Paul Strassmann geeft blijk van zijn grote zorg; de risico’s die computersystemen en netwerken overal ter wereld lopen zo klein mogelijk te houden. Ook wij hebben er alle vertrouwen in dat zijn belangstelling vruchtbaar zal zijn bij het verhogen van de veiligheid van die systemen. Maar, aldus Steven Lipner en Howard Schmidt van Microsoft, zijn analyse gaat mank aan zowel een fundamenteel onjuist uitgangspunt als aan een reeks fouten bij het analyseren van de stand van zaken bij computerbeveiliging en de oorzaken die aan de risico’s ten grondslag liggen.
De fundamentele fout in het stuk van Strassmann (Computable 17 augustus) is dat hij computers met aardappelen vergelijkt. Om precies te zijn: aardappelen zijn natuurlijke organismen die in de loop van de tijd worden gekruist en anderszins evolueren. Als een boer niet tevreden is met de eigenschappen van een bepaald aardappelras – bijvoorbeeld over het gebrek aan resistentie tegen plagen of ziekten – moet hij een andere soort zoeken of zelf een nieuwe kweken. Het is niet mogelijk om de eigenschappen van de aardappel op zich te veranderen om zodoende een nieuwe bedreiging het hoofd te kunnen bieden.
Computers en netwerken zijn daarentegen geen organische systemen en ontwikkelen uit zichzelf niet steeds nieuwe vormen van kwetsbaarheid die bestreden dienen te worden. Het zijn immers kunstmatige stelsels die door groepen mensen worden gebouwd en onderhouden. Deze groepen mensen bedienen zich van een groot aantal verschillende deskundigheden – waaronder die op het gebied van beveiliging – bij hun taak om computers en netwerken in een potentieel vijandige wereld te ontwerpen, te bedienen en de onderhouden. Als een computer of een netwerk ongewenste eigenschappen vertoont, zoals kwetsbaarheid voor een bepaald soort virus of andere indringer, kunnen mensen die deze systemen ontwikkelen dan wel onderhouden, snel tussenbeide komen en die eigenschappen aanpassen zodat ze ook op de nieuwe omstandigheden zijn toegesneden.
Betere analogie
Een betere analogie – als die in dit kader overigens al nodig is – zou een vergelijking kunnen zijn met door mensen gemaakte producten als vrachtwagenparken of luchtvloten. Eigenaren van dit soort vloten standaardiseren hun bezit op enkele typen voertuigen en baseren zich daarbij op functionele eisen als laadvermogen en brandstofverbruik. Die standaardisatie maakt het hen mogelijk een product te selecteren – van de beste ontwerpers en fabrikanten – waarmee ze het hoogste niveau van deskundigheid bij hun personeel kunnen bereiken en ze faciliteiten en ondersteunende apparatuur zodanig kunnen standaardiseren dat ze zo efficiënt mogelijk werken.
Een dergelijke analogie is ongetwijfeld reëler dan de vergelijking van computers en netwerken met een organisch product. Organisaties willen de producten van de beste ontwikkelingsteams en ze willen er op kunnen rekenen dat die teams er zijn om hen te helpen als er zich een probleem voordoet. Ze willen standaardiseren op de beste software die virussen en indringers opspoort – en het is niet erg waarschijnlijk dat dergelijke producten geschikt zijn voor een grote verscheidenheid aan sterk verschillende platforms. Tenslotte willen ze ook medewerkers die deskundig zijn op het gebied van beveiliging, en die de systemen – die ze bewaken en beheren – ook kennen. Ze hebben niets aan personeel dat onvoldoende op de hoogte is als gevolg van de ‘biodiversiteit’ die er bestaat dankzij de grote verscheidenheid van systemen die niets met elkaar gemeen hebben.
