Scott bringer sikkerhed til Microsoft

Posted on december 15, 2004
Filed Under Artikelarkiv, Dansk it-historie, Prosa-Bladet

For fem år siden ville Scott Charney ikke have fået et ben til jorden i Microsoft, hvis han havde prøvet at introducere sin strategi for at udvikle sikker software. I dag er han – sammen med nye begreber som pålidelighed og sikkerhed – en central parameter for at sælge software.

Den 15. januar 2002 sender Bill Gates en e-mail til samtlige medarbejdere i Microsoft. Koncernen skifter kurs: Nu handler det ikke bare om at udvikle og sælge software hurtigere og bedre end konkurrenterne. Fire måneder efter terrorangrebet på World Trade Center er dagsordenen for Microsoft digital sikkerhed, beskyttelse af personlige oplysninger, pålidelig software og forretningsetik.

14 dage efter har Microsoft ansat en af de tunge drenge i bekæmpelse af digital kriminalitet. Med titel af chief security strategist skal Scott Charney føre softwaregigantens nye strategi ud i livet. I mange år har Microsoft fokuseret på at være hurtigt ude på markedet med det sidste nye med flest muligt spændende funktioner. Så kom sikkerhed, stabilitet og beskyttelse af forbrugernes computere i anden række. For Microsoft indvarsler mailen fra Bill Gates og ansættelsen af Scott Charney et paradigmeskift. Måske ligefrem en revolution.

- Det er en helt ny måde at tænke på, og Microsoft er bestemt ikke den førende virksomhed, når det gælder disse tanker. Hos Microsoft handlede det oprindeligt om, at nogle medarbejdere begyndte at spekulere på, hvordan man gør folk trygge ved at integrere computere i ethvert aspekt af tilværelsen. Det blev anledningen til det enorme kulturskred, som jeg de sidste to-et-halvt år har været vidne til internt i Microsoft. Men der var mange grunde både indenfor og udenfor Microsoft, der skubbede i den retning, forklarer Scott Charney.

Nu er tiden – og Microsoft – moden

Han er uddannet jurist, men har også en bachelorgrad i historie og engelsk – og 14 års erfaring med bekæmpelse af computerkriminalitet. De sidste tre år, før han kom til Microsoft, var Scott Charney ansvarlig for forebyggelse og beskyttelse mod computerkriminalitet hos Pricewaterhousecoopers. Fra 1991 til 1999 var Charney leder af det amerikanske justitsministeriums afdeling for beskyttelse af ophavsret og bekæmpelse af elektronisk kriminalitet, cybercrime. Scott Charney har 14 års erfaring med cybercrime.

- For fem eller syv år siden ville det have været svært at komme igennem med det her budskab i Microsoft. Det var det alle steder. Mens jeg var i Justitsministeriet, og jeg begyndte at tale om sikkerhed, så ville folk ikke tale med mig. Det gad de ikke høre. De fik ikke deres penge for at forholde sig til sikkerhed, men op gennem 90′erne var det en stigende forståelse af -it-sikkerhed, men ikke den store opmærksomhed, forklarer han.

Den gryende forståelse af sikkerhed bliver for alvor knæsat ved terrorangrebet på World Trade Center den 11. september 2001.

- Det var et angreb på kapitalismen. Aktiemarkedet brød sammen, og det tog fem dage, før det fungerede igen. Og det handlede om it-systemer – ikke om tabet af bygninger og menneskeliv. Det handlede om at få skaffet hardware, installeret operativsystemer og programmer, få børsmæglerne og børserne forbundet igen. De angreb it-infrastrukturen og pludselig blev it-sikkerhed det vigtigste, forklarer Scott Charney.

Sikkerhed kan betale sig

Derfor har det ikke været så svært for Scott Charney at trænge igennem med sit budskab hos Microsoft. Strategien hedder Trustworthy computing og handler ikke bare om sikkerhed mod virus, orme, trojanske heste, spam, spyware og hackere. Filosofien er også fokus på stabile og pålidelige programmer, beskyttelse af brugernes og virksomhedernes private oplysninger og god forretningsmoral. Nye toner, der kræver magt.

