SEKS SPØRSMÅL OM SIKKERHET

Microsofts løsninger må bli sikrere - ut av boksen.

Nylig forårsaket et diskkrasj at jeg re-installerte Microsofts oppfølger til NT 4.0 - Windows 2000 - på hjemme-PCen. Samtidig benyttet jeg sjansen til å kjøre en sikkerhetssjekk på konfigura­sjonen, slik den ble seende ut «rett ut av boksen». Dette gjorde jeg med et utmerket, lite program som heter Baseline Security Analyzer (BSA, kan lastes ned fra Microsofts nettsted). Og det denne sikkerhetsrådgiveren kunne fortelle, var at mitt system var en «Severe Risk». Tjueni essensielle sikkerhetsoppdateringer manglet, og at flere av de sentrale konfigurasjonsparametrene fra satt til et for lavt sikkerhetsnivå.

For det første vil jeg gi Microsoft ros for at de har laget et slikt program som BSA. Det vil er helt klart at det blir lettere å holde oversikten over (manglende) sikkerhetsoppdateringer med et slikt program på plass.

Men samtidig bekrefter BSA at Windows er langt fra sikker «ut av boksen». Hvor mange Windows-brukere har sørget for å endre konfigurasjonsparametere fra standardsettingene til sikrere innstillinger, og hvor mange har løpende sørget for å få på plass de mange hotfixes for alvorlige sikkerhetshull som Microsoft har gjort tilgjengelig? Ikke mange - er jeg redd. Så jeg benytter anledningen til å oppfordre spaltens lesere til å laste ned BSA fra Microsofts nettsted, og deretter følge de råd analyseprogrammet gir for selv å komme à jour sikkerhetsmessig.

Men 29 sikkerhetsoppdateringer for et knapt to år gammelt operativsystem viser også at noe er galt i Microsoft-land. For et system beregnet på vanlige sluttbrukere skal det ikke være nødvendig å skru på en masse parametere, eller å installere en endeløs rekke av «hotfixes», for at systemet skal bli sikkert. Systemet bør være sikkert «ut av boksen». Her er det vi som forbrukere kommer inn. Vi må lære oss å stille krav til teknologi­leverandørene våre. Vi må si fra at vi godtar ikke systemer som ikke holder mål sikkerhetsmessig.

Nedenfor følger seks spørsmål om sikkerhet som jeg mener at enhver seriøs leverandør av datasystemer bør kunne gi tilfredsstillende svar på:

Spørsmål 1: Er standardkonfigurasjonen sikker?

Når man installerer et datasystem så velger de aller fleste den såkalte standardkonfig­urasjonen - altså de innstillingene som leverandøren har valgt. De fleste endrer aldri på disse. Da er det viktig at standardinnstillingene er sikre. Microsoft Outlook har i dag en standardinnstilling som gir andre programmer adgang til adresseboken - og dette utnyttes til fulle av virus som Nimda og Sircam til å spre seg selv videre. 99% av Windows-brukerne har ikke bruk for denne egenskapen ved Outlook, og hadde vært like fornøyd om denne muligheten i utgangspunktet var slått av. Den siste prosenten, de som trenger en slik funksjon, burde kunne lære seg å slå den på.

Spørsmål 2: Er data skilt fra programmer?

Skillet mellom data og program er en av de enkleste måte å sørge for sikkerhet på. I Microsofts systemer er imidlertid dette rotet sammen. I Office er ikke et dokument bare data. Et dokument kan inneholde makroer og blir da plutselig et program. Man kunne oppnådd nøyaktig det samme som man i dag får til med makroer dersom programkoden i makroene ikke var filtret sammen med dataene i selve dokumentet, men «bodde» på utsiden av dokumentet, i eksterne programfiler som fikk adgang til dataene i dokumentet gjennom et velregulert grensesnitt. Da risikerte man ikke at makrovirus uforvarende fulgte med på lasset når man utvekslet dokumenter i form av epost-vedlegg.

Spørsmål 3: Er protokoller skilt fra produkter?

Microsofts produkter består typisk av en tett sammenfilteret vev av protokoller som det er svært vanskelig å få en fullstendig oversikt over. Installerer man for eksempel et produkt for printerdeling under Windows så får man plutselig, i tillegg til printerdeling, fildeling, registry-deling, mulighet for fjernredigering og en rekke andre større eller mindre tjenester med «på kjøpet». Ikke bare er det både uventet og vanskelig å overskue, men det åpner opp sikkerhetshull som de færreste har fantasi til å forestille seg. Hvor mange kabelmodembrukere er klar over at når de slår på printerdeling så gir de samtidig naboen adgang til harddisken sin?

Microsoft må dele opp løsningene sine slik at hver protokoll og tjeneste kan slås av eller på uavhengig av de andre.

Spørsmål 4: Er arkitekturen robust?

Nesten all programvare har feil. Det store spørsmålet er hvor store konsekvenser for sikkerheten slike feil har. Den monolittiske arkitekturen Microsoft har valgt øker sjansen for at selv banale feil får dramatiske konsekvenser. Hele ActiveX og .Net er forfeilet i så måte. Microsoft bør snarest adoptere sandboks-prinsippet fra Java som basis for distribuerte anvendelser.

Spørsmål 5: Er arkitekturen transparent?

Selv erfarne brukere har store problemer med å forstå hva alle komponenter i Windows gjør, og hvorfor de er der. Introduksjonen av registry for kritiske systemparametere var i så måte et kjempesprang i feil retning. Manglende transparens øker faren for at «sovende» virus og trojanere kan installeres som en del av operativsystemet uten at det oppdages, men åpenbare sikkerhetspro­blemer som resultat. Microsoft må levere langt bedre verktøy for å gjøre synlig systemet og konfigurasjonen for brukeren. Egen programvare som logger og synliggjør alle systemendringer og systemhistorikk på en forståelig måte er essensielt. Dersom ikke registry droppes, så må det endres radikalt.

Spørsmål 6: Er protokoller og formater tilgjengelig for offentlig gransking?

Svært mye av sikkerheten i Windows hviler på obskuritet. Likevel, viser erfaringen oss, klarer datasnoker å finne fram til svakhetene i de skjulte formatene og utnytte dem. Ingen annen ingeniørdisiplin lar sentrale og sikkerhetskritiske komponenter være hemmelige og utilgjengelig for gransking av uavhengige eksperter. Microsoft må gjøre sine formater, grensesnitt og sikkerhetskritiske systemkomponenter tilgjengelig for kritisk, offentlig sikkerhetsanalyse.

Så: Still disse spørsmålene til leveran­døren neste gang du skal kjøpe datasystem. Dersom tilstrekkelig mange kunder gjør dette vil kanskje selgersiden forstå at dette faktisk handler om noe som kundene er opptatt av, og etterspør. Og forhåpentligvis vil kundefokus på spørsmål vedrørende sikkerhet føre til at når neste generasjon Windows kommer på markedet, så kan flere av disse spørsmålene besvares med «ja».

---

---