De ‘monocultuur’
Terwijl de analogie met de aardappel al nergens op lijkt, is het uitgangspunt van een bestaande ‘monocultuur’ van Microsoft geen haar beter. In werkelijkheid wordt de informatie-infrastructuur van netwerkcomponenten en servers waar Strassmann het over heeft, helemaal niet door Microsoft gedomineerd (hierover later meer). Een aanval op de informatiestructuur in de Verenigde Staten of in de wereld in het algemeen, zou zich dan niet alleen moet richten op producten van Microsoft maar ook op die van een groot aantal concurrenten. En ook waar men wel producten van Microsoft gebruikt, bestaat er een scherpe concurrentie op de markt voor beveiligingscomponenten als ‘firewalls’, virusscanners en opsporingssystemen voor indringers.
Het lijkt er op dat Strassmann zich bij zijn vooronderstelling over een monocultuur van Microsoft uitsluitend heeft laten leiden door de markt voor desktop-apparatuur. Waar desktop-apparatuur een geliefde locatie voor virussen is, kan het zijn dat zijn analyse uitsluitend voortspruit uit in brede kring gepubliceerde virusincidenten. Maar onze ervaring met virussen toont de onjuistheid aan van zijn veronderstelling dat Microsoft onverschillig staat tegenover de behoefte aan beveiliging die bij de klant bestaat.
Na het incident met het ‘I Love You’-virus, heeft Microsoft de ‘Outlook e-mail Security Update’ ontwikkeld en op zijn web gezet Deze beveiliging tast het vermogen van virussen om software van Microsoft binnen te dringen fundamenteel aan. De beslissing om deze update beschikbaar te stellen is niet lichtvaardig genomen, omdat het beperken van de bewegingsvrijheid van virussen – een fundamenteel gegeven in de computerwetenschap – ook de flexibiliteit beperkt waarover gebruikers kunnen beschikken. Maar de noodzaak werd duidelijk en de update is dus ontwikkeld. En omdat computers geen organische systemen zijn, stond het miljoenen gebruikers vrij om de update te installeren en zichzelf te beschermen, een dag nadat die op de website van Microsoft was gezet.
Investeringen
Microsoft heeft zwaar geïnvesteerd in het vergroten van de veiligheid van zijn producten. De lijst van investeringen is te lang om in dit korte bestek op te sommen, maar vier voorbeelden mogen illustratief zijn:
- Het heeft geavanceerde technologieën voor authenticatie en encryptie in zijn Windows producten ingebracht en wel zodanig dat ze kunnen worden gebruikt en beheerd door mensen die zelf geen specialist zijn op het gebied van beveiliging en encryptie.
- Het heeft een belangrijke investering gedaan in het ontwikkelen en toepassen van tools die in staat zijn beveiligingsfouten in programma’s op te sporen en te elimineren. Door deze tools al in de ontwikkelingsfase toe te passen, is het bedrijf in staat om ook sterk functionele producten minder kwetsbaar te maken.
- Het heeft aanzienlijk geïnvesteerd in het beveiligingsproces binnen de software-industrie om te garanderen dat elke melding van een kwetsbaar product door een klant op zijn merites wordt beoordeeld en dat, als dat nodig is, de klanten op een zeer open en publiekelijke wijze wordt meegedeeld dat er beveiligings-updates beschikbaar zijn.
- Het heeft zijn broncode aan universiteiten en onderzoeksorganisaties in licentie gegeven, opdat zij de veiligheid ervan kunnen nagaan en de code kunnen gebruiken bij het onderzoek naar nieuwe beveiligingstechnieken.
Makkelijk doelwit
Als grote en succesvolle onderneming is Microsoft een gemakkelijk doelwit voor de aantijgingen als die in de bijdrage van Strassmann, maar een wat zorgvuldiger analyse zou de aandacht toch op iets anders richten. Systemen van Unix en Linux hebben uit een veelheid van kennelijk onafhankelijke bronnen dezelfde componenten – en dezelfde kwetsbaarheden. Uit een kort onderzoek van het coördinatiecentrum van Cert blijkt dat herhaaldelijk wordt gerefereerd aan ‘Bind’, Sendmail en ftpd – alle gemeenschappelijke componenten die (in broncodevorm) bestemd zijn voor integratie in systemen van Unix en Linux.
