Gjør brukerne ansvarlig for sikkerhetsproblematikk

Et par av kommentarene til Bill Gates vekker stor oppmerksomhet på nettet og blir ivrig diskutert både på forum og maillinglister. Noen av påstandene var som følger:

  • Dårlig sikkerhet er brukerens feil.
  • Perfekt kildekode kan ikke forhindre sikkerhetsproblemer.
  • Microsoft har alltid hatt "patchene" ute før hullene ble utnyttet.
  • Alle former for Unix og Linux har flere sikkerhetshull enn Windows.

Uttalsene blir kommentert fra flere hold, men de ivrigste holder kanskje til på SecurityFocus sin maillingliste der det bl.a. blir skrevet følgende:

"Ask the phone companies why they install Unix and Linux boxes in the central offices? They are required by law to have 5 nines of up time and they are quite open about not using Windows because of stability issues", sitat Jimi Thompson.

"Microsoft brings this trouble on itself by repeating the same old mistakes, again and again. No matter how many times their customers get burned by over-powered macro languages built into nearly all their common tools, MS keeps building them in", sitat L. Adrian Griffis.

Mye av feilen for dårlig sikkerhet kan nok legges på uopplyste brukere, men skylden kan selvsagt ikke legges ene og alene på disse. Tiltak som brannmur, anti-virus software, rettighetsbehandling og passordpolitikk er ikke en selvfølge for mange brukere. Når man videre har et kraftig operativsystem i bunnet, spekket med funksjonalitet og moduler, burde det også være leverandørens ansvar å opplyse brukeren hvilke konsekvenser "uvettig" bruk kan medføre. Problemet ligger neppe i at det finnes et par systemer som ikke har installert én eneste sikkerhetsoppdatering, men at det finnes millioner av brukere som kjører en plattform som man relativt lett kan utnytte til ondsinnet aktivitet. Dersom man tar en rekke hacker-konkurranser i nærmere øyesyn, både offisielle og uoffisielle, er det som regel alltid MS-Windows som først blir knekt - til tross for at disse har blitt konfigurert av eksperter innenfor sitt felt. I stort sett alle tilfeller får man flere poeng for å knekke et Unix-basert system enn Windows.

Perfekt kildekode kan ikke alene forsvare brukerne mot innbrudd og tap av data, men er en særdeles viktig siste skanse dersom brannmur eller anti-virus applikasjon ikke finnes på systemet. Dersom det ikke er mulig å utnytte "buffer overflows", dårlige parsere og manglende administratorpassord, vil dette selvsagt gjøre jobben vanskeligere for inntrengeren. Det er selvsagt viktig å være funksjonsorientert når man skal selge et produkt til massene, men dersom man lar dette gå på bekostning av sikkerhet, vil man på sikt før eller siden være nødt til å møte konsekvensene. For Microsofts del betyr dette i dag et særdeles dårlig rykte når det gjelder Windows-sikkerhet. Gode eksempler er ormene Code Red og Nimda, som utnyttet gamle sikkerhetshull i Windows (IIS). Selv om "patchene" allerede hadde blitt lagt ut for lenge siden hos Microsoft, hindret ikke dette at ormene holdt seg høyt oppe på virusstatistikken i flere måneder.

Store deler av problemet er nok sløve brukere som ikke tar sikkerhet på alvor. En mulig metode å forebygge dette kan være å innføre flere restriksjoner før visse operasjoner skal gjøres og bygge inn verktøy for anbefaling av sikkerhetsnivå der man enkelt kan stenge usikre momenter.

Du kan lese hele intervjuet med Bill Gates hos Itbusiness.ca her: Gates: 'You don't need perfect code' for good security.

 

(Kilder: Itbusiness, Microsoft, SecurityFocus, The Register)

Kommentarer (4)

Norges beste mobilabonnement

Mars 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Komplett MiniFlex 1GB


Jeg bruker middels mye data:

Telio FriBruk 5GB+EU


Jeg bruker mye data:

Komplett MaxiFlex 10GB


Jeg er superbruker:

Komplett MegaFlex 30GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen