Microsoft krijgt kritisch-positieve reacties van het Computable-panel Security op de recente initiatieven voor betere beveiliging. Naast het bieden van een graadmeter voor kwetsbaarheden komt Microsoft met tools en auditing voor het ontwikkelen van veilige software.
Kwaadwillenden maken niet meer alleen gebruik van zwakke plekken in besturingssystemen als Windows, maar hebben het steeds vaker gemunt op de applicaties die erop draaien. Microsoft erkent dit en heeft de eigen software voorzien van betere beveiliging en wil de daarmee opgedane kennis, ervaring en tools delen met andere ontwikkelaars. Het expertpanel Security van Computable reageert positief, maar heeft ook wat bedenkingen.
Onlangs kondigde Microsoft al aan een graadmeter voor kwetsbaarheden te publiceren. Dit volgde op de ommezwaai dat de softwareproducent voortaan informatie over beveiligingsgaten al deelt vóór het een patch klaar heeft. Dat delen gebeurt wel in beperkte kring. Beide stappen voor betere security worden vanaf oktober doorgevoerd.
Voorkomen is beter dan patchen
Naast dit initiatief voor reactieve beveiliging komt Microsoft ook met proactieve maatregelen. Het wil niet alleen bezig zijn met informatie over gaten en de bruikbaarheid voor kwaadwillenden, maar ook gaten voorkomen. De softwareontwikkelaar wil andere softwareproducenten helpen met het maken van veilige applicaties. Beveiliging moet van begin af aan worden meegenomen in het ontwikkelproces.
Microsoft deelt daarvoor de zelf opgedane kennis en ontwikkelde interne ontwikkeltools. Het biedt een drietal tools,waaronder ook een checklist voor eigen softwareontwikkeling, gratis aan. Daarnaast zet het bedrijf een adviesgroep op met bedrijven die – tegen betaling – consultancydiensten bieden voor veilig ontwikkelen van software. Einddoel is alle software op het Windows-platform veiliger te laten maken.
Net als in opensourceland
Het expertpanel van het Computable-topic Security reageert over het algemeen positief op dit beveiligingsinitiatief van Microsoft. Minpuntjes zijn er echter ook. Security specialist Ray Bogman bij Jira ICT spreekt van een goede eerste zet. "Ook al ben ik een fan van open source software, dit idee van Microsoft lijkt er op het eerste oog leuk uit te zien. Ik denk dat het voor heel bedrijven een goede eerste zet zou kunnen zijn om nu eens serieus met security om te gaan. Aangezien de meeste van die bedrijven ook nog eens Microsoft-software gebruiken, lijkt me dit een goede aanvulling."
Of deze stappen van Microsoft voldoende zijn, is nog een kwestie van tijd. "Uit ervaring zal blijken of dit hulpmiddel echt een oplossing is, of alleen maar een lapmiddel. Het belang van een juiste architectuur en testfases blijft natuurlijk. Daar verander je ook met deze tool niets aan. Kortom een goede stap om kennis en kunde te delen, net zoals in opensourceland."
Eigen boezem
Adjunct-directeur Erik Westhovens van DeltaISIS is niet bepaald overtuigd. "Mijn mening is dat Microsoft eerst de hand in eigen boezem moet steken." Hij verwijst naar de traagheid waar het bedrijf soms aan lijdt voor het uitbrengen van patches en het invoeren van beveiligingsfuncties. "Waar externe softwareontwikkelaars het beruchte DNS-lek al gedicht hebben, zit er in Microsofts DNS nog steeds een grote bug. Waar MySQL en Oracle al erg goed zijn in het detecteren van malicious code injections heeft Microsoft SQL Server daar nog steeds geen remedie tegen."
Westhovens is nog kritisch over de betaalde consultancydiensten die Microsoft-partners aanbieden voor het ontwikkelen van veilige applicaties. "En dan kondigen ze aan dat gespecialiseerde bedrijven het tegen consultancy tarieven kunnen. Hm, een eigen in-huis ontwikkelde applicatie van mij komt volledig door de Microsoft WHQL-test (Windows Hardware Quality Labs) heen, maar mag het logo niet dragen. Eerst moet ik twintigduizend dollar overmaken. Na het virus van doemdenkerij leid ik ook aan het virus van scepsis."
Goede middenweg
Lezer Ben vindt het een goede stap om kennis niet binnenshuis te houden. "Het is een terechte opmerking dat Microsoft zich ook bezig moet houden met z'n eigen producten, maar als het bedrijf zich puur zou richten op alleen z'n eigen software vraagt dat ook om (terechte) kritiek."
"Dus door de ervaringen met andere leveranciers te delen, ook met de concurrentie en de opensoftwarewereld, denk ik dat een goede middenweg wordt gevonden." Hij pareert nog de financiële scepsis van Westhovens: "De volledige SDL-documentatie (secure development lifecycle) is gratis voor iedereen te downloaden. Wil je mensen inhuren, dan kost dat geld. Dat kun je toch niet raar noemen."
‘Volgens Microsoft’
Dennie Spreeuwenberg, dealermanager bij Acal, is het eens met de achterliggende gedachte van Microsoft, maar twijfelt over de uitvoering. "Security in een applicatie begint altijd in het ontwerp daarvan. Als Microsoft hiervoor de nodige input kan leveren om dit op een veilige manier aan te pakken zou je in de basis een goede beveiliging moeten hebben. Tenminste, volgens Microsoft. We weten echter allemaal dat Microsoft ook niet de meest sterke speler is als het over security gaat."
"Daarnaast heeft een dergelijk verhaal ook nog twee andere kanten. Wanneer je publiekelijk bekend maakt wat de security-aspecten zijn, zou je het potentiële ‘hackers' eenvoudiger maken. Het bekend maken van een security-mechanisme kan ook voordelen hebben, zoals bij AES, zodat iedereen het eenvoudig kan toepassen. Dat werkt uiteraard alleen als het echt een goed mechanisme is."
Gedeelde schuld
Justus Beek, directeur business development bij Daxx en lid van het expertpanel Development, snapt de scepsis van sommigen, maar vindt dat er bij onvoldoende beveiliging sprake is van gedeelde schuld. "Het ligt voor de hand dat Microsoft hiermee een hoop sceptische reacties oproept. Dit is echter niet helemaal terecht, want bij de ontwikkeling van software moeten leveranciers en opdrachtgevers wel degelijk hun eigen verantwoordelijkheid nemen.
"Dit betekent direct – vanaf het prille ontwerp – security opnemen als een van de vereisten en dit in de hele cyclus (ontwerpen, bouwen, testen, in productie nemen, beheren, et cetera) doorvoeren. Het is ook in het belang van de klant om dit zo vroeg mogelijk te doen. Iedereen weet immers dat de kosten van systeemaanpassingen exponentieel toenemen naarmate deze later uitgevoerd moeten worden."
"Dat neemt niet weg dat je een systeem nog zo goed kan ontwerpen, maar als er fouten in protocollen of onderliggende softwarelagen zitten, kom je hier vaak achteraf pas achter. Dan sta je voor een voldongen feit. Parallel aan het promoten van de eigen SDL zou Microsoft er dus goed aan doen om bijvoorbeeld de bestaande fouten in zijn DNS-software zo snel mogelijk op te lossen."
Gezamenlijke lijn trekken
Principal consultant Lex Borger van Logica kijkt vooral naar de toekomst en is daar positief over. "Dit is een goed initiatief. Dit helpt Microsoft en zijn grote partners een gezamenlijke lijn te trekken op het gebied van security. Om een stap verder te komen met de kwaliteit van Windows-applicaties is het inderdaad nodig om niet alleen te kijken naar de applicatie, ofwel het resultaat van software-ontwikkelingsactiviteiten. Je moet ook kijken naar de manier waarop dat resultaat tot stand is gekomen."
Borger waarschuwt wel: "Je moet natuurlijk kritisch blijven kijken naar hoe dit in de praktijk werkt. Zo zit er in Windows nog steeds een hoop code (zoals de GDI, graphics display interface) in de kernel. Code die daar ooit om performance-redenen in is gekomen en daardoor meer mogelijkheden geeft voor aanvallen. Om dit aan te pakken is het nodig dat zowel Microsoft als leveranciers van grafische drivers samenwerken in dit proces."
Alle beetjes helpen
Ook René Visser, senior consultant en docent Oversite en Haagse Hogeschool, is in eerste instantie positief. "Goed initiatief. Alle kleine beetjes helpen en natuurlijk is Microsoft niet het toonbeeld (voorbeeld) van veilige software. Is er überhaupt wel een applicatie veilig?"
"Wat ik hoop, is dat de veiligheid niet alleen een marketing of technisch karakter gaat krijgen (buffer-overflow, encryptie, drm, et cetera) maar waarbij rekening wordt gehouden met constante risico's en de gebruikersoptiek. Ik blijf het raar vinden dat Internet Explorer moet draaien onder dezelfde rechten als een gebruiker, dat een buggy proces invloed blijft hebben op andere processen. Isoleer dat soort programma's."
"Je weet gewoon dat er altijd malware mailtjes, internetsites en/of buggy applicaties blijven bestaan. Mijn credo: Microsoft zorg voor een monkey-proof besturingssysteem. Als een applicatie dan niet honderd procent is, blijft de impact tenminste beperkt."
Microsoft is natuurlijk de aangewezen partij om het Microsoft platform veiliger te maken. Daar heeft Microsoft alle expertise voor in huis. Hierbij moet echter wel de kanttekening gemaakt worden dat het gaat om alle aspecten van de veiligheid (en dus ook de betrouwbaarheid) van het systeem (Windows, Office, .Net etc) en niet om de veiligheid van de informatie. De veiligheid van de informatie is en blijft de verantwoordelijkheid van de gebruikers van de systemen. Een voorbeeld van een operationeel systeem dat onder andere draait op het microsoft platform dat de veiligheid van de informatie garandeerd is te vinden op de link http://www.swissitpro.ch en gezocht wordt naar het keyword “quantum”.
“Betere beveiliging begint bij Openheid!”
Zolang een bedrijf een close-source policy handhaaft, heeft het – in mijn ogen – wat te verbergen! Niet alleen uit business concurentie maar als algemene bedrijfspolicy. Of het nu hidden features zijn, of niet goed gebouwde software…
Waarom denk je dat Microsoft zelf een graadmeter gaat publiceren? Waarom laten ze dat niet over aan een onafhankelijk derde partij 😉 Voel u ‘m..
“Voorkomen is beter dan patchen”
Helemaal mee eens, want het kost nog steeds een veelvoud aan manpower, tijd, geld, company resources om de werkvloer droog te blijven dweilen terwijl de kraan nog steeds lekt. En het is voor menig ict-er ook zeer frusterend om afhankelijk te moeten zijn van een fabrikant die niet eens toegaaf dat er bepaalde zaken in haar produkten niet kloppen,lek zijn! Puur omdat dit fabrikant een monopoly positie op de markt heeft en zich deze “hufterige houding” kan veroorloven naar haar klanten toe.
Microsoft en kennis delen… prrfftt..
Ik zoek me rot op de microsoft webfarm naar zaken die ik wil weten om hun produkten, maar vinden hoe maar..
Voorbeeldje ..
Alle ms register sleutels en hun waardes en betekenissen
Of zou ik eerst een bak geld neer moeten tellen om die kennis te kunnen kopen??? En dan nog! het ik het gevoel dat ik niet alles kom te weten wat ik zou willen.
“adviesgroep – tegen betaling – consultancy diensten aanbieden”
Pcies, als je maar genoeg betaald, mag je het weten want daar draait het om.. geld geld geld macht en niets anders.
Als alle software op het windows platform veiliger zou moeten zijn, word de aandacht afgeleid naar de software..
Waarom nemen ze/we het fundament waar deze software op rust (windows 98,me,2000,xp,vista + servers) niet eens een keer flink onder de open source loep?
Ze hebben – bij xp – al 3 service packs nodig gehad om dit recht te trekken en nog worden er wekelijks security gaten in ontdekt…. snapt u wat ik bedoel.
Tuurlijk ik hoor de tegenargumenten all..
.. windows platform bestaat uit miljoenen regels code, die onmogelijk allemaal uitgetest kunnen worden, voordat het spul de fabriek verlaat, maar toch..
– Zou je dit van je autodealer pikken als je na 3 jaar nog steeds wekelijks naar de garage terug moet om gewoon probleemloos te kunnen blijven rijden?
– Zou je dit pikken van je aannemer als je na 3 jaar nog steeds een lekkend dak boven je hoofd had in je eigen woning?
