Het idee dat Microsoft onveilige producten maakt is vooral gebaseerd op oude Windows code, zo liet de softwaregigant onlangs tijdens een bijeenkomst voor journalisten in Redmond weten. De afgelopen jaren is er door de komst van de Security Development Lifecycle (SDL) veel veranderd, aldus Steve Lipner, topman bij Microsoft's Trustworthy Computing Group. De perceptie van veel mensen is echter niet veranderd, mede omdat veel gebruikers nog met oude producten werken. En niet alleen het beeld van buitenstaanders, ook bij de ontwikkeling van nieuwe producten blijft oude legacy code een blok aan het been.

Acht jaar geleden verstuurde Bill Gates een interne memo die Microsoft tot meer beveiliging aanspoorde. Iets wat Lipner zich nog goed kan herinneren, aangezien hij al geruime tijd voor de ontwikkeling van veilige software verantwoordelijk is. Lipner houdt zich sinds eind jaren 1970 met security bezig. "In die dagen werd computerbeveiliging voornamelijk als een theoretisch concept behandeld. We hadden niet de aanvallen, de ervaring, de lekken die werden gevonden en wisten niet wat voor vorm het probleem zou krijgen als het zich zou manifesteren." De komst van het ARPA-net en het openstellen voor commerciële applicaties maakten van security geen theoretisch verhaal meer, maar een praktische noodzaak voor zowel gebruikers als bedrijven. "Het internet was een sleutelfactor en de PC de ander", aldus de topman.

UPnP-lek
Veel van de machines werden beheerd door mensen die geen IT-professional waren, terwijl die computers direct met een netwerk waren verbonden waardoor ze van overal konden worden aangevallen. "Dat was de situatie eind jaren 1990", zo schetst Lipner. Toen begonnen individuen ook met het onderzoeken van beveiligingslekken, om die aan de leverancier te melden of die juist in verlegenheid te brengen door kwetsbaarheden meteen openbaar te maken, merkt de topman op. Het Security Respons Center dat hij in 1999 leidde, was het antwoord op die trend. "Mensen rapporteerden een beveiligingslek, we verhielpen het en gaven een advisory uit waarin de ontdekker werd bedankt. Klanten konden vervolgens de update installeren of niet." Die situatie ging tot 2001 door, tot de Code Red en Nimda wormen verschenen, maar ook het UPnP-lek in Windows XP liet de softwaregigant schrikken.

Met Windows XP dacht de softwaregigant dat het aardig werk had geleverd, maar drie maanden na de release werd er een zeer ernstig UPnP-lek gemeld. "Het was behoorlijk erg en er was een scenario voor misbruik dat veel aandacht in de pers kreeg en zelfs de Amerikaanse overheid bemoeide zich ermee", weet Lipner zich nog te herinneren. Volgens hem werd eind 2001 duidelijk dat Microsoft niet op de ingeslagen weg kon doorgaan. Dat leidde uiteindelijk tot het Trustworthy Computing Initiative en een 'security push'. Verschillende topmensen binnen de organisatie keken wat Microsoft op korte termijn aan de veiligheid van Windows kon doen.

Experts
"We kwamen met het idee om de ontwikkeling van Windows te stoppen en de hele Windows organisatie tijdens deze periode alleen maar aan security te laten werken." In februari 2002 werd de hele Windows divisie gesloten. "Een behoorlijk radicaal idee destijds", aldus Lipner. Volgens hem was het proces dat Microsoft toen hanteerde ad hoc en onvolwassen. In de zomer van dat jaar was het project afgerond. Eén van de dingen die Microsoft tijdens de security push leerde was dat je van mensen geen beveiligingsexperts kunt maken. "Dat betekent niet dat je ze niet moet trainen. Maar een engineer die een filesystem ontwikkelt is een filesystem expert. Je wilt hem niet in een security expert omtoveren. Het werkt niet en daarnaast moet hij die extra tijd aan het filesystem besteden", merkt Lipner op.

"Perfectie is onhaalbaar, dat weten we. Je verhelpt gerapporteerde lekken, maar je doet ook een oorzaak-gevolg-analyse van het lek, zodat je het proces kunt aanpassen om dit soort lekken in de toekomst te voorkomen. Die aanpassingen veranderen het proces. Als een nieuw soort lek voor problemen zorgt, dan moet je er iets in de SDL aan doen." Bij het opstellen van nieuwe SDL vereisten wordt ook gekeken hoeveel meldingen van het Microsoft Security Response Center dit had opgelost.

Windows XP
Ondanks het belang van de SDL zijn er nog voldoende Microsoft producten in omloop die zonder zijn ontwikkeld, zoals Windows XP en IE6. Lipner merkt op dat men voor Service Pack 2 wel de SDL heeft gebruikt en geprobeerd om 'security by default' te bewerkstelligen. Toch beschouwt Microsoft Windows XP als een pre-SDL product. "We adviseren XP-gebruikers dan ook om tenminste automatische updates in te stellen en IE8 te gebruiken."

Veel van de gevonden lekken in Windows XP zijn het gevolg van deze pre-SDL ontwikkeling. "Absoluut", merkt Lipner op. Er zit dan ook een groot verschil in de lekken die in XP en in Windows 7 worden gevonden. "Wat betreft de lekken in Windows 7, er is zeker nog code achtergebleven van de pre-SDL versies in nieuwe producten, maar de dingen die we met de nieuwe versies doen zijn omvangrijker dan met XP."

Legacy code blijft daardoor Microsoft plagen. "Ik zal niet zeggen dat we alle bugs uit de legacy code hebben weten te halen, maar we hebben veel met windows 7 gedaan om de lekken van legacy code te elimineren en wat is achtergebleven te verzachten." Als voorbeeld geeft hij een project waarbij een stuk oude software in Vista en Windows 7 werd aangepast. "De legacy code is er nog steeds, maar is aangepast om het veiliger te maken."

Ondanks alle verbeteringen door de SDL zijn er nog voldoende bedrijven en gebruikers met Windows XP en Microsoft zal de ondersteuning tot 2014 niet veranderen. Met name bedrijven investeren en kunnen mogelijk niet upgraden. "Dat is een afweging waar ze mee te maken hebben. We weten dat er nog steeds bedrijven zijn die kritieke applicaties op NT4 draaien, althans dat was twee jaar geleden zo", zegt Lipner. "We adviseren ze om te upgraden, maar we kunnen ze niet dwingen." In het geval van NT stopte Microsoft de ondersteuning, toch was dat niet voor iedereen een reden om over te stappen. "Bedrijven weten de risico's van lekke versies, ze hebben er echt in geïnvesteerd en blijven het gebruiken."

De SDL ten spijt za het de opgelopen imagoschade niet zo maar herstellen. "Die perceptie zal ons nog jaren (onterecht) parten spelen", zegt Ruud de Jonge, directeur Developer & Platform Enthousiasm. Hij merkt op dat de hoeveelheid legacy code door nieuwe producten en security scans snel afneemt. "Ik denk dat we veel beter zijn dan de perceptie en ik denk dat een groot aantal van onze concurrenten het omgekeerde probleem heeft,en dat zullen we vanzelf zien."

Hieronder een aanvullend interview met Steve Lipner, een deel van de vragen is afkomstig van Tom Sanders, hoofdredacteur van Webwereld.nl.