Microsoft KAN være på vei mot bedre IT-sikkerhet

- Microsofts praksis er som å dele ut håndvåpen til kriminelle, sier sikkerhetsekspert Rob Kolstad. - Men ting tyder på at de kan være i ferd med å endre holdning.

Rob Kolstad har tungvekterens evne til å sette ting på spissen. Med sin brede erfaring innen både kommersiell programvare og åpen kildekode - blant annet fem år ved Berkeley Design - er han en ettertraktet foredragsholder om programvare generelt og IT-sikkerhet spesielt. Innbydelsen til mnemonic technical update 2001 i Oslo i forrige uke var hans første opptreden i Norge, trass norske aner. Kolstad er ellers redaktør for USENIX-tidsskriftet ;login.

- Jeg tror at Microsoft kan være i ferd med ta IT-sikkerhet alvorlig. Det bygger jeg på flere observasjoner. De har kunngjort initiative Strategic Technology Protection Program og arrangert konferansen Trusted Computing. De har begynt å hyre inn faglig anerkjente sikkerhetsfolk, og de har levert Windows XP med alle sikkerhetsfunksjoner på i utgangspunktet.

Kolstad mener dette kan tyde på at Microsoft tar alvorlig på kritikken fra brukerne, og på den kraftige advarselen de fikk da Gartner Group erklærte deres webserver IIS som "håpløst usikker".

- Alt dette utgjør en trend. Jeg vil ennå ikke anbefale at man bruker Windows til å kjøre et kritisk system. Men det er altså en del som tyder på at de kan være i ferd med å ta sikkerheten alvorlig.

Uansett er det langt igjen, mener Kolstad.

- Microsoft har problemer på to områder. Det ene er at selve tankegangen deres i forhold til datamaskiner går ut på å gjøre dem usikre. Det andre er at måten de utvikler systemer på, fremmer usikkerhet. Her kreves det en endring i kulturen.

Microsoft ligger i år an til å levere gjennomsnittlig to sikkerhetsfikser i uka.

- Alle lusene viser at de ikke er grundige nok når de tester, uansett hvor mange de trekker inn i klargjøringsperioden. Dessuten er det noe grunnleggende galt med måten de fikser ting på. Feil oppdages og fikses i alle operativsystemer. Men i Unix er fiksene små. De er som milligram, mens Microsoft leverer svære pakker på flere kilogram.

Kolstad er likevel villig til å se ting an.

- Microsoft har vist ved tidligere anledninger at de evner å snu. Det kan også skje i forhold til sikkerhet. Men jeg har svært vanskelig for å forestille meg Bill Gates som en ledende kraft i den snuoperasjonen. Hans talenter har mer med PR å gjøre.

Noe av det verste Microsoft har gjort, ifølge Kolstad, er å legge inn eksekverbarhet i sammenheng der denne egenskapen er alt annet enn ønskelig.

- De er ikke alene om det. Jeg er også skeptisk til mange egenskaper ved Java. Men der stiller man seg i hvert fall åpen for motforestillinger. Microsoft har gjort helt sinnssyke ting, blant å gjøre e-postklienten sin i stand til å kjøre kode i innkommende meldinger, samtidig som systemet deres er snekret på en måte som gjør at det ikke er seg bevisst når dette skjer. Trass i alt som har skjedd av skadeverk gjennom Microsofts e-postklient, insisterer de på å opprettholde eksekverbarheten fordi kunden angivelig forlanger det. Dette er å snu ting på hodet. Kunden har ikke bedt om e-post som blottstiller dem. Microsoft kunne like gjerne gått direkte til kriminelle miljøer og delt ut håndvåpen med ammunisjon. Skal du bruke Outlook, må du velge de nye maksimale sikkerhetsinnstillinger.

Til toppen