Pak inzet open source pragmatisch aan

Voortdurende beveiligingsproblemen slaan barsten in Microsoft-schild

Het aandeel van Microsoft in de browsermarkt daalt maand na maand. Ook in andere softwaresectoren vertoont het Microsoft-schild barsten. Niet zozeer kostenoverwegingen als wel de voortdurende beveiligingsproblemen met Windows liggen aan de basis van die evolutie. Vormt oss (open source software) een alternatief? Hoe ver kan of mag een bedrijf daarin gaan?

Een de facto standaard ontstaat door wat de meeste bedrijven gebruiken, ook al is het niet de officiële standaard. De besturingssystemen en applicaties van Microsoft vormen in de it zo'n de facto standaard. Dat is niet alleen een droomsituatie voor Microsoft, maar ook voor hackers en schrijvers van 'malware' (kwaadaardige software). Zij hoeven zich immers slechts te richten op één besturingssysteem (Windows), één kantoorapplicatiesuite (Microsoft Office), één webbrowser (Internet Explorer) en één mailprogramma (Outlook of Outlook Express).
Precies dat zien we de laatste tien jaar, sinds Windows 95 op de markt is gekomen, steeds meer gebeuren. Naarmate Microsoft succesvoller werd in het elimineren van concurrentie, gingen de hackers en malware-auteurs zich juist meer op Microsoft-producten richten. Daardoor krijgen we steeds meer parasieten als virussen, Trojaanse paarden, wormen, adware en spyware, en allerhande andere beveiligingslekken en -problemen te verwerken.

Desastreuze keuzes

Specialisten zijn het erover eens dat Microsoft allerlei keuzes heeft gemaakt tijdens het ontwikkelen van zijn software die desastreus zijn vanuit beveiligingsoogpunt. Dat verzwakt het argument van Microsoft-ceo Steve Ballmer als zou elke softwarebedrijf waarvan de producten zo vaak aangevallen worden gelijkaardige beveiligingsproblemen ondervinden als zijn concern.
Applicaties krijgen onder Windows bijvoorbeeld vrijwel onbeperkt toegang tot het volledige geheugen en zelfs tot het besturingssysteem zelf. Verder ontbreken allerlei controles in de software. Microsoft laat die controles weg om de software sneller op de markt te kunnen brengen en sneller te laten functioneren. Deze praktijk leidt tot de hardnekkigste van alle Windows-zwakheden: gevoeligheid voor 'buffer overflows'.
Simpel gesteld ontstaat het buffer-overloop-probleem als volgt. Als binnen software van Microsoft een bufferruimte gereserveerd wordt, controleert diezelfde programmatuur niet of de data die naar die buffer geschreven wordt past in die ruimte. Als er data naar de buffer geschreven wordt die niet in de gereserveerde ruimte past, loopt de bufferruimte over. Deze situatie is vergelijkbaar met een emmer die overloopt doordat je er meer water in giet dan erin past. Wat uit de buffer loopt, vervuilt een onbeschermd stukje van het computergeheugen. Zit daar uitvoerbare code in verborgen, dan kunnen hackers die gebruiken om een aanval uit te voeren.

