Beveiliging als cultuuromslag

Beveiligingstopman Microsoft: 'Verkeerd geconfigureerde servers belangrijker dan codefouten'

Dit artikel delen:

Scott Charney, hoofd van de afdeling Trustworthy Computing van Microsoft, is een kalme, rustig formulerende man die ruim dertien jaar geleden als ambtenaar bij het Amerikaanse ministerie van Justitie al op hackers joeg. Hij is dus ervaren genoeg om te weten dat de strijd om veilige computersystemen nog lang niet is gestreden, maar wel is begonnen.

  
Scott Charney:"Longhorn wordt in 2006 het eerste grote product waarbij veiligheid en beveiliging vanaf het allereerste begin voorop hebben gestaan."
"Sinds het uitstel van de lancering van Windows Server 2003 in december 2002 om de beveiliging van de software te versterken weet iedereen hoe serieus wij veiligheid nemen." In 4,5 maand gaf Redmond toen tweehonderd miljoen dollar uit om het beveiligingbewustzijn van 8500 programmeurs te verhogen en de code aan een geautomatiseerd testprogramma te onderwerpen.
De beveiligingsinspanningen beginnen vruchten af te werpen, wil Charney graag kwijt. Het aantal kritieke kwetsbaarheden in Windows Server 2000 bedroeg 42. Bij de 2003-versie is dat gezakt naar dertien kwetsbaarheden. Ook de Exchange-server is veiliger geworden: drie kwetsbaarheden in de nieuwe release in plaats van de twaalf in de vorige. SQL Server 2000 SP3 heeft in achttien maanden twee kwetsbaarheden vertoond. De vorige versie had er zes.

Vanaf de ontwerpfase

Vanaf de ontwerpfase van software wordt thans gewerkt met threat models, modellen om bedreigingen in te schatten en te simuleren. Aan elk team programmeurs wordt bovendien een beveiligingsadviseur toegevoegd. De code wordt regelmatig getest aan de hand van die modellen. Zodra de functionaliteit compleet is en een programma in bèta-test gaat, volgt een nieuwe poging om de beveiliging te perfectioneren. Iedereen krijgt een vervolgopleiding, de code wordt doorgespit door programmeurs en geautomatiseerde testprogramma's en de software ondergaat een serie grondige threat tests.
Bij Microsoft staat dat proces bekend als fsr, de final security review. Charney: "Dan gaat het erom of het product vanuit beveiligingsperspectief bezien klaar is om op de markt gebracht te worden." Hij onderstreept dat er sprake is van een cultuuromslag. "Thrustworthy computing is een integraal onderdeel van de functioneringsgesprekken, die gerelateerd zijn aan salaris en bonussen."
Fsr is niet 'een binaire beslissing'; geen lakmoesproef. "Neem de software voor de smartphones. De oem-producent besluit zelf wanneer hij zijn telefoons uitbrengt, ook als dat betekent dat er een oudere, minder veilige versie van de software wordt meegeleverd, die dan later wordt opgewaardeerd." Hij verheelt niet dat zijn bedrijf daarbij fors onder druk wordt gezet om (vroegtijdig) met nieuwe versies van de software op de proppen te komen. Charney spreekt diplomatiek van een 'trade off'.

Automatische configuratie

De grootste bron van onveiligheid in software schuilt volgens hem niet zozeer in slecht geschreven code als wel in niet goed geconfigureerde servers. "Met Windows Server 2003 SP1 zijn we daarom begonnen met automatische configuratieprocessen. Je klikt aan dat je de server wilt gaan gebruiken als bestands- of printerserver. Automatisch worden de juiste poorten geopend en de juiste diensten gestart. Krijgt de server later een andere rol, bijvoorbeeld als webserver, dan worden poorten, processen en services automatisch opnieuw geconfigureerd. Systeembeheerders moeten dagelijks enorme hoeveelheden servers in de gaten houden. Ze kunnen daarbij alle hulp gebruiken die wij ze als producenten van hardware en software maar kunnen bieden", aldus Charney.
Hij is er niet van overtuigd dat de Windows-monocultuur een grote rol speelt. De aanwezigheid van bureaucomputers die worden ingezet als drones omdat ze onbeveiligd zijn en van onjuist geconfigureerde servers zijn volgens hem veel belangrijker factoren bij het excessief hoge risico op een dos-aanval (denial of service). "En hackers werken tegenwoordig op minstens twee platformen tegelijkertijd. Om genoeg diversiteit te hebben zou je over miljoenen besturingssystemen moeten beschikken."

