Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Microsoft zoekt de confrontatie

 

Expert

drs. Peter Ambagtsheer MSc
Eigenaar/managing consultant bij Mentaspex en Solar-systemen.nl Gelderland, Solar-Systemen.nl Gelderland. Expert van voor het topic .

Microsoft wil de installatie van licenties op (vooral) operating systemen van dit bedrijf gaan beveiligen met een in het BIOS ingebakken code. De hardware fabrikanten voelen zich gedwongen mee te werken: Het marktaandeel van Microsoft is te groot om te negeren.

Een in het BIOS ingebakken beveligingscode die Windows verankert op de machine, heeft voordelen: Het zou lastig moeten worden om met malware het OS nog te infecteren, met name met rootkits. Dat is zeker een winst voor gebruikers.

Er zijn ook grote nadelen: de pc-markt wordt direct in drieën geknipt, met Apples (OS gebonden) Windows (OS gebonden) en ongebonden machines (hoofdzakelijk Linux). De wet van de grote getallen leidt echter gemakkelijk tot de verwachting, dat het op de wereldmarkt een probleem wordt om ongebonden machines te bouwen en te verkopen. Exit vervolgens vooral Linux, de kleine 'grote' concurrent van Microsoft. Dat is althans de vrees van de Open Source gemeenschap en daar is reden voor. Microsoft heeft er groot belang bij, zeker in een steeds bonter landschap van handheld device OS-en, om een alomvattende greep op alle machientjes te krijgen. Nu de pc, straks de server, de tablet, de smartphone en de televisie. Let maar eens op.

Deze keuze voor hardware gebonden OS-en is overigens goed afgekeken van Apple: Microsoft blijkt bereid (nog meer) lessen van dit bedrijf over te nemen. Waar Apple zijn machinegebonden OS te vuur en te zwaard verdedigt, gaat Microsoft zichzelf en de gebonden hardwarebouwers zeker in conflict brengen met kartelautoriteiten. Microsoft kiest kennelijk voor een nieuwe krachtmeting. Ironisch genoeg is het juist de keuzevrijheid van OS op IBM en klonen geweest, die Microsoft de kans gaf zich los van IBM te ontwikkelen. Blijkbaar moet die mogelijkheid voor anderen worden gedicht.

Licentiedongle

Ik vind dat opmerkelijk, zogezegd zelfs bizar, omdat er technisch beproefde, veel betere en mogelijk zelfs voordeliger oplossingen denkbaar zijn: wat te denken van een licentiedongle, klein maar effectief toe te passen in bijvoorbeeld een usb-slot (op het moederbord in de kast) of desnoods een standaard vrije chipsocket, zoals die al in gebruik is voor uitbreiding met (crypto)proccessors.
Beide oplossingen zijn beproefd, veilig genoeg en voordelig genoeg voor de gebruikers van OS-en die niet gebruik willen maken van hardware baked-in licenties (HBIL). Zij houden dan de mogelijkheid om gewoon te activeren zonder die licentie. Het biedt evenveel bescherming tegen manipulatie van de bootsectors: als enige zou de BIOS dan moeten controleren of de usb/socket 'dongle' overeenkomt met het op te starten OS. Technisch een koud kunstje zou je zeggen.

Kan het nog eenvoudiger, door de functie niet beter gewoon uitschakelbaar te maken in het BIOS? Nou, volgens Microsoft niet, want het laat zich raden dat een selecte groep gebruikers die functie zeker gaat uitschakelen, met inachtneming van het feit dat een machine zonder deze functie weleens goedkoper zou kunnen zijn. Waardoor er in de markt een negatieve onderscheiding ontstaat: Windows wordt (nog) duurder, met als gevolg aanmoediging om Apple of Linux te kiezen. Voor machine fabrikanten geen punt, maar wel voor Microsoft.

Het effect zou hetzelfde zijn als de mogelijkheid om de dongle of chip eerst (korstondig) te verwijderen voor een nieuwe installatie of te verwisselen voor een nieuw OS. Maar afgezien van die handelingsvrijheid, zou die dongle - zeker in usb-vorm - extra functionalteit kunnen krijgen zoals een mirror van de desktop, oftewel de 'cloud in je vestzak'. Steek hem in een andere pc en werk door waar je gebleven was. Voorzie hem van een fingerprint reader (naar keuze te activeren of niet te gebruiken). Bovendien hebben veel systemen al zulke (zelfs interne) usb-aansluitingen of vrije sockets: Bewezen en beproefde technologie.

Hoe zit het met de kosten? Die zouden - ongeacht de technische uitvoering - geheel gedragen moeten worden door de software fabrikanten, en dus terecht komen in de prijsstelling van de machines. Echter, Microsoft probeert die kosten voor zijn oplossing nu veel vroeger in de keten bij de hardware producenten neer te leggen. Hierdoor zouden alle machines duurder worden, ook machines die niet voor Microsoft software bestemd zijn.