Eén-op-één vervanging

Bedrijven vervangen Microsoft-software aan de serverkant meer en meer door alternatieve web-, mail-, database- en bestandservers. Microsoft is alleen nog marktleider voor de bestandservers; in alle andere markten is het van zijn troon gestoten, meestal door oss-alternatieven.
Bij de webservers is Apache met een marktaandeel van ruim 69 procent marktleider (bron: Netcraft). Microsoft Internet Information Server (IIS) heeft nog een marktaandeel van ruim 20 procent. Uit de cijfers van Netcraft blijkt dat het marktaandeel van IIS ieder kwartaal verder daalt. Apache is niet alleen veiliger dan IIS, maar presteert op vergelijkbare hardware ook een stuk beter.
Bij de mailservers is Microsoft Exchange met 33 procent (bron: Radicati Group) alleen marktleider als we naar individuele producten kijken. Vanuit platformoogpunt is Unix/Linux veruit het belangrijkst. Dat komt vooral doordat mailservers op internet van oudsher onder Unix draaiden. Internetaanbieders zijn dat blijven doen. Alleen binnen bedrijven die alles standaardiseerden op Microsoft-software treffen we overwegend op Windows gebaseerde mailservers aan.
Vooral in het midden- en kleinbedrijf is Microsoft Exchange Server populair omwille van zijn omvangrijke functionaliteit, die naast mail ook agenda, chat en dergelijke bevat. In de Unix-wereld moet je vaak voor elke functie voorzien in een aparte serverdienst. Bovendien staat Unix niet echt bekend om zijn gebruiksvriendelijkheid. Onder impuls van Linux is dat echter flink verbeterd. Steeds meer Linux-software heeft nu ook een grafische interface en is te configureren met behulp van gebruiksvriendelijke wizards. Novell bijvoorbeeld levert een op SuSE Linux gebaseerde mailserver (SuSE Linux Openexchange) die een één-op-één vervanging biedt voor alle functies van Microsoft Exchange Server.

Verregaande 'lock-in'

De populairste oss-databaseserver is MySQL. MySQL wordt vaak gebruikt in combinatie met Apache en de scripttaal PHP om dynamische websites te bouwen. Microsoft biedt stevig weerwerk met zijn .NET-omgeving, maar blijft ook hier geplaagd door negatieve rapporten in verband met de beveiliging. Voor het serieuze relationele databasewerk zijn de populairste databaservers volgens IDC Oracle (41 procent marktaandeel), IBM DB2 (30,6 procent) en Microsoft SQL Server (13,4 procent).
Er is dus altijd een serieus alternatief voor Microsoft SQL Server. Het probleem is echter dat bestaande Microsoft-oplossingen vaak SQL Server vereisen en weigeren met een andere databaseserver samen te werken. Doordat Microsoft een verregaande 'lock-in' heeft ingebouwd in een aantal van zijn serverproducten, moet je gewoonlijk of zo ongeveer alles van Microsoft vervangen door een alternatief, of bij Microsoft blijven.
Voor wat betreft de bestandservers is Microsoft marktleider sinds het Novell NetWare van zijn ooit onaantastbaar geachte troon stootte. Het marktaandeel van op Linux gebaseerde bestand- en printservers groeit de laatste jaren echter. Microsoft probeert zich daartegen te verweren, onder meer met Windows 2003 Storage Server, maar het marktaandeel van Windows Server kalft toch beetje bij beetje af.
Het belangrijkste argument voor een Windows bestand- en printserver heet Active Directory. Wie dat gebruikt, kan niet zonder Windows Server. Is ondersteuning van Active Directory niet essentieel, dan kan je alternatieven overwegen. Verreweg het goedkoopst zijn dan de bestand- en printserveroplossingen op basis van Linux. In Europa kiezen organisaties vaak voor Novell SuSE of Mandrake Linux.

Eigenaardig gedrag

De Windows-desktop volledig vervangen door een Linux-desktop gaat voor de meeste bedrijven (nog) te ver. Er bestaat ook een pragmatische tussenweg, waarbij je de grootste zwakheden uit Windows sloopt en vervangt door veiligere oss-alternatieven. Allereerst moet je dan de webbrowser vervangen, maar ook voor de mailclient en de kantoorsuites bestaan veiligere alternatieven.
Een alternatief installeren voor Internet Explorer is zinvol vanuit beveiligingsstandpunt, zoals onlangs bleek uit een test van alternatieve webbrowsers (zie: pagina 13, Computable 18 maart 2005). Wie draait op een vers geïnstalleerd Windows XP met toevoeging van Service Pack 2 en alle recente patches kan nog steeds naar bepaalde websites te surfen die het systeem ongemerkt besmetten met malware. Gewoon het webadres intikken en op enter drukken volstaat om een Windows-pc onherroepelijk te besmetten. Dit bewijst overtuigend dat er in IE serieuze beveiligingsgaten blijven zitten. Dat is wellicht de belangrijkste reden waarom het marktaandeel ondertussen tot onder de 87 procent is gedaald, een terugval met bijna 10 procent tegenover juni 2004 (bron: ScanIT). Functioneel loont het minder de moeite om over te stappen, wat overigens niet betekent dat Internet Explorer alle standaarden volgt, integendeel. Vanwege de marktdominante positie zijn de meeste websites noodgedwongen aangepast aan het soms eigenaardige gedrag van IE.

