Home Research Education Publications Activities Resources About Me

Standaardcomputers? Nee bedankt!

Het Blaster virus (of preciezer de W32/Blaster worm) maakte de afgelopen weken het Internet onveilig (sic!). Door een programmeerfout in verschillende versies van Microsoft Windows kon deze worm zich in snel tempo verspreiden met als doel om op zaterdag 16 augustus met alle geïnfecteerde computers een gezamenlijke denial-of-service attack op de Microsoft Windows update website uit te voeren. Naast een verhoogde netwerk belasting bleef de schade voor gebruikers "beperkt" tot een verhoogde instabiliteit van de pc, en de tijd die het kost om de worm te verwijderen en de programmeerfout in Windows middels een patch te verwijderen.

Volgens Ad Lagendijk (de Volkskrant, 23 Augustus, 2003) zijn er twee schuldigen aan te wijzen: Microsoft, en de overheid. Nu zal ik de laatste zijn om te ontkennen dat Microsoft veel te verwijten valt, qua misbruik van monopoliepositie en onveiligheid van hun software, maar in dit specifieke geval is de beschuldiging wel erg eenzijdig. Wat erger is: het voorstel van Ad Lagendijk om tot een standaardcomputer te komen zal de veiligheid van het Internet absoluut niet ten goede komen.

Ad Lagendijk beklaagt zich over het feit dat volkomen onnodig voortdurend nieuwe besturingssystemen worden ontwikkeld, waar naartoe de gebruiker elke keer moet overstappen, waardoor deze ook weer nieuwe versies van programma's moet aanschaffen. Dat laatste is pertinent onjuist: met een upgrade van Windows zullen de meeste al geïnstalleerde applicaties gewoon blijven werken. Het gaat juist andersom: als een gebruiker een nieuwe versie van een applicatie wil, dan draait deze vaak alleen onder nieuwere versies van Windows. Afgezien van deze reden is upgraden geen must; er zijn genoeg tevreden gebruikers van oudere versies van Windows. Er is ook niets mis met de ontwikkeling van nieuwe besturingssystemen. Integendeel: je moet er toch niet aan denken nog steeds tot Windows 3.0 of DOS veroordeeld te zijn!

Dat zo veel zwakheden in Microsoft systemen aan het licht komen en door crackers misbruikt worden heeft een eenvoudige reden: het overgrote deel van de computers in de wereld is met een versie van Windows uitgerust. Vergelijkbare zwakheden in Linux of Mac OS X (die er net zo goed zijn), halen de publiciteit niet: de groep gebruikers is simpelweg te klein. Dit maakt de nieuwswaarde minimaal. Dit verklaart ook het veel kleinere aantal virussen voor niet-Windows systemen: geen zichzelf respecterende cracker zal daar zijn waardevolle tijd aan verspillen.

Zeker, het automatisch openen van attachments in Microsoft Outlook, of de aanwezigheid van macro's in Microsoft Word documenten was werkelijk een goudmijn voor virusschrijvers. Bij het ontwerpen van applicaties besteed Microsoft meer aandacht aan het toevoegen van nieuwe, handige, features, dan aan de mogelijke beveiligingsproblemen die deze features kunnen veroorzaken. Echter, programmeerfouten die een worm als Blaster mogelijk maakten komen in alle besturingssystemen voor. Erger nog, programmeerfouten zijn in dergelijke grote systemen gewoonweg niet te voorkomen.

Het is juist daarom dat het voorstel om het besturingssysteem van alle computers te standaardiseren funest is. Één fout in dat besturingssysteem, en alle computers zijn kwetsbaar. Niet voor niets pleit men voor het beveiligen van (complexe) systemen juist voor diversiteit. Mocht er een zwakheid in één van de systemen bestaan, dan zullen de andere systemen daar geen last van hebben. Schade door eventueel misbruik van die zwakheid zal daarom beperkt zijn.

Staandaarden voor netwerkverbindingen of documentformaten zijn nuttig en noodzakelijk. Hierdoor kunnen componenten van verschillende fabrikanten met elkaar verbonden worden, en documenten tussen verschillende applicaties uitgewisseld worden. Het Internet zelf is gebaseerd op zo'n open standaard. Doordat de manier waarop computers via het Internet gegevens uitwisselen gestandaardiseerd is, kunnen Windows, Mac en Linux systemen zonder problemen met elkaar communiceren.

Standaardisatie van applicaties of besturingssystemen zelf is juist ongewenst. Het werkt monopolies in de hand, en is onveilig. Het is bovendien precies wat Microsoft probeert te bereiken: dat iedereen noodgedwongen Windows en Word gebruikt. Standaardisatie van documentformaten en netwerkverbindingen daarentegen stimuleert juist competitie. Als het documentformaat van Word gestandaardiseerd en openbaar zou zijn, zouden er ook eindelijk werkelijk Word compatibele alternatieve tekstverwerkers ontwikkeld kunnen worden. Als de overheid zich ergens op zou moeten richten, dan is het dus op standaardisatie van documentformaten en netwerkverbindingen, niet op standaardcomputers.

Helaas heeft ook Ad Lagendijk geen verstand van computers.

Dr. Jaap-Henk Hoepman is senior onderzoeker security en cryptografie, bij de Universiteit Nijmegen.  


Last Version - e1e3326.
(Note: changeover from CVS to dotless svn version numbers on Jan 19, 2008, and changeover to GIT versioning on May 30, 2013.)
Maintained by Jaap-Henk Hoepman
Email: jhh@cs.ru.nl