracht hebben. Dat betekent dat het checken op beveiligingspatches die het predikaat ‘kritiek’ meekrijgen voor je infrastructuur, dagelijkse routine behoort te zijn voor systemen die met internet verbonden zijn." Andere kritiekpunten, zoals het publiceren van ondeugdelijke patches die de werking van systemen verstoren en het tijdsbeslag van patchen, worden door Microsoft eveneens aangepakt. De mogelijkheid om een patch ongedaan te maken, wordt standaard voor alle patches. Bovendien wordt de omvang van de patches waar mogelijk aangepast. "We hadden de gewoonte om bij problemen het hele bestand als patch op de lijn te zetten. Daardoor zaten gebruikers soms megabytes code te downloaden, terwijl wij maar 20 bytes veranderd hadden. In de toekomst gaan we alleen de aangepaste stukken code als patch verspreiden. Voor sommige patches zal dat al volgende maand het geval zijn, en begin volgend jaar moet voor alle patches gelden dat we alleen de gewijzigde code rondzenden." De belangrijkste problemen die nu nog moeten worden aangepakt, zitten in de fundamenten van internet, niet in de Microsoft-producten op zich, stelt Gates. Hij denkt daarbij aan veranderingen in het voor e-mailverkeer gebruikte protocol SMTP, zodat je in de toekomst wel kunt verifiëren wie de afzender van een mailtje is. Dat zou de virus- en wormschrijvers de wind uit de zeilen nemen en en passant ook het sturen van ongevraagde mail bemoeilijken. Verder is volgens hem de overstap van wachtwoordbeveiliging naar een systeem van beveiliging met smart cards nodig, en verwacht Gates ook het nodige van een zodanige aanpassing van internetpackets dat een kwaadwillende zich niet kan verschuilen achter het internetadres van derden. De kritiek dat Microsoft-producten door hun ontwerp onveilig zijn, wuift Gates weg. Die bewering werd enige maanden terug gedaan in het rapport CyberInSecurity, dat in opdracht van de Computer Industry Association of America - een verklaard tegenstander van Microsoft - werd opgesteld. De auteurs van dit rapport redeneren, dat Microsoft zijn producten met opzet zo veel mogelijk integreert om het concurrenten moeilijk te maken. Onbedoeld neveneffect hiervan is, dat de Microsoft-software bovenmatig complex is. Daardoor zijn de producten ook voor de ontwerpers weinig inzichtelijk, waardoor het steeds moeilijker zou worden ze adequaat te beveiligen. In Windows zouden daardoor 15 tot 35 maal zoveel zwakke plekken zitten dan in andere besturingssystemen, aldus het rapport. Gates zegt het rapport niet te kennen, maar vindt de kritiek onzin. "Per regel code zitten in onze producten minder lekken dan in producten van anderen. Dat komt omdat we zoveel geld investeren in beveiliging. Ongeveer een derde van het R&D-budget van 6,8 miljard dollar wordt besteed aan beveiligingsgerelateerde zaken. Bovendien is onze software het best in de praktijk getest, dankzij de blootstelling van miljoenen kopieën aan internet. De vraag is dan of je software veiliger wordt wanneer je het in allerlei losse componenten van verschillende leveranciers koopt. Ik geloof dat niet. Wordt het minder complex, beter inzichtelijk, en veiliger, wanneer je zelf je besturingssysteem samenstelt uit onderdelen die niet gezamenlijk ontwikkeld zijn, heel andere foutboodschappen genereren en ook nog eens op geheel eigen wijze onafhankelijk van elkaar getest zijn? Integratie bevordert juist de eenvoud en kwaliteit van software." Logische conclusie uit Gates’ pleidooi voor integratie zou kunnen zijn dat de nadruk die Microsoft en andere softwareleveranciers leggen op web services als toekomstig softwareparadigma, de risico’s van internet en het zakendoen via dat medium vergroten. In plaats van nauwe integratie leidt het web-services-paradigma immers - zoals Gates zelf ook stelt - tot het opnemen van uiteenlopende platforms in een los verband van autonome systemen. Volgens Gates is dat probleem tijdig onderkend en op afdoende wijze aangepakt door de gezamenlijke softwareleveranciers. "De WS-Security-specificatie zorgt ervoor dat er van aanvang af rijke, flexibele beveiligingsmogelijkheden ingebouwd worden in de betreffende internetprotocollen. In die specificatie vind je de ideeën terug van bedrijven als Microsoft, IBM, Verisign en alle anderen die bij de - nog lopende - vaststelling van de specificatie betrokken zijn. Geen enkel protocol is ooit op die manier van de grond af aan vanuit het beveiligingsperspectief gebouwd. Dat is overigens geen overbodige luxe. Het doel ervan is de communicatie mogelijk te maken tussen systemen waarvan de ontwikkelaars elkaar niet noodzakelijkerwijs kennen, en waarvan je ook niet zeker weet of je het systeem aan de andere kant wel volledig kunt vertrouwen. De ‘web services contract modeling language’ die gebruikt wordt om daarbij tot afstemming te komen tussen gegevensstromen van communicerende systemen zonder dat gegevens al door de programmatuur verwerkt worden, maakt deze oplossing bijzonder robuust. Die methodiek is niet alleen bruikbaar bij communicatie via internet, maar ook voor communicatie tussen softwaremodules. Sommige van die technieken gebruiken we ook zelf bij de ontwikkeling van onze software." foto: fotopersburo dijkstra/cor salverius