Krever offentlige inngrep mot Microsofts "elendige" sikkerhet

Sikkerhetseksperter krever inngrep mot Microsoft for å redusere trusselen mot samfunnets infrastruktur.

En gruppe på sju anerkjente amerikanske sikkerhetseksperter har forfattet rapporten CyberInsecurity: The Cost of Monopoly, med undertittel How the Dominance of Microsoft's Products Poses a Risk to Security. Rapporten er tilgjengelig fra nettstedet til Computer and Communications Industry Association (CCIA). Denne bransjeorganisasjonen er viden kjent for sin motstand mot Microsoft. Troverdigheten til rapporten ligger dels i at den er skrevet som en generell advarsel mot enhver form for IT-plattformdominans – i rapporten kalt "monokultur" – dels i at de sju ekspertene er kjent som uavhengige av blokkdannelsen i IT-bransjen. (De sju er teknologisjef Daniel Geer fra @Stake, sikkerhetsarkitekt Charles P. Pfleeger i Exodus, daglig leder Bruce Schneier i sikkerhetsselskapet Counterpane Systems, konsulent og gründer John S. Quarterman, partner og daglig leder Perry Metzger i sikkerhetsselskapet Metzger, Dowdeswell & Co LLC, uavhengig strategikonsulent Becky Bace med bakgrunn fra National Security Agency, og kryptograf Peter Gutmann med bakgrunn fra PGP og lang erfaring i å avdekke sikkerhetshull i programvare fra Norton, Netscape og Microsoft.)

Rapporten stiller spørsmålet prinsipielt: Stadig mer av kritiske samfunnsfunksjoner er avhengige av nettverk av datamaskiner der de fleste er bygget over samme lest, nemlig Windows-plattformen. Nettverket øker raskt i omfang. Virkningen av misbruk av dette nettverket til å angripe samfunnet, øker like raskt. Risikoen øker kraftig når nettverket er ensidig dominert av "monokultur", altså, i dag, av Microsoft Windows og integrerte applikasjoner. Den totale datakraften i nettet dobles anslagsvis hver tiende måned. Dermed dobles også evnen til misbruk hver tiende måned.

Året 2003 har vært preget av flere virus og ormer – Slammer, Sobig, MSBlaster og Nachi – som har det til felles at de forårsaket store ødeleggelser, og angrep kjente sårbarheter i Microsoft-varer. Rapporten viser til det britiske selskapet mi2g som anslår det globale tapet grunnet virus og ormer til 107 milliarder dollar i år, hvorav Sobig-viruset alene sto for 30 millioner dollar bare i august. Ekspertene bruker begrepet kaskade for å beskrive det som skjedde: Siden de aller fleste maskinene hadde de samme sårbarhetene, spredte den ondsinnede koden seg utrolig raskt. Skal man beskytte seg mot slike kaskadefeil, er det ingen vei utenom å gjøre nettverket mer heterogent, og sørge for flere plattformer enn Microsoft.

– Hvis myndighetene vil ta på seg ansvar for at den teknologiske infrastrukturen skal overleve, er de nødt til å ta Microsoft-dominansen i betraktning, heter det i rapporten.

Ekspertene mener at Microsofts bevisste integrasjon av applikasjoner og operativsystemer forsterker problemet, og de mener dette integrasjonen er utelukkende motivert av kommersielle hensyn. Teknologiske argumenter taler i mot å integrere – noe tilfellet Internet Explorer, som er en integrert del av Windows samtidig som den er en applikasjon under Mac OS, viser. Lar man være å integrere, demper man dessuten virkningen av kaskadefeil. Teknologisk ubegrunnet integrasjon mellom programvarekomponenter bidrar til å øke kompleksiteten langt ut over det forsvarlige.

– Siden kompleksitet er den drivende kraften bak sikkerhetsfeil, må man anta at Microsoft-produkter har fra 15 til 35 ganger så mange feil som andre operativsystemer, heter det i rapporten. Påstanden begrunnes med beregninger med utgangspunkt i antall kodelinjer. Myndighetene advares mot plumpe tiltak av typen øvre grense for antall kodelinjer i et system. Poenget er heller at det tar hensyn til dette faktum i sin strategi for å begrense samfunnets sårbarhet.

Også for Microsoft er denne kompleksiteten et problem. Ekspertene mener Windows er kommet forbi terskelen der en fiks for en gitt sårbarhet høyst sannsynlig vil utløse nye sikkerhetshull. Fram til midten av september kom det en ny fiks fra Microsoft gjennomsnittlig hver sjette dag. Systemansvarlige som innser behovet for å teste før de installerer fikser, greier rett og slett ikke å følge med. Resultatet er at stadig flere maskiner inneholder sårbarheter som er publisert, og som angripere følgelig vet hvordan de skal utnytte. Nimda-ormen innledet en ny trend ved ikke å prøve seg på ett kjent Windows-hull, men på fem, slik at kaskadevirkningen ble kraftig forsterket.

Microsoft har satt i gang et initiativ for å gjøre Windows og andre produkter mer sikre. Ekspertene advarer at selskapet bruker behovet for økt IT-sikkerhet som påskudd til å låse brukerne enda tettere til Windows, for eksempel ved at en sikret Outlook e-postklient bare tillates å kommunisere gjennom en sikret Exchange-server. Slike løsninger bidrar til å befeste Windows-plattformen – monokulturen – og saboterer den diversifiseringen som er påkravet for å spre risikoen gjennom å hindre kaskadefeil.

Rapporten krever at myndighetene må handle. Ekspertene avviser løsningen fra monopolsaken mot Microsoft – en oppdeling av det integrerte monopolet i et monopol for operativsystemer og et annet for applikasjoner – og som CCIA støtte med stor entusiasme. De foreslår i stedet å tvinge Microsoft til å applikasjoner som Office i samme versjon til mange plattformer og til samme tid, slik at kontorsuiten ikke låser brukerne til Windows. Videre bør suiten løses opp i sine enkelte bestanddeler. På serversiden mener de Microsoft må tvinges til å dokumentere og standardisere protokollene til Exchange, slik at konkurrenter vil kunne utvikle alternativer.

Disse tiltakene må suppleres av pålegg til bedrifter og organisasjoner av kritisk betydning for samfunnets funksjon og infrastruktur – inkludert myndighetenes egne – om å unngå "monokulturen". Rapporten foreslår at ikke noe operativsystem skal tillates mer enn 50 prosent andel i en slik organisasjon, og at samvirke mellom plattformer skal sikres gjennom pålegg om å rette seg etter standarder.

Rapporten poengterer til slutt at hensikten er ikke bare å verne seg mot den Microsoft-baserte monokulturen, men også mot enhver framtidig IT-monokultur.

Til toppen