Geen ongemerkt misbruik

De officiële standaard voor het aanmaken van webpagina's, Html 4.01, is vastgelegd door het W3C (World Wide Web Consortium), waar ook Microsoft lid van is. Het is de bedoeling dat elke browser deze standaard ondersteunt. Html 4.01 was niet de eerste standaard; dat was Html 1.0. In die eerste Html-versie ontbraken allerlei constructies en faciliteiten die later zijn toegevoegd. Tekstkaders zijn daar een voorbeeld van, en recenter 'stylesheets' (stijlbladen), 'cascading stylesheets' (cascade stijlbladen) en dynamische Html. Browsermakers losten dat op door zelf ontbrekende functionaliteit toe te voegen. Zo ontstonden bepaalde webfuncties die op verschillende manieren gedefinieerd werden, door Microsoft voor IE en door Netscape voor Netscape Navigator (waarvan Mozilla de hedendaagse erfgenaam is). Dit leidde er al vlug toe dat websites voor die functionaliteit twee soorten Html-code moesten ondersteunen: die voor IE en die voor Netscape/Mozilla. De Html-code moest detecteren wat voor soort browser gebruikt werd en de goede code kiezen.
Microsoft paste IE wel aan aan latere W3C-standaarden, maar behield daarnaast zijn eigen methodes. Bovendien liet het zijn webcreatieprogramma FrontPage de voorkeur geven aan IE-specifieke constructies. Het gevolg daarvan is dat websites die zijn aangemaakt met FrontPage gewoonlijk alleen maar goed te bekijken zijn met IE.
Je kunt een alternatieve browser uit veiligheidsoverwegingen als hoofdbrowser gebruiken en als je een site tegenkomt die dit alternatief niet pruimt IE vanonder het stof halen. Voor FireFox bestaat er zelfs een plug-in die dit proces automatiseert (IEView). Let wel: als je IE internetklaar laat staan, geef je malware nog steeds de mogelijkheid om de browser te misbruiken. Het is verstandig om bij ingebruikname van een alternatieve browser een niet-bestaande proxy-server te configureren in IE. Dan kan parasietsoftware IE niet meer ongemerkt misbruiken. Heb je om een of andere reden IE nodig, dan kan je de proxy-instellingen manueel wijzigen.

Functionaliteit uitschakelen

Ook bij Microsoft Outlook en Outlook Express zijn er heel wat beveiligingsproblemen. Die hebben er onder meer toe geleid dat Microsoft veel van de standaardfunctionaliteit is gaan uitschakelen. Het is bijvoorbeeld niet meer mogelijk om vanuit Outlook programma's te starten zonder een extra bevestigingsvraag.
De losse mailclient Outlook Express is probleemloos te vervangen door Mozilla Thunderbird zonder verlies van functionaliteit. Thunderbird is beschikbaar voor alle mogelijke platformen, dus niet alleen Windows. Ook hier heeft een bedrijf een unieke gelegenheid de internetapplicaties te standaardiseren over besturingssystemen heen.
Outlook is een omvangrijkere mailclient die deel uitmaakt van de Microsoft Office kantoorsuite. Het biedt dezelfde functionaliteit als Outlook Express, maar vult die aan met Exchange-connectiviteit. Een oss-alternatief als Mozilla Thunderbird biedt geen Exchange-connectiviteit, al kan het wel via standaardprotocollen als pop3, smtp en imap4 samenwerken met Microsoft Exchange of andere mailservers. Volgens de Radicati Group heeft Outlook momenteel een marktaandeel van 60 procent in de zakelijke markt. Voorlopig bestaat er geen oss-alternatief dat dit marktaandeel ernstig zou kunnen bedreigen.

