7.1.07

Microsofts sikkerhed på vægtskålen

Microsoft gik ind i 2007 med et par sårbarheder i Word, og disse "huller" havde tilmed havde fået Enhedslistens Per Clausen til at kræve et svar fra videnskabsminister Helge Sander (V) om, hvad man ville gøre.

Da jeg hørte om, at der også i OpenOffice var konstateret en sårbarhed, forventede jeg så småt et nyt spørgsmål fra Clausen, men selvfølgelig kom det ikke. Microsoft er the Evil Empire, mens Open Office er Open Souce og dermed idealisme:-)

Spøg til side. Det er jo Word, der bruges i det offentlige, selv om Enhedslisten, SF og Radikale slås som vilde for at få Open Office ind. Sanders svar? Det handlede om, at bilag som altid skal behandles med en vis forsigtighed. Mere om svaret på hos Version2.

Men eksemplet illustrerer endnu en gang, at Microsoft er oppe mod langt mere end hackere, som om det ikke er slemt nok. Firmaets image har alvorlige ridser grundet de mange sikkerhedsproblemer gennem tiden og grundet selskabets monopolagtige situation og ageren.

I morgendagens klumme på bagsiden af Berlingske Business skriver jeg, at 2007 for Microsoft bliver lakmusprøven, hvad angår sikkerhed. Holder den nye generation af Windows, Vista, løfterne om en klart øget sikkerhed? Holder Microsoft nye sikkerhedsprodukter, herunder antivirus, målet? Og har Microsoft en chance hos erhvervslivet med sine sikkerhedsprodukter til den sektor. Findes tilliden?

Det er jo immervæk softwaregigantens egne produkter, der gang på gang har været huller i. Der skal dog ikke mange togter ud på internettet til at se, at nu er der opdaget huller i mængder af produkter fra andre leverandører også. Selv i it-sikkerhedsprodukter.
Gad vide, om det mildner synet lidt på Microsoft. Gad vide, om Microsoft også bliver verdens største leverandør af sikkerhedsprodukter. Hvad tror du?

5 kommentarer:

Anonym sagde ...

MS Office er stadig sårbar i den nyeste version.

OpenOffice er kun sårbar i versioner før 2.1, der udkom for mere end en måned siden.

Er forskellen den samme?

Dorte Toft sagde ...

@ anonyme. Jeg ved desværre ikke helt, hvor du vil hen, for det var ikke Microsoft Office som sådan kontra OpenOffice det handlede om. Det var en galgenhumoristisk joke i forbindelse med, at snart sagt alle har huller i deres software. Fra Adobe, Citrix og Cisco, til Symantec, IBM og - Microsoft.
Dorte

Christian Wernberg-Tougaard sagde ...

Kære Dorte, som oftest er jeg enig med dig i dine betragtninger - og nyder klummen i Berlingeren. Men i dag syntes jeg det var et omvendt Kinder-æg; hele 3 ting manglede på en gang. Din kritik af Microsoft (nuanceret her på bloggen - men alligevel); din kritik af Morten Østergaard og sluttelig din kritik af Teknologirådet.

Jeg har tilladt mig at kommentere alle tre på min egen blog (http://blog.wernberg.org/index.php?/archives/53-Spread-the-truth-....html) - og håber at du vil være tilstede d. 24. januar hvor vi der er ansvarlige for anbefalingerne til ministeren / politikerne vil stå på mål overfor pressen - og dig?.

Med venlig hilsen

Christian Wernberg-Tougaard

Dorte Toft sagde ...

Hej Christian,
Du er - som altid - vældig god til ord, du er velorienteret og meget engageret i mange sammenhænge, hvor man arbejder med store komplekse spørgsmål på it-fronten. Det er vist dit levebrød.

Dit angreb, som du vælger at bringe på engelsk på dit eget websted, vil jeg besvare her på arnestedet og af hensyn til læserne på dansk. MINE budskaber er ikke rettet mod hele verden. Den ambition har jeg slet ikke.

Det være sagt, så lad mig for det første fortælle, at der på bagsiden af Berlingske Business hver mandag ikke er plads til alle de gråtoner, som der er plads til i de udredninger, som du så ofte er involveret i. Og det er heller ikke altid, at gråtoner er "need to know" for en bred læserskare. Men begge dele ved du vel.

Dernæst har du tolket teksten om Vista og Microsofts sikkerhedsløsninger på ejendommelig vis. Din påstand om, hvad jeg påstår, holder ikke. Hvilket ærinde er du ude i? Og lad mig tilføje, at jeg hverken mellem eller på linier, har skrevet, at jeg kræver fejlfrihed i MS's sikkerhedsprodukter. Jeg har ALDRIG krævet fejlfrihed i komplekse programmer. Jeg er gammel programmør.