– Waarom pik je dit dan wel van je operating system leverancier????
“Eigen Boezem”
Helemaal mee eens. Door de monopoly positie en machtsgreep op ictland kan microsoft zich deze houding permiteren. er zijn genoeg klanten afhankelijk van Redmond. (nog wel ten minste anno 2008)
Wat WHQL betreft… again it is all about the money en niet de klanten of techniek.
Ik persoonlijk zou dit opnemen in je EULA dat je software WEL whql compatible is + testresultaten, maar dat geen zin hebt om microsoft te spekken voor zo’n l***** logootje.
“Goede middenweg”
Kennis = macht dus al je niets vertelt blijven klanten afhanklijke van jou als bedrijf. Zeker weten dat die SDL-docs niet alles bevatten wat je nodig hebt om zelfstandig en onafhankelijk je pad te kunnen lopen.
“Volgens Microsoft”
Security in de applicatie begint bij het operating system waarop het rust! en de hardare waarop je os draait, nergens anders! Wat heb je een ‘zgn. secure applicatie” als je OS of hardware fundament verrot is? niets toch?
En zaken bekend maken..
Geeft je eigen bedrijf de uitdaging en de discipline om je eraan te houden, anders vinden de hackers wel jouw steken die je hebt laten vallen. Ga die uitdaging eens aan intern en groei!
“Gedeelde schuld”
Mooi niet! Als het operating system niet deugd, wiens verantwoordelijkheid is dat?
– Is dat mijn eigen verantwoording omdat ik het gekocht heb, en erop vertrouwd dat het een goed en betrouwbaar produkt is?
– Is dat de fabrikant die mij wil doen geloven dat het veilig is, terwijl ze intern dondersgoed weten dat het zo lek is al een zeef (voorbeeldje Windows xp service 1,2, 3??, wekelijkse security updates, patch dinsdag)
Wanneer een fabrikant je een API of SDK aanlevert, mag je er toch vanuit gaan dat ie klopt en werkt, of moet je je software zo bouwen dat je er vanuit gaat dat die API of SDK niet klopt? Nu snap ik ook het structurele gebrek aan documentatie bij Microsoft 😉
“Gezamelijk lijn trekken”
De manier waarop het “windows” resultaat tot stand is gekomen is bewonderswaardig.
Echter wil dit niet zeggen dat je nu op je k*** kunt gaan zitten als bedrijf en niet doorgroeien naar een betere kwaliteit van dienstverlenging, open source!, goede allesbeschrijvende documentatie, echte openheid naar je klanten en oprechte samenwerking.
“Alle beetjes helpen”
Internet Explorer is ook geen applicatie Rene, maar een janus-kop applicatie, een remote management viewing spying tool aan de ene kant en een “browser” aan de andere kant.
Wie weet een leuk afstudeer project Rene, om een groep studenten eens helemaal uit te laten zoeken hoe diep IE nu verweven zit in windows en wat het werkelijk kan??
Laat ze eens alle processen van een windows machine in kaart brengen, hun invloeden op het geheel en de (ongedocumenteerde) afhankelijkheden. leuk stukkie software research en ook zeer leerzaam 😉 Focus je dan op ActiveX.. en de COM components (windows bouwblokjes). Ik ben heel benieuwd naar je bevindingen.
En mijn toevoeging aan dit artikel is deze:
1 Open source van alle windows
– software(Os + Applicaties)
– ontwikkeltools (dll’s, runtimes, compilers, linkers)
2 100% documentatie van alle microsoft produkten
3 Totaal inzicht in de gang van zaken “onder de windows-motorkap”.
Dan pas kun je als koper van deze software zelf beoordelen “of het secure is”. Daarnaast heb je dan zelf de mogelijkheid om het aan te passen naar je eigen wensen, zoals nu al het geval is bij Linux, Unix en andere open-source operating systems.
Dan pas word JIJ weer eigenaar van je eigen hardware, operating system en applicaties.
Totaal leveranciers onafhankelijkheid, toegang tot alle kennis die ik nodig heb..dat geef mij een “secure gevoel”
Intenties hebben is leuk, nu de tastbare resulaten nog!
Ik ben heel benieuwd wanneer dit gerealiseerd wordt vanuit Redmond en tegen welke kosten 😉