Microsoft krijgt moeizaam meer greep op beveiliging

Sinds januari 2002 geeft hij bij Microsoft gestalte aan een ‘tienjarenplan’ om computergebruik veilig en betrouwbaar te maken, de privacy te garanderen en de gebutste reputatie van Microsoft op deze gebieden uit te deuken. Veiligheid heeft door ‘9/11’ wel de meeste nadruk gekregen. "Het belangrijkste dat we op dat gebied hebben bereikt is een combinatie van veranderingen in de manier waarop we software ontwikkelen en de bedrijfscultuur", zegt Charney.
Onderdeel van de nieuwe aanpak was het creëren van een groep beveiligingsexperts, het Secure Windows Initiative (SWI)-team. Een productgroep die iets nieuws wil ontwikkelen, krijgt een SWI-adviseur toegewezen. Deze helpt al tijdens het ontwerpproces bij het in kaart brengen en ondervangen van mogelijke bedreigingen in de architectuur van het product.
Nadat de resultaten van openbare bètatests zijn verwerkt, doet het SWI-team nog een laatste test: de Final Security Review (FSR). Die evaluatie bepaalt of het product uit oogpunt van beveiliging het groene licht krijgt. Soms spreekt het SWI-team zijn veto uit, terwijl de productgroep haar werkstuk rijp voor de markt acht. "De eerste keer dat dat gebeurde, kon je een speld horen vallen", herinnert Charney zich. "Maar het prikkelt ontwikkelaars wel om hun werk goed te doen, want ze weten dat ze aan alle eisen moeten voldoen voordat het product de deur uit mag."

Stoomcursus
Als voorbeeld noemt Charney de ontwikkeling van Windows Server 2003, een belangrijke update die in december 2002 moest uitkomen. De introductie werd op de valreep afgelast ten gunste van een ‘security push’, zoals Charney het uitdrukt. Maar liefst 8500 ontwikkelaars die aan het project werkten, kregen een stoomcursus in beveiliging. Vervolgens moesten ze ‘bedreigingsmodellen’ maken voor de verschillende componenten van Server 2003, de programmacode zowel handmatig als met geautomatiseerde tools evalueren en penetratietests uitvoeren. Pas daarna mocht het product de markt op.
Het was een aanpak die volgens Charney direct effect sorteerde. In het eerste jaar na de introductie openbaarden zich dertien belangrijke of kritieke kwetsbaarheden. Bij de vorige versie, Windows Server 2000, waren dat er nog 42. Soortgelijke afnames deden zich voor bij de Service Packs 3 van Exhange 2000 en SQL Server 2000.
Een kosten/batenanalyse van het op beveiliging gerichte ontwikkelingsmodel valt volgens Charney nauwelijks te maken. Aanvankelijk, toen voor sommige bijna afgeronde producten achteraf nog een ‘security push’ werd uitgevoerd, was de extra inspanning nog wel te kwantificeren. "De kosten voor Windows Server 2003 waren in een periode van viereneenhalve maand ongeveer 200 miljoen dollar." Tegenwoordig zijn die rekensommen veel lastiger, stelt Charney, omdat veiligheid is ingebed in het proces. Ook het schatten van de kosten in manjaren vindt hij lastig, omdat het vaak niet zinvol is extra mensen op een bepaald productonderdeel te zetten: "Met vier koks maak je een lasagna-schotel niet sneller klaar dan met één."

Langere cycli
Toch is wel duidelijk dat de ontwikkelcycli langer zijn dan voorheen. Charney: "Voor een omvangrijk product als Windows, Office of SQL Server, houden wij alleen al voor de security push twee tot drie maanden aan. Als in de Final Security Review problemen naar voren komen, moeten die verholpen worden. Dat kan drie dagen duren, maar ook wel eens drie weken."
Het eerste product dat vanaf het prille begin is ontwikkeld met veiligheid als leidraad is Longhorn, de opvolger van Windows XP. "Al zijn er misschien nog onderdelen in Longhorn die van vóór het nieuwe ontwikkelproces dateren", nuanceert Charney. Het volgende grote project dat weliswaar uitgebreid is getest op veiligheidsaspecten maar al in de pijplijn zat toen Microsoft zich tot ‘trustworthy computing’ bekeerde is SQL Server 2005. Dat product zal ‘spoedig’ op de markt komen terwijl Longhorn nog minstens anderhalf jaar ver weg is._