Microsoft: ‘Nog lange weg te gaan met beveiliging’

Resultaat van Gates’ noodkreet was het Trustworthy Computing-initiatief. Een grootscheepse inzet, in alle geledingen van Microsoft, zou tot betrouwbaardere en veiligere producten moeten leiden. Niettemin regent het nog altijd meldingen over lekken in Microsoft-producten. Vorig jaar moest het bedrijf meer Security Bulletins doen uitgaan dan ooit tevoren. Zijn er op dit gebied eigenlijk wel vorderingen gemaakt? Adrienne Hall, senior director voor Trustworthy Computing, klinkt gematigd optimistisch: "Betrouwbaar computergebruik is een lange-termijninspanning. Ik denk dat het wel tien jaar gaat duren voor we zover zijn. Hiervoor is samenwerking nodig met hardwareleveranciers en service providers. Maar we boeken wel vooruitgang in het terugdringen van kwetsbaarheden. Ik heb er een goed gevoel over." Het aantal Microsoft-medewerkers dat zich puur met Trustworthy Computing bezighoudt, bedraagt volgens Hall 75 tot 100. "Maar het precieze aantal is moeilijk aan te geven, want het hele bedrijf is ervan doordrongen. Zo houdt bijvoorbeeld ook het hele ontwikkelingsteam van Windows Server zich bezig met betrouwbaarheid." Patch management Trustworthy Computing kent vier peilers: beveiliging, privacybescherming, betrouwbaarheid en zakelijke integriteit. Het meest nijpende onderdeel is beveiliging, aldus Hall. De nadruk ligt hier onder andere op ‘patch management’. Bedrijven en consumenten dreigen te worden bedolven onder de vele softwarecorrecties die Microsoft na de ontdekking van beveiligingsproblemen de wereld instuurt. Publiceerde Microsoft patches vroeger afzonderlijk, nu worden ze verzameld in een maandelijks beveiligingsbulletin. Adrienne Hall: "We hebben het installatiegemak van patches verbeterd door het aantal compilers en installatieprogramma’s van acht tot twee te verminderen." Het gevolg zou kunnen zijn dat gebruikers te laat worden gewaarschuwd. Er is ook kritiek op het stilhouden van nieuwe lekken totdat Microsoft een stoplap klaar heeft. Hall wil hierover slechts kwijt dat het een ‘lastig probleem’ is. "We hebben het aantal mededelingen teruggebracht tot eens per maand, maar ernstige problemen blijven we tussentijds melden. Het is zaak een balans te vinden tussen de ernst van een kwetsbaarheid en de snelheid waarmee we met een beveiligingsbulletin komen." Toch is Microsoft volgens haar op de goede weg. "In samenwerking met veel andere leveranciers hebben we het aantal zwakke plekken in onze producten verminderd. Zo is het aantal kwetsbaarheden tussen Windows Server 2000 en Server 2003 teruggebracht van 36 naar 9." De beveiliging van Microsoft-producten is in handen van de Security Business Unit met ruim 700 medewerkers, van wie circa 40 procent technici en testers. Volgens Jeff Jones, senior director voor security marketing, heeft zijn afdeling een groot aantal procedures ontwikkeld die nieuwe producten veiliger moeten maken. Mike Nash, hoofd van de business unit, heeft zelfs de bevoegdheid de marktintroductie van nieuwe producten te blokkeren als ze niet aan de veiligheidseisen voldoen. Tools Voorts zijn diverse tools ontwikkeld, waaronder de Microsoft Baseline Security Analyzer (MBSA) waarvan eind januari versie 1.2 is uitgekomen. MBSA is in staat een groot aantal verkeerde beveiligingsinstellingen te ontdekken. Een belangrijke stap om Windows op korte termijn veiliger te maken is Service Pack 2 (SP2) voor Windows XP, een aanvankelijk niet geplande verzameling aanvullingen en verbeteringen. "Een tactische zet", noemt Jones het besluit om in de eerste helft van dit jaar een tweede Service Pack uit te brengen. Nieuw in SP2 is onder andere het Windows Security Center, dat pas enkele weken geleden aan de plannen is toegevoegd. Vanaf een centraal punt kan de gebruiker virusbescherming, automatische updates en de firewall instellen. Met SP2 krijgt Windows ook een nieuwe, verbeterde firewall. Jones: "Gebruikers schakelen de bestaande firewall in XP vaak uit. We hebben uitgezocht hoe dat komt, omdat we zoveel mogelijk obstakels willen wegnemen voor het gebruik ervan. De oude firewall is gebaseerd op het blokkeren van poorten, de nieuwe versie is meer applicatiegericht." Jones geeft echter toe dat ook deze verbeterde firewall nog niet ‘state of the art’ zal zijn. "Onze firewall zit nu in het stadium waarin gespecialiseerde leveranciers enkele jaren geleden zaten."