Kwetsbaarheid in een dergelijk component houdt een gevaar in voor de veiligheid van klanten bij een groot aantal leveranciers en veel klanten realiseren zich wellicht niet dat hun beveiliging afhankelijk is van een code die de leverancier niet heeft ontwikkeld en mogelijk ook niet heeft onderzocht. Het in brede kring gevestigde idee dat de beschikbaarheid van een broncode gelijk staat aan veiligheid wordt weerlegd – omdat iedereen er van uitgaat dat ‘iemand anders’ de code wel op beveiliging zal onderzoeken. De gemeenschappelijke code heeft geleid tot gezamenlijke vormen van kwetsbaarheid die zijn uitgebuit bij de aanval op afzonderlijke systemen en voor het aantasten van de dienstverlening op internet-websites.
Wij geven toe dat de beveiliging het beste is gediend door sterke leveranciers, die voor hun zakelijk succes en hun reputatie afhankelijk zijn van de veiligheid van hun producten. Zij beschikken over de middelen om beveiliging in hun producten in te bouwen, waarbij ze lering kunnen trekken uit operationele ervaring en voortdurend verbeterende beveiliging in de loop van de tijd.
Microsoft richt zich op de verbetering van zowel de beveiligingsaspecten binnen zijn producten als op de processen die dienen ter opheffing van kwetsbare punten. Omdat het bereiken van veiligheid in de echte wereld een moeilijke taak is en omdat klanten beslist producten willen die een grote functionaliteit bieden die dan ook nog eens veilig zijn, is dit geen simpele opdracht. Wij hebben het vaak over veiligheid als ‘meer een reis dan een bestemming,’ maar het is onze plicht jegens onze klanten dat wij deze reis voortzetten en ons best blijven doen om te voldoen aan de eisen van onze klanten waar het gaat om meer en betere vormen van beveiliging.
Steven B. Lipner Manager Microsoft Security Response Center Howard A.Schmidt Chief Security Officer, Microsoft C
Kijk uit met geïntegreerd e-mailprogramma
‘Active Directory wil alles beheersen tot en met de netwerkprotocollen.’Paul Strassman in zijn naschrift op de reactie van Microsoft.De lezer moet zelf maar beoordelen of de reactie van Microsoft (zie hierboven) een antwoord geeft op de vragen over het risico van indringing. De scribenten scoren fraaie punten in een woordenspelletje met hun verhaal over de vraag of mijn analogie met de aardappelhongersnood wel deugt. Ik wil ze op dat punt best gelijk geven, alle vergelijkingen gaan immers mank, al maakten de bijbelse profeten er al gebruik van om gecompliceerde zaken duidelijk te maken.
In serieuzer opzicht heeft Microsoft niet met enigerlei onafhankelijke of openbare garanties gereageerd op de veel fundamentelere vraag omtrent vertrouwen in een organisatie, die van invloed is op het maatschappelijk welzijn. ‘…vertrouw nu maar op ons…’, daar komt hun verhaal wel zo ongeveer op neer. Naar mijn mening is een dergelijke reactie onvoldoende, zoals herhaaldelijk is aangetoond. Aangezien Microsoft noch financieel aansprakelijk, noch in juridische zin verantwoordelijk is voor de enorme potentiële gevaren die het bedrijf op wereldschaal in het leven heeft geroepen, blijft hun reactie ontwijkend. Naarmate de gebeurtenissen zich verder ontwikkelen, zullen naar mijn vaste overtuiging de karakteristieken van hun monocultuur, evenals een voortdurend vertoon van arrogantie van de kant van hun organisatie, op onze agenda blijven staan.
