Microsoft tenkte sikkerhet - etterpå

Microsoft oppdaget allerede i april at beta 3 av Windows 2000 hadde en utillatelig sikkerhetsbrist. Likevel lot man opptil 650.000 eksemplarer gå ut til testere, til dels mot betaling, men uten varsel og uten patch.

Bristen dreier seg om en egenskap i en prosedyre kalt "autologin". Hvis PC-en din ikke er knyttet til noen domene, for eksempel fordi du har installert Beta 3 på en enbrukermaskin, opprettes det automatisk en passordfri brukerkonto basert på det du oppgir av informasjon for å registrere systemet. Denne kontoen gir fulle privilegier, det vil si tilgang til alt på maskinen. Enkelt for deg som bruker maskinen til å teste Beta 3 av Windows 2000: Du oppgir ditt kjente brukernavn, og slipper maset med passord.

Så lenge du ikke er oppkoplet mot noe nettverk, er ikke dette noe problem. Det sikkerhetskonsulent David Litchfield oppdaget i forrige uke, og som han gjorde kjent på Internett, er at hvis maskinen er på et nett, og hvis systemets Telnet-tjener er aktiv, kan en inntrenger få rede på brukernavnet ved å sende Beta 3-maskinen en kommando kalt nbtstat. Hvis Telnet-tjeneren ikke er aktiv, kan den fjernaktiveres gjennom et enkelt skript i Visual Basic, som det går an å gjemme i for eksempel et html-dokument.

Dette er to forholdsvis enkle gjøremål for å oppnå full tilgang til en maskin uten en gang å måtte gjette passord.

I juli i år kom en oppfølger til Beta 3, kalt Release Candidate 1 - eller første kandidat til den endelige utgaven. Her var autologin utvidet slik at brukeren ble bedt om å oppgi et passord. Denne utgaven er langt mindre utbredt enn Beta 3. I Release Candidate 2 som ventes med det første, vil hele autologin-egenskapen være fjernet, heter det fra Microsoft som innrømmer at selskapet var klar over sikkerhetsbristen allerede for fem måneder siden.

- Autologin skulle gi brukerne en forenklet påloggingsprosedyre, men vår sikkerhetsteam oppdaget problemene raskt og insisterte på at prosedyren måtte fjernes, forklarer sikkerhetsansvarlig for Windows NT, Scott Culp, til Sm@rt Reseller.

Håndteringen av denne sikkerhetsbristen avdekker to forhold. For det første sjekket Microsoft sikkerheten i produktet i etterkant. Beta 3 ble sendt ut i tilsammen 650.000 eksemplarer. For mange av disse krevde Microsoft betaling. Selv om man må forvente feil i uferdige produkter, bryter bristen rammen for det et testprogram av dette omfang bør tillate. Det andre vi kan notere oss er at nok en gang må en brist avsløres eksternt før Microsoft innrømmer at den finnes.

For den som har fulgt med Microsoft de siste årene, framstår forholdene som deler av et mønster. Både Internet Explorer og ulike varianter av Windows har gjentatte ganger blitt avslørt for manglende sikkerhet. Microsoft har erkjent problemene etter eksterne avsløringer, og rettet opp i ettertid. Dette mønsteret omfatter ikke falske avsløringer, som for eksempel NSAs påståtte bakdør.

Til en viss grad er det uunngåelig at sikkerhetsbrister avsløres med bruk og at operativsystemer og avanserte applikasjoner trenger tid for å komme opp på et akseptabelt sikkerhetsnivå. Windows NT har innpass i flere forsvarssystemer, også hos blant andre Nato i Bosnia, og kan ikke avfeies som udugelig.

Det betenkelige ved autologin-bristen i Beta 3 er at den viser en iboende tilbøyelighet i Microsofts utviklingsavdeling til å ofre sikkerheten på bekvemmelighetens alter, selv om Microsofts sikkerhetseksperter fikk gjennomslag i ettertid. Hacking er som kjent å trekke veksler på andres latskap, og Microsofts sikkerhetsfolk bør stå på mer for ikke å mistenkes å ligge på latsiden.

Til toppen