Legacy-redenen

Voor Microsoft Office, de de facto standaard voor kantoorapplicaties, bestaan alternatieven van verschillende producenten. Die zijn niet allemaal afkomstig uit de open source-wereld, want Office was niet altijd dominant in deze markt. De kantoorapplicaties die Microsoft uit de markt heeft verdrongen, waaronder IBM Lotus Smartsuite en Corel WordPerfect, bestaan nog altijd en zijn tegenwoordig op bestandsniveau compatibel met Office. Die strijd is echter gestreden en deze alternatieve kantoorsuites worden eigenlijk alleen nog gebruikt vanwege legacy-redenen.

Links
Apache: http://www.apache.org
FireFox: http://www.firefox.com/
IBM DB2: http://www.ibm.com/db2
IEView: ieview.mozdev.org/
Mandrake: http://www.mandrakesoft.com
Microsoft: http://www.microsoft.com
Mozilla: http://www.mozilla.org
MySQL: http://www.mysql.com
Novell Openexchange Server: http://www.novell.com/products/openexchange/
OpenOffice: http://www.openoffice.org
Oracle: http://www.oracle.com
PHP: http://www.php.org
Sun StarOffice: http://www.sun.com/software/star/
SuSE: http://www.suse.com
W3C: http://www.w3.org/
Een veelbesproken Office-alternatief is de open source suite OpenOffice.org en de commerciële, vrijwel identieke afgeleide daarvan Sun StarOffice. Gecombineerd kunnen ze ondertussen al bogen op een marktaandeel van 7 procent (bron: Sun). Op codeniveau zijn beide pakketten vrijwel identiek, reden waarom we hierna uitsluitend nog spreken over OpenOffice. Sun heeft overigens onlangs aangekondigd dat het voortaan ook OpenOffice officieel gaat ondersteunen, tegen een per-incident-prijs, waarbij het eerste incident gratis zal zijn. Dat zou OpenOffice ook interessant moeten maken voor kleinere bedrijven.

Perfecte uitwisselbaarheid

Op internet vinden we talrijke vergelijkende testen van OpenOffice en Microsoft Office. De conclusie is altijd dezelfde: functioneel is OpenOffice vergelijkbaar met Microsoft Office en op bestandsniveau is het er voldoende compatibel mee. Op sommige vlakken steekt het Microsoft Office zelfs de loef af: het is vaak sneller en in elk geval compatibeler met open industriestandaarden als XML. Over macro's zwijgen die testen meestal. Evenmin horen we veel over de formuleverschillen in de spreadsheet, of over het ontbreken van een databasemodule.
Ook over integratie met 'back-ends' die op Microsoft-software draaien lezen we niets: die is er niet. Microsoft-software die moet samenwerken met een kantoorsuite doet dat exclusief met Microsoft Office. Wie overstapt naar een alternatieve kantoorsuite, moet zulke 'back-ends' vervangen. In de oss- en Linux-wereld bestaan krachtige 'back-end'-oplossingen, die dikwijls opener en beter gedocumenteerd zijn dan de typische Microsoft-oplossingen.
Een niet te onderschatten voordeel van OpenOffice is dat het op veel verschillende platformen draait. Voor grotere ondernemingen met een verscheidenheid aan platformen kan standaardisatie op OpenOffice voor de perfecte uitwisselbaarheid zorgen tussen Windows-, Linux- en Mac-systemen. Zoiets is uitgesloten met Microsoft Office, waar verschillende versies en varianten onderling al uitwisselingsproblemen kennen. Dit kan samen met de betere bescherming tegen kwaadaardige software de kosten verantwoorden die een organisatie zal moeten maken voor training en de conversie van bestaande toepassingen die gebaseerd zijn op unieke Microsoft-functionaliteit.

 
Jozef Schildermans, Johan Zwiekhorst

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2005-04-08T00:00:00.000Z Jozef (e.a.) Schildermans
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.