 Ik las al een artikel dat Microsoft de fabrikanten en vendors hier tegen elkaar probeert uit te spelen. Volgens mij horen deze kosten echter thuis in de prijsstelling van de licenties. Immers, de zwakheden aan licenties en kwetsbaarheid van OS-en is namelijk voor de volle 100 procant verantwoordelijkheid van de OS fabrikanten. Ze mogen zelf de keuze maken om gebruik vanhun OS-en zonder HBIL's toe te staan. Dit laat ruimte in het ecosysteem voor gratis Open Source OS-en en voor mensen die (ze bestaan nog) willen experimenteren met alternatieven.

Corrupte licenties

Een dongle-systeem en/of een vrije chipsocket biedt de mogelijkheid om corrupte licenties uit bedrijfseigen licentiedatabases te halen; of om een installatie te 'herstellen' simpel met verkoop of herproductie van een nieuwe dongle. Moeilijk is dat niet: het is volstrekt vergelijkbaar met het maken van een kopie-simkaart voor een gsm-telefoon.

Nu zal Microsoft vanuit zijn perspectief dit geen levensvatbare oplossing vinden, maar het punt is nu juist dat een eerlijke markt dient te prevaleren boven de specifieke belangen van Microsoft op het vlak van marktdominantie - diep in de genen van dit bedrijf.

Het lijkt hier (zo wordt het gepresenteerd) alsof het om veiligheid van OS-roots gaat en borging van legaal gebruik, maar Microsoft kennende is dit opnieuw een frontale aanval op de vrijheid, het OS afzonderlijk van een machine te kunnen kiezen, Dit leidt volgens mij zeker tot conflicten met kartelautoriteiten. Ik sluit echter niet uit dat de baten die kostenpost ruim gaan dekken: Microsoft speelt hoog spel.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/4242778). © Jaarbeurs IT Media.

?


Lees meer over


 

Reacties

Laten we hopen dat niet iedere Computer-bakker er voor kiest om hier in mee te gaan.

Dit proefballonnetje gaat knappen denk ik.

@Randomized & M.G.
Dank voor jullie reacties. Fijn te zien dat zo'n artikel reacties teweeg brengt. Ik ben het met jullie eens.

Niemand heeft de geringste illusie dat MS of hardware fabrikanten ingaan op de alternatieven. Ik schets hierboven wel, dat er beproefde alternatieven zijn.
Dit onderstreept, dat MS de confrontatie zoekt.
In de omgangs-vormen van de grote IT corporations lijkt dat gedrag helaas de standaard te zijn.
Het is trouwens nog niet duidelijk wat de gevolgen voor virtualisatie (VMware, XEN) zullen zijn.

Dongles en/of interne crypto chips werken niet omdat die binnen de kortste keren gekraakt zijn. Voor de eerlijke gebruikers zijn ze ook lastig omdat ze kapot kunnen gaan of gestolen kunnen worden. Vaak werken ze ook niet op alle modellen computers.
Wat dat betreft moet de industrie gewoon rekening houden met die extra omzetderving. Maar wat dat betreft heeft het Microsoft ook nooit belemmert om zo groot te worden. In tegendeel zelfs, dankzij hun relatief eenvoudig te omzeilen beveiliging is Windows al heel lang favoriet in menige huiskamer.

@peter,
Ik ben er niet zo zeker van dat 'kraken' uitgesloten is bij de BIOS HBIL voor Windows. Mij lijkt dat een kwestie van tijd. Een lonend doel met gegarandeerde internationale belangstelling, dat is een grote uitdaging!

Je hebt gelijk dat beveiliging lastig is voor gebruikers. Dat is immers altijd het dilemma bij beveiliging, gebruiksgemak vs risico beperking. Doch nu zouden ook gebruikers van een ander OS dan Windows gaan meebetalen aan de Windows licentiebeveiliging? Dat is wel heel bizar.

En eigenlijk wordt het nog veel schunniger: als ik om een legitieme reden het moederbord moet vervangen (die dingen kunnen ook kapot) verplicht MS mij om een hele nieuwe licentie te kopen. Als ik het moederbord van mijn Linux machine moet vervangen (zelfde reden) dan kan ik opeens mijn Linux niet draaien omdat een groepje Pipo's bij MS hebben besloten dat ik dat niet mag doen!

Dit lijkt me voldoende reden om MS te dagen voor het ontnemen van mijn vrijheid om te kiezen. Dat is toch zo'n groot recht daar in de VS?

Ik denk (nee, ik hoop vurig) dat het inderdaad een proefballonetje gaat blijken te zijn.

Vanuit het perspectief van MS kan ik wel begrijpen dat ze iets dergelijks willen: nu komt het te vaak voor dat machines draaien met een illegale versie van hun applicatie en ze hebben alle recht om dat tegen te gaan. Het is kennelijk te moeilijk om een goede beveiliging te ontwerpen (en ik wil best geloven dat het moeilijk is).