- Men der var jo også en forretningsmæssig grund til at fokusere på sikkerhed. Det kan betale sig. Men først skal alle lære det: Når du gennem mange år fortæller medarbejderne, at de først og fremmest skal levere varen, så leverer de varen. Hvis du fortæller dem, at sikkerhed er vigtigt, og de nu bliver betalt for at levere en sikker vare, så begynder sikkerhed at spille en ny rolle,« forklarer Microsofts sikkerhedsstrateg.
Et af de helt enkle og konkrete udtryk for den nye strategi, er at samtlige funktioner og porte på Microsofts servere nu som udgangspunkt er lukkede og skal åbnes op af administratoren i takt med, at der bliver brug for dem.

- Det er en stor forskel i forhold til gamle dage, hvor folk bare ville have funktionalitet. I dag vil de have sikker funktionalitet. Nu, hvor vi har ændret default til at være lukket, er reaktionen ofte, at nu gør vi det rigtige, og det burde vi have gjort for 20 år siden, siger Scott Charney.

Men lakmusprøven på den sikkerhedsstrategi er naturligvis, om det kunne lykkedes Scott Charney og et team af sikkerhedsfolk at overbevise Microsofts medarbejdere om, at det er nødvendigt at teste nye programmer grundigt af, inden de bliver sendt på
gaden.

Sikkerhed er kommet til magten

- Første og anden gang, vi lavede sikkerhedstjek af nye programmer, blev folk forundrede. De kunne ikke forstå, hvorfor varen ikke skulle ud til kunderne i en fart. Den var jo klar. Men så gik det op for dem, at vi faktisk havde magt til at stoppe dem. Og nu er sikkerhedstjek en integreret del af processen, siger Scott Charney.

Da Windows Server 2003 skulle frigives, havde Microsoft 18.500 udviklere på kursus i sikkerhed. Kulturskiftet i Microsoft kræver nye færdigheder.
- De fleste programmører er jo ikke uddannet til at programmere sikkert, ligesom vi udviklede trusselsmodeller, hvor du skulle undersøge, hvordan andre kunne angribe din komponent eller funktion, fortæller Charney.

Og det gav pote. Der blev opdaget 14 sårbarheder i Windows Server 2003 i løbet af det første år på markedet. I modsætning til forgængeren, Windows Server 2000, der havde 42 sårbarheder i løbet af det første år. Men Scott Charney erkender, at det ikke altid er muligt at holde et nyt produkt tilbage for at tjekke sikkerheden.

Microsoft bestemmer ikke altid selv

- Når ny software er bundet til hardwaren, så er det ikke os, der bestemmer. For eksempel med Windows Smartphone, der er det jo telefonselskabet, der kræver at få den nye model ud til julehandlen. Hvis vi stopper den nye version af softwaren, så sender de bare telefonerne ud med den gamle software, der aldrig har været igennem sikkerhedsproceduren. Så naturligvis sender vi den nye software ud sammen med telefonerne, forklarer han.

Det samme kan være tilfældet, hvis sårbarhederne viser sig at være i en fælles protokol eller standard.

- Jo længere vi venter, jo længere bruger folk jo bare den gamle protokol. Man er nødt til at afveje det fra sag til sag og finde den rigtige balance, siger Scott Charney.

Men det der med at tjekke softwaren en sidste gang, når den er færdigudviklet, det er ikke nok.

- Sikkerhed bør være et element igennem hele livscyklussen for et produkt. Så vi etablerede det program, vi har kaldt software development lifecycle, som er så konkret, at alle i organisationen kan handle ud fra det. Det gælder sikkerhed i design, sikkerhed som default, sikker udrulning og sikker kommunikation, fortæller Charney.

Respekt og dialog

Derfor har sikkerhedsstrategen fået placeret sine sikkerhedsfolk i alle processer i Microsoft, så sikkerhed bliver et naturligt aspekt i arbejdet med at udvikle ny software. Han understreger, at sikker kommunikation ikke handler om teknisk kommunikation på internet. Det handler om, at Microsoft har præcis og fyldestgørende information om sårbarheder, sikkerhedsbrister, patches og andre fejl og mangler. Microsofts image skal væk fra rygtet om giganten, der ikke reagerer – eller reagerer for langsomt – på sårbarheder i produkterne. Der er fire ben i strategien bag Trustworthy computing: security, privacy, reliability og Business Integrity. Og sidstnævnte handler om at være ansvarlig, have respekt for kunder og samarbejdspartnere og give respons på henvendelser.