Gates lanceert
Chief software architect Bill Gates van Microsoft heeft vorige week op het IT Forum in Kopenhagen een aantal thans al te gebruiken componenten bekend van het Dynamic Systems Initiative. Dit initiatief is bedoeld als lange-termijn visie op beheer en beveiliging van bedrijfssystemen. Gates lanceerde op het Forum de eerste openbare bèta-versie van Windows Update Services, dat systeembeheerders in staat stelt opwaarderingen te beheren en te automatiseren. Microsoft Operations Manager 2005, ook onderdeel van DSI, zorgt voor beheergereedschap voor het draaien en presteren van Windows-serversystemen. Door samenwerking met platformintegrator en softwareleverancier Vintela hoopt Microsoft MOM 2005 ook geschikt te maken voor een Unix- of Linux-omgeving. Virtual Server 2005 ten slotte levert gereedschap voor het testen van software, ontwikkeling en migratie. Voor het succes van DSI is bedrijfstakbrede samenwerking een absolute noodzaak, aldus Gates. "Hardware houdt ons niet tegen. Het probleem zit hem in software".
Bijna twee jaar geleden constateerde Charney in Computable dat de meeste exploits van kwetsbaarheden pas optraden ná openbaarmaking van een lapmiddel. "Dat is eigenlijk nog steeds zo. Alle onderzoek dat we de afgelopen twee jaar daarnaar hebben gedaan onderstreept die constatering alleen maar. De snelheid van reverse engineering is echter dramatisch verhoogd. De periode die verstrijkt tussen patch en aanval is van maanden teruggelopen tot enkele dagen. De Blaster-aanval kwam 25 dagen na publicatie van het lapmiddel. De jongste aanval op Microsofts Internet Security Systems (ISS) kwam 48 uur na de patch."

Beveiliging op chip

Traditionele buffer overruns maken driekwart van de kwetsbaarheden uit, zegt Charney. "Op dat terrein is investeren het effectiefst." Hij kijkt dan ook met grote belangstelling naar ontwikkelingen bij de chipfabrikanten. "AMD heeft zijn chipontwerp al aangepast om overruns tegen te gaan. Bij Intel gebeurt iets dergelijks. Men denkt na over anti-virus op de processor. Onze beste kans voor een oplossing van het beveiligingsprobleem ligt in de interface tussen hardware en besturingsysteem. Als je een betrouwbaar platform wilt en een kern die je vertrouwen kunt, stop de beveiliging dan op de chip."
Ook de kwaliteit van de bij beveiliging betrokkenen moet omhoog. Certificering lijkt hem een goed idee. Een certificaat verplicht stellen ligt niet direct op de weg van een softwareleverancier. Aan de eigen certificaten van Microsoft worden steeds meer beveiligingscomponenten toegevoegd. Over de informatica-opleidingen aan universiteiten en elders is hij somberder gestemd. "Daar begint het nog maar net. Cryptografie en ssl (secure sockets layer, red.), daar blijft het vaak bij." Vooral voor kritieke delen van de infrastructuur als atoomcentrales en internetknooppunten moet bedrijfstakbreed snel iets aan de certificering gedaan worden, zegt Charney.

