Microsoft wil de beveiliging van Windows-applicaties verbeteren en deelt daarvoor de intern opgedane kennis voor veilig ontwikkelen (Secure Development Lifecycle). De Windows-producent wil niet alleen de eigen software veiliger maken, maar ook die van derden.
Microsoft erkent dat kwaadwillenden steeds vaker misbruik maken van gaten in applicaties. De softwareproducent wil dus liefst alle applicaties die draaien op zijn besturingssysteem veiliger hebben. Windows Vista biedt daar al voorzieningen voor, zoals de aangescherpte beveiliging van User Account Control (UAC). Microsoft deelt nu ook zijn kennis en tools voor het ontwikkelen van applicaties met betere beveiliging.
De door Microsoft in 2004 opgezette Secure Developmen Lifecycle (SDL) omvat een methodiek compleet met auditing en code-controletools. Het bedrijf stelt dat vanaf november ter beschikking aan derden. Dat gebeurt deels gratis en deels via een groep van gespecialiseerde bedrijven, die dan wel consultancy-tarieven rekenen.
Windows-ecosysteem
Het delen van de SDL-kennis en -tools moet externe ontwikkelaars van Windows-software helpen om hun producten te voorzien van betere beveiliging. Daarbij speelt beveiliging van begin af aan een rol; dus bij ontwerp en ontwikkeling. Ontwikkelaars moeten ook naderhand oog hebben voor beveiliging, dus bij verbeteringen en nieuwe versies van hun product. Dit is de zogeheten levenscyclus van softwareontwikkeling, waar naast Microsoft ook partijen als IBM (Rational) op hameren.
Microsoft noemt SDL zijn ontwikkelproces voor software security assurance en hoopt dat dit wordt overgenomen door softwareontwikkelaars en grote ondernemingen die zelf programmatuur maken. Dit moet uiteindelijk leiden tot een veiliger ecosysteem van applicaties voor Windows.
Bugs fixen
"Grote bedrijven concentreren zich vaak niet op security tijdens ontwikkeling", zegt directeur security engineering Steve Lipner van Microsoft. "We willen de overweging van beveiliging terugbrengen naar de ontwikkelfase. Het is een stuk makkelijker om bugs en problemen op te lossen tijdens development dan nadat een product is gelanceerd."
Als op de site http://www.swissitpro.ch gezocht wordt naar het keyword “quantum” dan is de presentatie van een operationeel bewijsbaar veilig systeem te vinden wat gebaseerd is op Microsoft.Net Wellicht dat dit voor Microsoft Ontwikkelaars als voorbeeld kan dienen hoe informatie-theoretisch bewijsbaar veilige systemen gemaakt moeten worden.
Mijn mening is dat microsoft eerst de hand in eigen boezem moet steken. Waar externe software ontwikkelaars het beruchte DNS lek al ver gedicht hebben, zit er in Microsoft DNS NOG steeds een grote bug.
Waar Mysql en Oracle al erg goed zijn in het detecteren van Malicious code injections, heeft Microsoft SQL daar nog steeds geen remedie tegen.
En dan kondigen ze aan dat gespecialiceerde bedrijven het tegen consultancy tarieven kunnen.
Hmm,
Een eigen in huis ontwikkelde applicatie van mij komt volledig door de microsoft WHQL test heen. Maar mag het logo niet dragen. Eerst moet ik 20.000, Ja, twintigduizend dollar overmaken.
na het virus van doemdenkerij leid ik ook aan het virus van scepsis.
Security in een applicatie begint altijd in het ontwerp hiervan. Als Microsoft hiervoor de nodige input kan leveren om dit op een veilige manier aan te pakken zou je in de basis een goede beveiliging moeten hebben. Tenminste, volgens Microsoft. Maar we weten allemaal dat Microsoft ook niet de meest sterke speler is als het over security gaat.
Daarnaast heeft een dergelijk verhaal altijd ook nog 2 andere kanten. Wanneer je publiekelijk bekend maakt wat de security aspecten zijn zou je het eventuele potenti?le “hackers” eenvoudiger maken. Het bekend maken van een security mechanisme kan ook voordelen hebben (zoals bij AES) zodat iedereen het eenvoudig kan toepassen (uiteraard alleen als het echt een goed mechanisme is).
Het ligt voor de hand dat Microsoft hiermee een hoop sceptische reacties oproept. Dit is echter niet helemaal terecht want bij de ontwikkeling van software moeten leveranciers en opdrachtgevers wel degelijk hun eigen verantwoordelijkheid nemen. Dit houdt in direct vanaf het prille ontwerp security opnemen als een van de vereisten en dit in de hele cyclus (ontwerpen, bouwen, testen, in productie nemen, beheren, etc.) doorvoeren. Om dit zo vroeg mogelijk te doen is ook in het belang van de klant, want iedereen weet dat de kosten van systeemaanpassingen exponentieel toenemen naarmate deze later uitgevoerd moeten worden. Neemt niet weg dat je een systeem nog zo goed kan ontwerpen, als er fouten in protocollen of onderliggende softwarelagen zitten, kom je hier vaak achteraf achter en sta je voor een voldongen feit. Parallel aan het promoten van de eigen SDL zou MS er dus goed aan doen bijvoorbeeld de bestaande fouten in het eigen DNS zo snel mogelijk op te lossen.
Tja het ene virus roept het andere op. Terechte opmerking dat MS zich ook bezig moet houden met z’n eigen producten. Toch, als MS zich puur zou richten op alleen z’n eigen software dan vraagt dat ook om (terechte) kritiek. Dus door de ervaringen met andere leveranciers te delen, ook met de concurrent en open software wereld denk ik dat een goede middenweg wordt gevonden. De volledige SDL documentatie(secure development Lifecycle) is gratis voor iedereen te downloaden. Wil je mensen inhuren, dan kost dat geld. Maar dat kun je toch niet raar noemen.
Dit is een goed initiatief. Dit helpt Microsoft en zijn grote partners een gezamenlijke lijn te trekken op het gebied van security. Om een stap verder te komen met de kwaliteit van Windows applicaties is het inderdaad nodig om niet alleen te kijken naar de applicatie – het resultaat van software ontwikkelingsactiviteiten, maar ook naar de manier waarop dat resultaat tot stand is gekomen.
Je moet natuurlijk kritisch blijven kijken naar hoe dit in de praktijk werkt, in Windows zit nog steeds een hoop code (zoals de GDI) in de kernel wat daar ooit om performance-redenen in gekomen is en daardoor meer mogelijkheden geeft voor aanvallen. Om dit aan te pakken is het nodig dat zowel Microsoft als leveranciers van graphics display drivers samenwerken in dit proces.
Goed initiatief. Alle kleine beetjes helpen en natuurlijk is Microsoft niet het toonbeeld (voorbeeld) van veilige software. Is er �berhaupt wel een applicatie veilig?
Wat ik hoop is dat de veiligheid niet alleen een marketing of technisch karakter gaat krijgen (buffer-overflow, encryptie, drm, etc) maar vanuit een constante risico en gebruikersoptiek wordt ingezet. Ik blijf het raar vinden dat Internet explorer moet draaien onder dezelfde rechten als een gebruiker. Dat een buggy proces invloed blijft hebben op andere processen. Isoleer dit soort programma’s.
Je weet gewoon dat er altijd malware mailtjes, internetsites en/of buggy applicaties blijven bestaan. Mijn credo: Microsoft zorg voor een monky-proof OS. Als een applicatie dan niet 100 procent is dan blijft de impact beperkt.