De juiste keuze
Wellicht de meest doeltreffende manier om de risico’s van de software-monocultuur zo klein mogelijk te houden, is het kiezen van een e-mail-programma dat niet zo nauw verbonden is aan en geïntegreerd is met het besturingssysteem als het geval is met Outlook van Microsoft. Dit programma is verantwoordelijk voor de meeste beveiligingsincidenten die tot nu toe voor een afzonderlijke toepassing zijn geregistreerd. Ondanks talloze incidenten en de goed gedocumenteerde zwakheden van deze alomtegenwoordige toepassing, is de voorkeur voor deze verspreider van wormen, virussen en storingen ongekend. Zelf verlaat ik me op Eudora voor mijn dagelijkse communicatie met tientallen collega’s en voor het zuiveren en verwijderen van honderden ongewenste mailtjes per week. Tot nu toe heeft niemand een onbescheiden blik in mijn liefdesleven kunnen werpen en ben ik nooit bezweken voor een boodschap of een foto van een mooie Russische dame.
Het gebruik van andere e-mail-pakketten dan de genoemde volledig geïntegreerde oplossingen zou een goede tactische zet zijn om de beveiligingsrisico’s zo gering mogelijk te maken. Belangrijker nog zou de keus van de software voor de database zijn. De keus van een database voor de opslag van de schat aan informatie die een onderneming rijk is, is een beslissing voor de lange termijn die verstrekkende consequenties heeft. Waar het veranderen van de e-mail-software een betrekkelijk gemakkelijke zaak kan zijn, is de beslissing om informatie van het ene databasesysteem naar het andere over te brengen pijnlijk en kostbaar. Verkopers van databases zijn altijd voorstander van een nauwe integratie van hun ‘formats’, het besturingssysteem, de netwerkverbindingen en de toepassingen. Ik zou voor mijn geld mijn gegevens altijd onder het beheer plaatsen van software van een van de vooraanstaande verkopers als IBM en Oracle. Voor speciale gevallen zijn er andere leveranciers die software voor databasebeheer aanbieden die in een bijzondere situatie geschikt zijn.
Behoedzaamheid geboden
Wees op uw hoede voor cadeautjes van Microsoft, zeker als het gaat om verbeterde versies van steeds meer uiteenlopende hardware en software op netwerken. De simpele oplossing van Microsoft voor de verspreiding van zijn eigen besturingssystemen (Windows XP, ’95, ’98, NT, CE, de 2000 Professional, de 2000 Server, de 2000 Advanced Server, de 2000 Datacenter en Windows ME), en de toenemende afhankelijkheid van concurrerende aanbiedingen voor netwerkoplossingen, is de ‘Active Directory’. De functie daarvan zal zijn om alle informatie van de gebruiker, hulpmiddelen en toepassingsinformatie in beheer te houden – alles wat u op uw netwerk heeft. Active Directory wil tot en met de netwerkprotocollen alles beheersen. Hij functioneert alleen op een netwerk waar hij de meester is en alle andere directory-servers en diensten slaven zijn. In die monocultuur heeft u de problemen met integratie niet. Wat u krijgt als reactie op verscheidenheid en wijde verspreiding is een eenvoudig, monolithisch antwoord op een gecompliceerd probleem.
Ik adviseer omzichtigheid alvorens over te gaan op installatie van de exclusief door Microsoft te leveren ‘Active Directory’ als de allesbepalende en controlerende factor op de netwerken van een onderneming. Die waarschuwing geldt ook het incorporeren van e-mail-toepassingen en software voor databases.
Gezien vanuit een standpunt van systeembeheer, kan de integratie van systemen waarbij men zich verlaat op maar één enkele verkoper de juiste beslissing lijken. Het kan zelfs voordelig zijn omdat het reizen naar de volgende mijlpaal tijdens een reis natuurlijk altijd gemakkelijker is dan je steeds maar te moeten afvragen of je wel de juiste weg hebt gekozen. Als echter de lezers van dit artikel in dit verhaal een stimulans hebben gevonden om meer te weten te komen over de ecologie van economische en politieke keuzes (SNA van IBM en de Sovjet-Unie om er maar enkele te noemen) dan kunnen ze zich wellicht ook eens bezinnen op wat Microsoft op lange termijn te weeg kan brengen.
Paul Strassmann, Associate Butler Group
Vertaling Jaap Faber
