[tilbakemelding] [Gisle Hannemyrs hjemmeside] [opp] [neste] [forrige]

MICROSOFT ELSKER DEG …,

men det er ditt ansvar dersom du havner i uløkka

av Gisle Hannemyr

Jeg har tidligere reflektert over hva det innebærer å ha (for) kraftige scriptspråk innbakt i ulike anvendelser (Åpen post). Men temaet synes fortsatt aktuelt.

LOVE-LETTER-FOR-YOU.TXT.vbs er et enkelt program skrevet i scriptspråket Visual Basic Script (VBScript). I skrivende stund er den mest sannsynlige opphavsmannen en 23 år gammel filippinsk student – men programteknisk sett kunne koden like gjerne være skrevet av en 12-13-åring.

Dette lille programmet har ifølge NTB, med god hjelp fra Microsofts epost-leser Outlook, spredt seg med rekordfart til millioner av epost-brukere over hele verden. Underveis har det forårsaket driftsstans og skader på data hos anslagsvis 60-80% av de bedriftene som har blitt rammet. Når regningen for dette angrepet til slutt skal gjøres opp beløper den seg ganske sikkert til milliarder av kroner.

Når LOVE-LETTER blir aktivert, sletter programmet filer, endrer registry, laster opp et nytt program fra nettet for å sniffe passord, og sender kopier av seg selv til de første 300 postene i Outlook adressebok med maskinens eier som avsender. Var Microsoft klar over at alt dette er mulig å få til i VBScript? Tydeligvis ikke. Her er hva som står å lese om VBScript og sikkerhet på Microsofts egen web:

VCBScript is designed to be a secure programming environment. It lacks various commands that can be potentially damaging if used in a malicious manner. This added security is critical in enterprise solutions.
http://support.microsoft.com/support/kb/articles/Q167/1/38.ASP

Det vil si: Det sto i alle fall der når jeg skrev dette (15. mai 2000). I lys av de siste dagers begivenheter vil jeg ikke bli overrasket om akkurat denne teksten blir en smule revidert ganske snart.

Ved å utstyre sine operativsystem med kraftige scriptspråk og sørge for at disse er tilgjengelig fra innsiden av sluttbrukeranvendelser som epost-lesere og tekstbehandlere har Microsoft skapt de ideelle omgivelser for spredning av datavirus og destruktiv programvare som LOVE-LETTER. Hva som gjør hva i hvilken omgivelse blir rett og slett uoverskuelig, tydeligvis også for Microsoft selv.

Til tross for dette vil Microsoft ikke vedgå at det finnes feil ved måten selskapet har integrert scriptspråk med operativsystemet sitt. I en debatt 4. mai i NRKs Redaksjon 21 framholdt teknisk sjef i Microsoft Norge at sikkerheten på Microsofts plattformer var like god som for eksempel Linux. Scott Culp, pressetalsmann for Microsoft, sier i et intervju med New York Times den 5. mai: «Dette er et generelt problem, ikke et Microsoft-spesifikt problem. Du kan lage datavirus på alle plattformer.».

Dermed bommer begge på poenget. For selv om det selvsagt er mulig å lage datavirus (og annen destruktiv programvare) på alle plattformer, så gjør slike programmer ikke skade før de startes. Og mens Linux og andre alternative plattformer (så langt) ikke har en slik generell støtte for å kjøre script fra innsiden av alle mulige og umulige sluttbrukeranvendelser, så er det nettopp det Microsoft har valgt å utstyre sine operativsystemer med, i form av en tjeneste som kalles for Windows Scripting Host. Windows Scripting Host er en invitasjon til åpent hus, stilet til verdens digitale vandaler og terrorister.

Microsoft begrunner beslutningen med å inkludere Windows Scripting Host på sine plattformer som følger: «Vi inkluderer scripting-teknologier fordi våre brukere har bedt oss om det, og de tillater utvikling av forretningskritiske produktivitetshjelpemidler som millioner av våre brukere benytter.» (Scott Culp i New York Times 5. mai).

Microsofts Windows Scripting Host er en invitasjon til åpent hus, stilet til verdens digitale vandaler og terrorister.

Jeg blir alltid skeptisk når jeg hører markedsfolk si at «brukerne har bedt om det». Ofte koker «brukerene» da ned til noen forhutlede sjeler i en fokusgruppe som i en presset situasjon har uttalt seg om ting de verken har noe forhold til eller noe grunnlag for å vite noe særlig om. Vet disse «brukerne» hva det de angivelig ber om innebærer for dem sikkerhetsmessig? Hvor mange av oss har genuin nytte av tilgang til scripting når vi leser posten vår? Er det virkelig nødvendig å ha denne funksjonen slått på i standardoppsettet – kunne ikke de få som eventuelt trenger galskapen selv skru den på ved behov?

Når man ser på hva som faktisk er mulig å få til med programmer i VBScript på Microsoft-plattformen går det kaldt ned over ryggen min. Tro meg, selv om det ble gjort skade for noen milliarder slapp vi relativt lett fra det. Tenk deg hva langt mer usynlig VBScript kunne ha utrettet – et som ikke påkalte oppmerksomhet fra systemansvarlige og produsenter av antivirusprogrammer ved å ødelegge filer og sendte ut post i massevis, men stille og diskret leter seg fram til de få vitale datasystemene som er i bruk av for eksempel forsvaret og regjeringen. Resten av våre maskiner kan et slikt program bare bruke som skjulested og depoter, mens det på de virkelig viktige systemene like ubemerket installerer bakdører og små digitale agenter som plukket opp hemmelige dokumenter og etterlater seg logiske bomber som forblir «sovende» i systemet inntil det blir behov for å utløse dem i en krigs- eller krisesituasjon.

Med det vi vet om mangel på sikkerhet i Microsofts systemer i dag er dette langt fra et urealistisk scenario. Og husk at Folkerepublikken Kina har allerede gått bort fra å bruke programvare fra Microsoft i forvaret og statsforvaltningen, angivelig av sikkerhetsgrunner. Microsoft bør ikke deles opp. Av hensyn til vestens militære sikkerhet bør selskapet legges ned.


Creative Commons License

Først publisert i: PC World Norge, nr. 7, 2000
Copyright © 2000 Gisle Hannemyr. Noen rettigheter reservert.
Dette verk gjøres tilgjengelig under en Creative Commons Attribution-NonCommercial-ShareAlike 2.5 License.

[Engelsk innholdsfortegnelse] [Norsk innholdsfortegnelse]
[tilbakemelding] [Gisle Hannemyrs hjemmeside] [opp] [neste] [forrige]