Hackerne skal tage ansvar

Og det er nødvendigt, hvis Microsoft skal dæmme op for det fænomen, at hackere – både godartede og ondartede – offentliggør sårbarheder i Windows, Microsoft Office, Internet Explorer eller andre Microsoftprodukter på internettet, hvor andre – kriminelle – kan finde dem og udnytte sårbarhederne. I samarbejde med OIS, Organiation for Internet Safety arbejder Microsoft på i stedet at få hackerne til at rapportere sårbarhederne direkte til Microsoft, der så vil få have tid til at efterprøve sårbarheden, finde fejlen samt udvikle og distribuere en rettelse til programmet.

- Vi har ændret praksis. Vi vil prøve at skabe et samarbejde med dem, der finder sårbarhederne, så de kommunikerer med os i stedet for at lægge sårbarhederne ud på internettet. Mange af dem er konsulenter og de markedsfører deres tjenester ved at gøre opmærksom på, hvor dygtige de er til at finde sårbarheder. Så i stedet krediterer vi dem for deres arbejde i artikler og nyhedsbreve, fortæller Scott Charney.

Han understreger, at retningslinierne fra OIS forpligter både hackere og Microsoft til at stille sig til rådighed for hinanden og arbejde sammen om at lukke hullet.

- Og det ser ud til at fungere sådan nogenlunde, selv om der altid vil være nogle, der ikke vil gøre det, erkender Scott Charney.

Og huller – eller sårbarheder – vil der altid være i software, der bliver mere og mere kompleks. Derfor vil det fortsat være nødvendigt med rettelser. Eller patches, som det hedder.

- Truslerne har ændret sig væsentligt, og efter krav fra omverdenen, har vi har også forkortet tiden dramatisk fra de 331 dage, det tog med Nimda til to dage, som da Witty Worm ramte IIS. Vi kan ikke tillade os at trække tiden ud, erkender Scott Charney.

Skyd først – spørg bagefter

Samtidig arbejder Microsoft på at strømline udrulning af opdateringer og patches ved at samle Microsofts forskellige automatiske opdateringssystemer i nogle færre, der til gengæld kan holde alle Microsoftsystemer på maskinen ajour.

- I stedet for Windows Update, Office Update og Download Center, så skal Microsoft Update automatisk sørge for, at sikkerheden er i orden, og brugeren bare kan tænde den og glemme resten, forklarer Scott Charney.
Han kan ikke lægge skjul på sin stolthed over, at nye patches nu kan fjernes igen. På den måde risikerer Microsoft ikke at
blokere velfungerende systemer med en hurtig fejlrettelse. Skyd først, spørg bagefter.

- I dag kan kunden selv fjerne patchen igen, og så kan arbejdet fortsætte, mens der ledes efter, hvad der er årsag til konflikt mellem patch og applikation, forklarer sikkerhedsstrategen.

Men nye patches er forbeholdt virksomheder og forbrugere med lovlige kopier af software fra Microsoft. Selv om tusinder af piratkopier derfor ikke får rettet sårbarheder og i praksis kan bruges som base for skadelige vira, orme eller trojansk heste, så er der ingen vaklen i sindet hos juristen. Folk må betale for deres produkter, hvis de også vil have del i sikkerheden.

- Det må være sådan, at hvis man bruger forfalskede programmer, så kan man ikke vide, om de er sikre. Hvis vi frigav patches til piratprogrammerne, så opfordrer vi til pirateri og du fjerner begrundelsen for at betale for lovlig software, understreger Scott Charney.

Social ulighed skaber zombier på nettet

Men han erkender, at den politik kan give tusinder af „zombie-computere” på internettet, der forringer sikkerheden for alle.

- Men i det lange løb, så tror jeg, at de ændringer i sikkerheden vi er ved at bygge ind i Microsofts produkter, gør internettet til et sikrere sted. Blandt andet fordi piraterne løber ind i nye problemer.

