De intervjuer som gjordes i media
samma dag som blev känt att källkoden till Windows 2000 & NT på
drift hade ett entydigt budskap, antalet sårbarheter i Windows
kommer att öka ytterliggare.
Den 16 februari bekräftade Microsoft att delar av källkoden till
Windows 2000 och Windows NT otillåtet publicerats på Internet.
Microsoft, i nära samarbete med FBI, arbetar i skrivande stund med
att spåra läckan. Microsoft förnekar att källkoden har läckt ut
från någon av dem som har tillgång till källkoden via program såsom
Microsoft Goverment Security Program (GSP).
Samma dag som Microsoft bekräftade det inträffade fick Microsoft
information om en sårbarhet som upptäckts tack vare den otillåtna
publiceringen av källkoden. Enligt Microsoft var detta en redan
känd sårbarhet som de redan hade en lösning till.
Det finns två skolor. Den stängda skolan som hävdar att om man
hemlighåller all källkod och de teknologier som används så får man
den säkraste lösningen. Den andra skolan hävdar motsatsen, att man
skall publicera sin lösning öppet för att ge möjlighet för
utomstående parter att granska och kritisera lösningen. Vilken
skola väljer de som utvärderar och implementerar kryptering? De
väljer utan tvivel den öppna skolan.
Det finns fler undantag från den öppna skolan. Microsoft får väl
anses gå i främsta ledet för den skolan. När de skulle implementera
VPN så valde man att bygga en egen lösning, PPTP (Point-to-Point
Tunneling Protocol), istället för att använda en öppen lösning
såsom IPsec. I sin lösning byggde de in ett eget protokoll för
identifiering, en egen funktion för checksummekontroll och en egen
algoritm för nyckelgenerering. Förvånande i sammanhanget är att de
valde en erkänd krypteringsalgoritm. Resultatet blev att alla
egenutvecklade mekanismer som hade till uppgift att säkerställa
lösningen gav lösningen motsatt effekt. Detta är till stor del
historia idag. Historien visar också att de som har behov av säkra
IP-tunnlar över osäkra nät såsom Internet väljer IPsec framför
PPTP.
Användandet av sluten kod, hemsnickrade funktioner och
egenutvecklade mekanismer ställer stora mycket krav på den interna
granskningen. Världens största mjukvaruföretag visar med all
önskvärd tydlighet att den interna granskningen aldrig kan ersätta
den granskning som kan ske av var och en.
Vi vet att Microsofts kod historiskt sätt varit välfylld av
säkerhetsbrister. Fler är att vänta, frågan är bara i vilken takt
de upptäcks. När nu källkoden finns tillgänglig så lär det rimligen
upptäckas fler brister per tidsenhet än tidigare. Samtidigt ges
källkoden den granskning som öppen källkod utsätts för, som på sikt
gynnar användarledet och i slutändan ger oss ett mer tillförlitligt
operativsystem.
© 2004 Thomas Nilsson, Certezza AB
