Microsoft lijkt de diverse problemen met zijn producten en de kritiek daarop serieus te gaan nemen. Mede-oprichter en software-architect Bill Gates roept zijn troepen op beveiliging topprioriteit te geven. Critici bestempelen deze oproep als slechts een pr-gebaar, maar er zijn tekenen dat de softwareproducent het roer omgooit zoals het eerder in 1995 deed.
Toen zag Gates in dat internet niet een voorbijgaande hype was die het zou afleggen tegen betaalde online-diensten als America Online (AOL), het later door AOL opgeslokte Compuserve en Gates’ eigen MSN (Microsoft Network). Microsoft was rijkelijk laat met dit inzicht en had dus een grote achterstand ten opzichte van internet-bedrijven als Netscape. Dit is de geschiedenis ingegaan als één van de grootste missers van Gates.
De blinde volharding waarmee de kolos Microsoft zijn koers verlegde is echter ook opgeschreven in de annalen. Internet en functionaliteit daarvoor moesten verwerkt worden in alle producten van het bedrijf. Het heeft een tijd geduurd, maar de belangrijkste concurrent, Netscape, is voorbijgestreefd. Dit gebeurde aanvankelijk alleen op het gebied van marketing maar uiteindelijk ook wat betreft de technologie.
Toekomst
Nu wil Gates een zelfde operatie uitvoeren voor beveiliging. Hij deelde dit vorige week woensdag mee aan zijn 40.000 werknemers middels een e-mail. De topman stelt dat het beveiligen van alle softwareproducten voortaan een hogere prioriteit geniet dan het toevoegen van nieuwe functionaliteit. Dat was tot op heden de aandrijfmotor voor nieuwe Microsoft-software.
Dat het Microsoft ernst is, blijkt uit het feit dat bonussen en mogelijk zelfs benoemingen voortaan afhankelijk zijn van de mate van beveiliging die ontwikkelaars, managers en hun groepen hebben bewerkstelligd. Uiteindelijk is deze koerswijziging gericht op de toekomst van het bedrijf.
De softwareleverancier wil namelijk over naar een lease-model voor zijn producten waarbij gebruikers een abonnementsvergoeding betalen voor het daadwerkelijke gebruik. Dit in tegenstelling tot een eenmalig bedrag voor aanschaf, en doorlopende kosten voor verschillende vormen van ondersteuning.
Deze overgang is gekoppeld aan de .Net-strategie die software als dienst presenteert. Hierbij is de daadwerkelijke werking van software – en de facturering daarvoor – afhankelijk van externe programmatuur en diensten. Beveiliging is dus van cruciaal belang.
Bijkomend probleem is dat Microsoft zijn eigen reputatie tegen heeft. Dit negatieve imago werd eind vorig jaar nog eens versterkt door de ontdekking van een groot beveiligingsgat in de Universal Plug and Play-dienst van het nieuwe besturingssysteem Windows XP. En eerder deze maand kampte Microsoft met een fout in een van zijn servers waardoor Windows-lapmiddelen niet bereikbaar waren voor gebruikers.
Overigens roept de Amerikaanse National Academy of Sciences op tot wetgeving die leveranciers van onveilige programmatuur aansprakelijk kan stellen. Dit ondanks de welbekende gebruiksverklaringen die programma’s tonen vóór gebruik en waarmee de leverancier alle verantwoording afwijst.
Boek
Ironisch genoeg verscheen in december vorig jaar het boek ‘Writing secure code’ van de hand van Microsoft-beveiligingsexperts Michael Howard en David Leblanc. In dit vooral op Windows gerichte werk doen zij uit de doeken welke vergissingen software-architecten en programmeurs zoal maken en hoe die zijn te vermijden. Hierbij besteden de auteurs met name aandacht aan het gevaar van aanvallen die kwaadwillenden kunnen ondernemen door gebruik te maken van fouten in software.
Al met al is het maken van veiliger software geen sinecure, zeker niet wanneer het reeds bestaande programmatuur betreft. Het is dus niet waarschijnlijk dat Gates’ oproep binnen enkele maanden al vrucht draagt. Het vorig jaar opgezette Secure Windows Initiative heeft tot op heden ook alleen maar enkele hulpmiddelen opgeleverd die Windows-systemen doorzoeken op ontbrekende lapmiddelen en openstaande deuren.
Niet dat dit geen stap voorwaarts is, maar een grotere mate van beveiliging vereist het daadwerkelijk herzien van de software-code. Microsoft staat nu aan het begin van dit proces.