Men problemet er ikke bare simpelt pirateri. Det er også et socialt problem for den gruppe, der simpelthen ikke har råd til at købe lovlig software.

- Det er komplekst. Men der er andre måder, vi kan beskytte folk. For eksempel ved at isolere usikre computere og sætte dem i karantæne på nettet. Men det er vigtigt ikke at bringe folk i en situation, hvor de er nødt til at begå tyveri for at deltage i samfundslivet. Det prøver vi at imødegå ved at uddele gratis software til skoler, klubber og foreninger. For eksempel i den begrænsede Windows Starter udgave, forklarer Scott Charney.

Han forudser, at netop teknologien med automatisk at undersøge, om nye computere på netværket er up-to-date og i orden, bliver næste punkt på dagsordenen.

Inspektion og karantæne bliver hot

- Med de nye muligheder i computere, er det ekstremt vigtigt med inspektion og karantæne. Da Blaster-ormen hærgede, gik Microsoft nærmest fri, fordi vores it-afdeling havde udviklet et script, der scannede alle nye computere, der kobler på Microsofts net. Scriptet tjekkede, at antivirus-programmerne var up-to-date, at sikkerhedsindstillingerne var korrekte og alle nye patches var installeret. Hvis ikke, så blev de ikke lukket ind på nettet. I dag har vi bygget det ind i vores VPN-produkter (Virtual Private Tunnel, red.), men det skal bredes meget mere ud, siger Charney.

Han peger også på, at Microsoft forsker i behavior blocking – altså et system, der kan genkende orme og virus på, hvordan de virker i computeren. Ikke som i dag, hvor antivirusprogrammer genkender dem på, hvordan de ser ud.

Scott Charney lægger ikke skjul på at den øgede fokus på sikkerhed er en langsigtet strategi, der ligger både 10 og 20 år ud i fremtiden. Blandt andet arbejder han målrettet på at omstille uddannelsen af programmører til at inddrage sikkerhedselementet endnu mere, end man gør i dag.
- Dem der kommer ud fra uddannelserne med en spritny datalogi- eller ingeniøruddannelse ved forbavsende lidt om sikkerhed. Måske har de lært lidt om kryptering, men de ved i praksis ikke noget om at designe programmerne, så de bliver sikre, vurderer Scott Charney, der blandt andet overvejer at sponsere unges uddannelse i it-sikkerhed, mod de til gengæld forpligter sig til at arbejde for Microsoft i nogle år.

Det bliver værre og værre

- Det er en model, den amerikanske hær har brugt med held. Hvis man så ikke ønsker at arbejde for os alligevel, er det også ok, men så skal de til gengæld betale den friplads, vi har betalt, tilbage. Det vigtige er, at it-folk i fremtiden overvejer trusselsmodeller og tjekker programkoden, når de programmerer. Det kræver uddannelse og certificering.

På trods af de nye initiativer og den nye bevidsthed om sikkerhed i cyberspace, så forudser Scott Charney, at problemerne bliver endnu større i fremtiden.

- Tænk bare på Slammer og Blaster, der var meget udbredte, men ikke specielt skadelige. Vira i dag formaterer jo bare c-drevet. Det kan blive meget mere avanceret, hvor en virus langsomt krypterer dine data uden, du opdager det, så størstedelen af din backup også er krypteret, når du opdager det, forklarer Microsofts sikkerhedschef.

Han peger på, at det er svært at identificere og fjerne spyware, fordi en computer i princippet er bygget til at eksekvere alle programmer.
- Man kan tjekke, om programmet er signeret. Man er nødt til at have et certifikat på alle programmer, og man er nødt til konstant at tjekke systemet. Det kan gøres, men det er ikke simpelt. Tænk bare på, at alle virksomheder i dag i praksis er software virksomheder, selv om mange ikke opfatter sig som software virksomheder. Men vi er alle afhængige af it-sikkerhed, og nogle af problemerne i fremtiden er virkelig svære, siger Scott Charney.

Læs mere om Trustworthy Computing på www.microsoft.com/mscorp/twc/default.mspx.

Comments