Maar om de hele wereld dan meteen maar te verplichten het goed te vinden, omdat je zo groot bent spreekt van ongeremde arrogantie. Het is al erg genoeg dat je geen enkele PC kunt kopen zonder hardeschijf-vervuiling in de vorm van een voorgeinstalleerde Windows. Het beste zou zijn om hier voor beide situaties dezelfde oplossing te bieden:
Geef de consument de keuze: een PC met of zonder Windows. Indien met windows, vervangen we de bios-chip met zo'n windows-ding en krijg je windows erop geinstalleerd. Indien zonder windows, laten we de doos dicht en krijg je 'm zo mee... veel succes met het installeren van een Linux distributie (kan evt. ook weer een service van de leverancier worden).

Microsoft blij, iedereen die Linux wil blijven gebruiken blij.

Helaas ik ben er bang voor dat dit Microsoft gaat lukken. Perslot van rekening ze zijn niet de enigen die dit willen en (gaan) doen. PC fabrikanten staat het vrij om er in mee te gaan of niet. Daar tegen overstaat dat Apple ook zijn eigen apparaten bouwt wat Microsoft (nog) niet doet. Dus daar zit misschien een kans voor de kartelautoriteiten om er een stokje voor te steken.

Of we echter blij moeten zijn met hardware van Microsoft ... ben bang van niet.

Onder volgende link heb ik nog wat aanvullende informatie geschreven.

http://www.compute-ability.nl/index.php?mact=News,cntnt01,detail,0&cntnt01articleid=11&cntnt01origid=73&cntnt01detailtemplate=metkomm&cntnt01lang=nl_NL&cntnt01returnid=70

Bei de FSF (Free Software Foundation) kun je protesteren.
http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement

Mogelijk dat MicroSoft op de desktop / laptop de strijd gaat winnen, al maak ik mij sterk dat hardware leveranciers accoord gaan met een verlies van alle OSS gebruikers als klant.

Zeker op de server markt zal dit weinig sucsesvol zijn.
Maar een beperkt deel hiervan draait MicroSoft.

Het is idd weer zo'n proefballonnetje.

Als MicroSoft nu eens gewoon de strijd aan zou gaan met een behoorlijk product.. maar ja.. daar is het bedrijf kenlijk te log voor.

Ik kan mij nauwlijks voorstellen dat deze mandatory biosfeature structureel doorgevoerd gaat worden. en al helemaal niet door alle fabrikanten.
Een hoop spul is bv te licht om Windows op te draaien. veelal word er dan voor iets als Linux gekozen.

Nu ja we gaan het zien.

Op verzoek van Microsoft, onder deze links enkele interessante visies van anderen, overigens zonder dat ik deze op dit moment reeds onderschrijf:

http://blogs.msdn.com/b/b8/archive/2011/09/22/protecting-the-pre-os-environment-with-uefi.aspx

http://www.zdnet.com/blog/bott/why-do-linux-fanatics-want-to-make-windows-8-less-secure/4100?tag=search-results-rivers;item11

@ Peter,

het artikel op zdnet is van Ed Bott, die is bekend als absolute aanhanger van Microsoft. Wat ik daar lees past bij hem. Meestal bieden de kommentaren meer informatie.
Dat het engineering team van Microsoft de door hen voorgestelde techniek verdedigen is niet zo vreemd.
Inmiddels hebben James Bottomley en Jonathan Corbet van the linuxfoundation een gedetailleerd artikel geschreven, https://www.linuxfoundation.org/publications/making-uefi-secure-boot-work-with-open-platforms.
Canonical (Ubuntu) en RedHat hebben ook een langer artikel in de vorm van een whitepaper geschreven,
http://blog.canonical.com/2011/10/28/white-paper-secure-boot-impact-on-linux/

Dat deze techniek gaat komen is duidelijk maar dat we moeten oppassen dat Microsoft, als monopolist, daarover de zeggenschap krijgt is ook duidelijk. Microsoft heeft genoeg twijfelachtige akties gestart tegen Linux, van de vermeende 235 patentschendingen is er nooit 1 openbaar gemaakt.

Ze zakken de secure-execute van de program-loader in het OS gewoon door naar de bios zodat je een secure boot hebt middels vooraf geladen certificates. Zeker gezien de ontwikkelingen in OS-virtualisatie de enige volstrekt logische manier om het drijvend fundament (dat tot nu toe iedere vorm van security tot een lippendienst heeft gereduceerd) eindelijk borgt.

Sinds de komst van de VHD-partities in de partitiemanager van Win7/Win2008, vervaagt het onderscheid tussen fysiek of virtueel draaiende (virtuele) systeempartities steeds meer. De volgende stap is dus dat HyperV alleen secure VHD's draait.

De bezwaren slaan overigens helemaal nergens op. Deze nieuwe firmware generatie is voor iedere OS-fabrikant even nuttig en staat niemand in de weg. Als ik een Windows-OEM met een hardwareboard meeverkoop, mag die overigens alleen maar daarop draaien. Dat is al jaren zo. Ik ben niet verplicht die OEM te draaien als ik hem gekocht heb en ik ben ook al helemaal niet verplicht die OEM überhaupt met dat board te kopen. Ik zie ook nergens dat het board alleen maar vanaf het meegekochte OEM kan booten.

Al met al een zeer positieve ontwikkeling die helaas minstens tien jaar te laat komt.

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×