Microsoft geeft eindelijk toe dat de beveiliging van zijn software te wensen overlaat. Het bedrijf laat zijn serverproducten bij installatie voortaan niet meer standaard alle opties activeren. Tevens herschrijft het de code van een aantal van zijn serverapplicaties, waaronder de veelgeplaagde webserver IIS. Critici als onderzoeksbureau Gartner menen dat deze maatregelen veel te laat komen.
De softwareproducent lanceerde vorige week een groot beveiligingsinitiatief in reactie op zorgen over de veiligheid van zijn producten en de gevoeligheid voor virussen. De lancering van dit Strategic Technology Protection Program volgt op het uitbreken van internet-wormen als Code Red – en de diverse varianten daarvan – en meest recent Nimda die grote schade hebben aangericht middels Microsoft-software als IIS (Internet Information Server).
Standaard dicht
Microsoft zal zijn serversoftware vanaf nu dusdanig instellen dat die bij installatie niet standaard alle mogelijkheden – en dus vaak deuren en ramen – open zetten. Ook heeft het reeds hulpmiddelen uitgebracht om de beveiliging en de opwaarderingen te controleren.
Het was voorheen aan gebruikers en beheerders om applicaties na de installatie te beperken tot alleen de gewenste functionaliteit en die vervolgens verder te beveiligen. Daarnaast vereist steeds meer Microsoft-programmatuur de aanwezigheid en functies van andere Microsoft-producten, die dan standaard weer met alle opties aanstaan.
Tot op heden benadrukte de softwareleverancier dat systeembeheerders ervoor moeten zorgen dat hun software is voorzien van de nieuwste lapmiddelen en opwaarderingen. Dit argument snijdt wel hout: onder meer de Code Red-worm gebruikte beveiligingslekken die reeds lange tijd bekend waren én waarvoor lapmiddelen en tegenmaatregelen bestonden.
Probleem is dat de marktdominante en veelgebruikte Microsoft-software vaak doelwit is van virussen, wormen en krakers. De stroom aan lapmiddelen en opwaarderingen die dit oplevert, verhoogt echter de beheerkosten (tco) aanzienlijk. Dergelijke software is niet zomaar te installeren, maar moet getest worden in combinatie met andere aanwezige programmatuur.
‘Overstappen’
Dit was voor onderzoeksbureau Gartner reden om vorige week het strenge advies uit te brengen dat ondernemingen die IIS gebruiken zo snel mogelijk overstappen op andere software. "Wij adviseren dat bedrijven die zijn geraakt door Code Red en Nimda onmiddellijk alternatieven voor IIS gaan onderzoeken. Dit omvat ook het verplaatsen van webapplicaties naar software van andere leveranciers zoals iPlanet en Apache", aldus analist John Pescatore.
Sun Microsystems, leverancier van iPlanet (oorspronkelijk de serversoftware van Netscape), heeft al gereageerd met tijdelijke prijsverlagingen tot 37 procent. Hierbij benadrukt het bedrijf dat applicaties die Microsofts asp (active server pages) benutten ongewijzigd kunnen draaien op zijn webserver.
Apache is een open-source webserver, in handen van de Apache Foundation, die is afgeleid van de oer-webserver van het NCSA (National Center for Supercomputing Applications), waar ook de eerste webbrowser Mosaic zijn oorsprong heeft. Onder meer IBM heeft Apache verwerkt in zijn websoftwarepakket.
Uithalen
Microsoft verdedigde zijn producten aanvankelijk nog met de stelling dat andere webserverproducten ook wel eens beveiligingsproblemen hebben. Hierbij noemt de softwareleverancier lekken in concurrerende producten als de open-source webserver Apache, de webprogrammeertaal PHP en databank My SQL.
De door Microsoft genoemde problemen komen echter voor een deel voort uit zwakheden of verkeerde instellingen van het onderliggende besturingssysteem, Windows. Andere aangekaarte problemen zijn te wijten aan toegevoegde modules óf zijn niet uniek voor een bepaalde webserver of platform. Zo wordt PHP ook ondersteund door Microsofts IIS.
Microsoft heeft besloten zijn serverproducten grondig te herzien. Ontwikkelaars zijn begonnen aan het doorspitten van de broncode van IIS, die als versie 6.0 moet verschijnen als gedeeltelijk herschreven product. Gartner schat de kans dat deze vernieuwde software vóór het einde van 2002 verschijnt op slechts 20 procent.
De reputatie van Microsoft, die qua beveiliging toch al niet glansrijk was, is nu verder beschadigd. Dit is voor het bedrijf vooral pijnlijk aangezien het toewerkt naar zijn .Net-strategie voor online-diensten waarbij beveiliging, permissies en privacy cruciaal zijn. .Net steunt op serversoftware die applicatiefunctionaliteit aanbiedt als dienst. Het vertrouwen in dat toekomstbeeld heeft nu flinke klappen opgelopen.
Waarschuwingsdienst .Net
Microsoft lanceert deze week .Net Alert, de eerste dienst van zijn .Net-strategie voor online-software. Deze waarschuwingsdienst moet gebruikers op de hoogte houden van bijvoorbeeld aandelenkoersen, online-veilingen en antivirus-opwaarderingen. Op dit moment hebben twintig bedrijven zich aangemeld, waaronder eBay en Network Associates. Microsoft werkt nu aan een uitvoering van deze dienst bedoeld voor ondernemingen. Hierbij valt te denken aan het alarmeren van systeembeheerders wanneer er een worm zoals Code Red of Nimda rondwaart en of er lapmiddelen beschikbaar zijn. Microsoft hoopt eind dit jaar te beginnen aan een dergelijk eigen gebruik van zijn dienst.