Verlenging met maanden

Buiten kijf staat dat veiliger software de periode dat daaraan geprogrammeerd wordt "met maanden" verlengt. Het perfectioneren van de beveiliging (security push) kost bij een besturingssysteem als Windows en grote applicaties als Office en SQL volgens Charney twee tot drie maanden extra ontwikkeltijd. Voor tests tussendoor worden honderden extra programmeurs en testers ingezet. Een probleem is wel dat het effect van het inzetten van extra mensen eindig is. "Je kookt lasagna niet sneller met vier koks dan met één", aldus Charney.
'Trustworthy computing' heeft het tot nu toe moeten doen met extra beveiligingsinspanningen in bestaande projecten. "SQL Server 2005 wordt op dit moment intensief getest. Longhorn wordt in 2006 het eerste grote product waarbij veiligheid en beveiliging vanaf het allereerste begin voorop hebben gestaan."< BR> 
Stand-alone virusprogramma
Charney bevestigt dat Microsoft werkt aan een stand-alone virusprogramma, "naar ik aanneem voor de desktop". Een datum voor de lancering is nog niet vastgesteld. Onduidelijk is ook of dat voor of na de lancering van Longhorn zal zijn.
Hij is goed te spreken over de verhoogde beveiliging na installatie van SP2 van Windows XP. Vooral de firewall is veel robuuster, aldus Charney, en dat is maar goed ook. Uit een Microsoft-onderzoek van achttien maanden geleden bleek dat tweederde van alle eigenaren van een computer thuis geen antivirus-software gebruiken, ofwel dat doen met een lijst virusdefinities die niet actueel is.
Microsoft werkt voorts aan 'active protection technology'. "Een interessante technologie waarmee we het gedrag van het systeem en zijn gebruiker in de gaten houden. Ongebruikelijke handelingen worden fysiek geblokkeerd en de gebruiker wordt gewaarschuwd. De meeste bescherming werkt tot op heden alleen 'inbound', de computer in. Wellicht dat we in de toekomst ook 'outbound' bescherming toevoegen."

 
Dinsdag lapmiddelendag
Microsoft brengt 'patches' ofwel lapmiddelen tegenwoordig eenmaal per maand op dinsdag naar buiten. Systeembeheerders blijken aan een regelmatige maandelijkse uitbreng de voorkeur te geven boven wekelijkse of ad-hoc publicatie. Om de te verwachten toeloop te kunnen verwerken heeft Redmond meer servers geïnstalleerd en die aan intensieve 'load balancing' onderworpen. Drie werkdagen voor 'Dolle Dinsdag' krijgen de klanten (meestal op donderdag) een waarschuwing. De informatie daarin is bondig (naam en aanduiding van het gevaar) en wordt zo algemeen mogelijk geformuleerd om geen slapende hackers wakker te maken.
 
Geïntegreerd hulpmiddel
Gebruikers van Dell Power Edge-servers met Microsoft-software kunnen vanaf januari terecht bij één geïntegreerd hulpmiddel voor opwaarderingen van zowel hardware als software. Dells Openmanage 4-software deelt een gemeenschappelijk interface met Microsofts System Management Server 2003. Die handelt opwaarderingen af van server- en applicatiesoftware, van Dell-firmware en van de bios. De integratie-link, SMS 2003 Inventory Tool for Dell Updates, kan in januari gratis gedownload worden, aldus Dell.
Deze overeenkomst is niet exclusief, haastte Bob Muglia, senior vice president van de Windows-server divisie van Microsoft zich vorige week te melden. Microsoft staat volgens hem open voor het bouwen van vergelijkbare links met producenten van andere servers, zoals IBM en HP. Charney noemt die aanpak consistent met Microsofts strategie dat opwaarderingen zo simpel en consistent mogelijk moeten zijn. "De server-omgeving is een heterogeen ecosysteem. We moeten dus gereedschappen aanbieden die in een heterogene omgeving werken."


x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2004-11-26T00:00:00.000Z René Rippen
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.