Beveiliging blijft mensenwerk, ook bij Microsoft

De 16e jaarlijkse RSA Security Conference in San Francisco werd dit jaar geopend met een gezamenlijk ‘keynote address’ van Bill Gates en Craig Mundie, de chief research en strategy officer en security patron van Microsoft. Opmerkelijk was dat beide heren in een gelikt onderonsje ruiterlijk toegaven dat het ‘best beveiligde besturingssysteem’ dat ooit uit de fabrieken van Microsoft rolde allerminst perfect beveiligd is. ‘Het grootste probleem waarmee wij geconfronteerd worden in het maken van onze producten en de uitdagingen die iedereen ervaart in het gebruik ervan, is dat software door mensen wordt gemaakt en dat mensen nu eenmaal fouten maken,’ sprak Mundie. Mundie haastte zich eraan toe te voegen dat Microsoft in de voorbije jaren weliswaar een enorme sprong voorwaarts heeft gemaakt in de beveiliging van Vista, ‘maar dat betekent nog steeds niet dat Vista perfect is.’ Mundie zei dat de uitdaging steeds groter wordt. ‘Aangezien steeds meer apparatuur met het internet verbonden wordt en mensen verwachten dat ze hun eigen informatiebronnen vanaf elke plek kunnen raadplegen, wordt de taak om te beveiligen alleen maar groter en complexer. Nog niet alle puzzelstukken passen in elkaar om mensen in staat te stellen om onderweg vrij en veilig data te laten raadplegen. Maar we werken hard aan modellen om de naadloze en eenvoudige toegang tot al die apparaten mogelijk te maken. Dat neemt niet weg dat we nog steeds niet zijn waar we moeten zijn.’

Trustworthy computing
Bill Gates wees er van zijn kant op dat het inmiddels precies vijf jaar geleden is dat hij zijn spraakmakende memo ‘trustworty computing’ opstelde. Mundie vulde aan dat dit memo mede op zijn verzoek tot stand is gekomen. Over het algemeen trok Mundie het laken maar wat graag zijn kant op. De boodschap die Mundie en Gates er hoe dan ook in wilden hameren was hoe belangrijk beveiliging voor Microsoft is. In het memo dat Gates op 15 januari 2002 verspreide, stelde de topman van Microsoft destijds dat ‘security’ de hoogste mogelijke prioriteit verdiende binnen Microsoft. In dat verband wees Gates op BitLocker, de mogelijkheid binnen Vista om de harde schijf door middel van encryptie te versleutelen. Gates noemde versleuteling een belangrijk element in de beveiliging van computersystemen. BitLocker evenwel kan alleen in gebruik worden genomen op de jongste generatie computersystemen. Toegang tot informatiebronnen moet volgens Gates verder beteugeld worden: ‘Nu is iedereen zomaar in staat om e-mailberichten te forwarden naar gelijk wie. Tot op het moment zelfs dat de inhoud ervan de voorpagina van de kranten haalt.’ Bedrijven zullen volgens Gates zaak moeten maken van het gebruik van degelijke ‘rights management systems’ om te voorkomen dat confidentiële data ongelimiteerd verspreid kunnen worden.

OpenID 2.0
Nog steeds volgens Gates zou binnen afzienbare tijd een eind moeten komen aan gebruik van het wachtwoord, volgens hem de ultieme zwakke schakel in elk beveiligingstraject. ‘Mensen bezwijken bijna onder een stortvloed aan wachtwoorden, aangezien bijna elke website of applicatie zijn eigen beveiligingsinterface heeft. Hoe meer wachtwoorden je hebt, des te slechter het eigenlijk is.’ Gates voorziet een toekomst waarin mensen en bedrijven toegroeien naar een soort van ‘identity metaysteem’. Microsoft bereidt momenteel de release voor, voorzien voor april van dit jaar, van de Identity Lifecycle Manager. Als het om de beveiliging en integriteit van online ‘identiteiten’ gaat, voorziet Gates in de toekomst een toenemend gebruik van digitale certificaten en smart cards als alternatief voor het per definitie onveilige wachtwoord.

Mijlpaal
‘We denken dat de mijlpaal het moment vormt waarop ondernemingen migreren van het gebruik van wachtwoorden naar het gebruik van smart cards,’ zei Gates. De boodschap die de oprichter van Microsoft wilde overbrengen was dat dit niet alleen door Microsoft alleen te realiseren is, maar dat de hele industrie aan een dergelijk project zou moeten meewerken. In dat verband kondigden Gates en Mundie overigens aan dat Microsoft gaat samenwerken met OpenID 2.0 om de CardSpace technologie in Windows Vista te stroomlijnen met de OpenID standaard. Of het gehoor van Gates en Mundie erg onder de indruk was van het duo viel nauwelijks te peilen. Verschillende deelnemers wezen erop dat de inzichten uit het verhaal van het topduo allerminst nieuw zijn. Maar aan de RSA Conference nemen dan ook circa 15.000 bijzonder gespecialiseerde securitymensen deel. Het was overigens de drukst bijgewoonde conferentie in de geschiedenis van het vorig jaar door EMC overgenomemn RSA.