26 december 2006
Ondanks alle inspanningen dreigt Microsoft op dit moment geconfronteerd te worden met een vertrouwenscrisis in de kwaliteit van het Vista-besturingssysteem, dat afgelopen maand aan bedrijfsklanten werd gepresenteerd en uitgeleverd. Beveiliginswetenschappers en hackers beginnen steeds meer potentiële beveiligingsproblemen te ontdekken in het systeem. Op zich is dat natuurlijk ook niet verwonderlijk: als meest gebruikte besturingssysteem is Windows al jarenlang kernpunt van massaal onderzoek en bijna 95 % van alle hackingprojecten. Met die wetenschap heeft Microsoft voortdurend gesteld dat Vista het best beveiligde systeem is dat verkrijgbaar is onder de besturingssystemen. Steeds meer blijkt echter dat die marketinginspanning een tweesnijdend zwaard is. Microsoft's imago lijkt onmiskenbaar gekoppeld aan de beveiliging van Vista. De afgelopen weken lijkt echter dat het besturingssysteem toch een aantal uiterst kritieke problemen kent. Microsoft heeft miljoenen besteed aan marketing om Vista als meest veilige besturingssysteem ooit neer te zetten en het hoopt met het systeem de voortdurende vloed aan aanvallen op Windows-computers in te dammen.
Op 15 december publiceerde een Russische programmeur een beschrijving van een beveiligingslek, dat het mogelijk maakt om een persoon meer privileges en autorisaties te geven op alle Windows-besturingssystemen die zijn organisatie draait, waaronder Vista. Het weekeinde daarna liet een beveiligingsfirma uit Silicon Valley weten dat het Microsoft op de hoogte gesteld had van dat lek, alsmede van vijf andere kwetsbaarheden, waaronder een zeer ernstige fout in de programmeercode van de nieuwe Internet Explorer 7. Vooral dit browser-lek is zorgwekkend, omdat het betekent dat Web-gebruikers in potentie geïnfecteerd kunnen worden met kwaadwillende software alleen al door het bezoeken van een 'booby-trapped site'. Dat zou het voor een aanvaller mogelijk maken om malware te plaatsen op een computer met Vista als besturingssysteem, tenminste volgens het beveiligingsbedrijf Determina, een bedrijf gespecialiseerd in de beveiliging van besturingssystemen. Het bedrijf behoort tot de paar bedrijven die routinematig alle technische details van applicaties en besturingssystemen testen en bestuderen op zoek naar kwetsbaarheden. Als ze die ontdekken wordt de softwareontwikkelaar op de hoogte gesteld die vervolgens reparaties uitvoert en die als patches distribueert. Microsoft heeft in haar recente besturingssystemen technologie opgenomen die het haar mogelijk maakt om automatisch via het Internet patches te installeren. Ondanks Microsoft's beweringen over de verbeterde betrouwbaarheid van Vista bestaat er op dit moment vooral een afwachtende houding. Het vorige besturingssysteem Windows XP had twee 'service packs' nodig, verspreid over meerdere jaren, om de beveiliging ervan aanzienlijk te verbeteren, en nog steeds worden voortdurend kwetsbaarheden ontdekt door onderzoekers. 22 december liet een lid van Microsoft's beveiligingsteam in een blog weten dat het bedrijf de kwetsbaarheid die op de Russische site was gemeld nauwkeurig in de gaten hield. 'Currently we have not observed any public exploitation or attack activity regarding this issue', zo schreef Mike Reavey, manager van het Microsoft Security Response Center. 'While I know this is a vulnerability that impacts Windows Vista, I still have every confidence that Windows Vista is our most secure platform to date'. Secunia, een ander beveiligingsbedrijf, gaf de kwetsbaarheid een wat lagere prioriteit in haar advies van afgelopen vrijdag. Zaterdag 23 december gaf Nicole Miller, woordvoerder voor Microsoft, aan dat het bedrijf ook het gerapporteerde browser-lek onderzocht en dat het bedrijf geen aanvallen kende die het lek gebruikten. Vista is kritiek voor Microsoft's reputatie. Vista is uiteraard een veilig systeem, maar nu het wordt bloot gesteld aan het Internet blijkt pas wat die beveiliging waard is. En dat blijkt niet in alle opzichten mee te vallen. 'I don't think people should become complacent', zegt Nand Mulchandani, vice president bij Determina. 'When vendors say a program has been completely rewritten, it doesn't mean that it's more secure from the get-go. My expectation is we will see a whole rash of Vista bugs show up in six months or a year'. En verder: 'by itself, the browser flaw that was reported to Microsoft could permit damage like the theft of password information and the attack of other computers'. Een van de belangrijke beveiligingsmaatregelen van Explorer 7 is een ' software sandbox that is intended to limit damage even if a malicious program is able to subvert the operation of the browser. That should limit the ability of any attacker to reach other parts of the Vista operating system, or to overwrite files. However, when coupled with the ability of the first flaw that permits the change in account privileges, it might then be possible to circumvent the sandbox controls', zo zegt Alexander Sotirov, onderzoeker bij Determina. 'In that case it would make it possible to alter files and potentially permanently infect a target computer'. Een andere kwetsbaarheid die Determina aan Microsoft heeft bekendgemaakt betreft 'a bug that would make it possible for an attacker to repeatedly disable a Microsoft Exchange mail server simply by sending the program an infected e-mail message'. Afgelopen week de Chief Technology Officer van Trend Micro, een beveiligingsbedrijf in Tokyo, vertelde dat hij 'discovered an offer of an underground computer discussion forum to sell information about a security flaw in Windows Vista for $50.000'. Het bedrijf voelde zich daarna wel genoodzaakt te melden dat het bedrijf de informatie niet had gekocht en dus niet kon instaan voor de authenticiteit van het bericht. Duidelijk is in ieder geval dat Vista de komende tijd het onderwerp zal zijn van uitgebreid onderzoek en veelvuldige aanvallen. Even afwachten kan dan ook geen kwaad….