Microsoft kraait beveilingsvictorie

Aanvallers richten hun pijlen steeds minder op Microsoft software. De softwarefabrikant ziet daarin een bevestiging van het succes van zijn beveiligingsbeleid.

"Vanuit ons perspectief, vormt het feit dat [onderzoekers en aanvallers] naar andere zaken [dan Microsoft software] kijken het bewijs dat de security development lifecycle werkt," vertelt Steve Lipner, senior director voor Trustworthy Computing van Microsoft tijdens een presentatie voor journalisten op het hoofdkantoor van de firma in Redmond.

Security Development Lifecycle (SDL) is een onderdeel van Trustworthy Computing (TWC), een initiatief binnen Microsoft om de veiligheid van zijn producten en diensten te vergroten. Dat gebeurt niet alleen door meer aandacht te besteden aan veilige code tijdens het ontwikkelen, maar ook door het ontwikkelen van uitgebreide tests en het optimaliseren van de manier waarop bugs achteraf worden opgelost. Alle software van Microsoft wordt sinds 2004 ontwikkeld volgens de richtlijnen van het initiatief.

Minder bugs dan Ubuntu en OS X

Lipner baseert zijn observatie onder meer op het aantal beveiligingsproblemen dat is geconstateerd en opgelost in het eerste levensjaar van Windows Vista, Windows XP, Red Hat Enterprise Linux 4, UbuntuLTS en MacOS X 10.4. Ook vergeleek hij het aantal beveiligingsproblemen in SQL Server 2000, 2005 en een niet nader omschreven concurrerende database. In beide gevallen komen de Microsoft producten als beste uit de bus.

Het vergelijken van het totaal aantal bugs is controversieel. De vergelijking houdt geen rekening houdt met de afzonderlijke features en breedte van verschillende pakketten. Omdat de Oracle database over aanzienlijk meer mogelijkheden beschikt dan SQL Server, is het logisch dat die meer beveiligingsgaten vertoont. "Ik zou dolgraag een betere manier hebben [om de veiligheid te vergelijken]," geeft Lipner toe. "Maar je moet toch iets. Meetpunten zijn belangrijk."

Microsoft niet onfeilbaar

Microsoft pretendeert niet dat het perfecte, onfeilbare beveiliging heeft bereikt. Maar constateert wel dat het op dit moment meer loont om een ander beveiligingsdoelwit dan Microsoft te kiezen. Sinds vorig jaar is vooral Adobe veelvuldig in het nieuws met berichten over beveiligingsgaten die door criminelen worden misbruikt en over het traag uitbrengen van patches.

Rennen voor de beer

Lars Opstad, Principal security group manager voor Trustworthy Computing, illustreert de situatie als een race tussen twee wandelaars die op de vlucht zijn voor een beer. Daarbij zal de langzaamste wandelaar worden opgegeten. Het is niet zozeer zaak om sneller te rennen dan de beer, maar veel meer om de andere wandelaar voor te blijven.

"We moeten ervoor zorgen onze software beter is. En als we nog altijd voorop lopen binnen de sector, zorgt dat ervoor dat onze producten minder interessant zijn om aan te vallen," vertelt Opstad.

Kennis delen

Microsoft heeft overigens niet de intentie om zijn ervaringen geheim te houden om zo de concurrentievoorsprong te vergroten, benadrukt het concern. Zelfs al zorgt een gat in Flash of een andere applicatie ervoor dat gebruikers slachtoffers worden van phishing aanvallen, dan zullen zij toch nog ook Microsoft boos aankijken.

De firma heeft dan ook diverse tools en handleidingen vrijgegeven die ontwikkelaars gratis helpen om hun software veiliger te maken. De tools zijn inmiddels zo'n 60.000 maal gedownload, en de beleidshandleiding bijna 200.000 maal, stelt de firma tevreden.

Bron: Webwereld.nl

Deel dit artikel
Voeg toe aan favorieten