Og så ville du gerne have haft at det offentligt fik analyseret og ensrettet alle "business processer", inden kommunerne blev lagt sammen om regioner dannet. Det forstår jeg godt, men der er hverdage, der skal passes foruden tidsfrister, og en økonomi, som en horde af processkonsulenter måske vil udhule lige lovligt meget. Den ideelle fordring bør naturligvis indgå i dit og andre dygtige konsulenters repetoire, men udsat for dagligdagens pres og pligter er det ikke så let.

Hvad angår Teknologirådet skyder du mig igen påstande i skoene, som jeg ikke har. Du har nok igen overset, at jeg ikke har alle de linier, til rådighed, som du selv er så vant til at bruger. Men enhver læser, der bruger den anførte lænke til www.tekno.dk, kan orientere sig bedre.

Nu ser jeg frem til, hvad der ligger bag den bombastiske udmelding, som man ser på Teknologirådets forside. Forannonceringen lyder jo således: "Danmark kan lægge kursen for fremtidens internationale it-sikkerhed. Det vurderer en arbejdsgruppe nedsat af Teknologirådet." Citat slut.

Jeg har også hæftet mig ved, at udvalget er meget leverandørtungt - og med leverandører mener jeg, enhver organisation, der gælder rådgivning, eller service eller produkter. Udvalgets medlemmer er:
Preben Andersen, chefkonsulent i Uni-C, leder af DK-CERT, der også sælger sikkerhedstjenester.
Brian Birkvald, Security Principal & Manager i IBM's Security Group.
Lars Neupart, adm. direktør for Neupart A/S, der sælger sikkerhedstjenester
Morten Storm Petersen, Signaturgruppen A/S (tidligere TDC).
Carsten Stenstrøm, teknologisikkerhedschef i DR (tidligere Danske Bank).
Christian Wernberg-Tougaard, Director i Unisys, medlem af ENISA's rådgivende ekspertudvalg vedrørende "Awareness Raising".

Men så har I selvfølgelig også haft høringen med masser af personer, så bredden skulle være sikret. Det er dog ofte sådan ved du jo, at den, der ender med at føre pennen, er den, der sætter dagsordenen.

Dette var et langt svar, og min tid er desværre knapt, så jeg kan ikke love lige så stort engagement næste gang.
Dorte

PS: Jeg er vel næppe den eneste, der irritereres, hver gang vi hører besværgelser om, at Danmark skal være førende på dit og dat inden for it. Tager vi sikkerhedsforskningen for eksempel, så er den herhjemme hovedsagelig begrænset til kryptering. Et væsentlig emne ja, men hvor finder vi udvildig viden på HØJESTE niveau, hvad angår botnets, phishing, human factors i sikkerhed etc. etc.
Vi har dog også et udmærket initiativ omkring digital signatur/digital forvaltning, men er successen ikke langt større for eksempel i Finland?

Christian Wernberg-Tougaard sagde ...

Kære Dorte,

Tak for dit lange svar - og at du tog dig tid. Jeg skal naturligvis beklage, at jeg lod mig forlede af det skrevne ord - og ikke kunne se gråtonerne i dit indlæg.

Og mange tak for roserne - selvom roser ofte følges af torne. Blot for kort at følge op: 0) Jeg skriver på engelsk fordi jeg er så naiv at jeg tror at det vil give mig flere interessant diskussioner - men jeg håber ikke at det vil virke afskrækkende, 1) jeg er ked at du opfatter det som et angreb - jeg ønsker ikke at beklikke din faglighed, men at debatere dine konklusioner. 2) Jeg har intet ærinde med hensyn til Microsoft - jeg bruger deres produkter; og så har jeg fulgt diskussion omkring de andre sikkerhedsprodukter - jeg har snakket med folk fra begge lejre - og det som jeg ser som det største problem er, at der er en potentiel mulighed for at "Explorer/Media Player" sagen gentager sig - at MS udnytter en gavnlig position til at bemægtige sig it-sikkerhedsprodukt-området - omvendt kan man ikke kritisere Microsoft for at gøre noget aktivt for at øge it-sikkerheden. 3)Min pointe er blot, at man har forspildt en stor mulighed til at skabe nogle generelle fundamental spilleregler - noget som du selv så vidt jeg husker har jaget nådeløst på EPJ området. Jeg synes blot at dette ogås skulle gælde for kommunerne. 4) Og ja - udredninger; du har ret i at udvalget er meget leverandør-tungt; men det ligger vel i sagens natur at når det kommer til at vurdere hvad der er fremtidens international it-sikkerhedstrusler - ja, så er det vel i branchen at man kan finde eksperterne. Og i vores process - som naturligvis som i andre - gælder at den der konciperer bestemmer - har vi inddraget udenlandske eksperter (rådgiver fra det hvide hus; international anerkendt forsker i økonomi og it-sikkerhed, formanden for ENISA's RANIS arbejdsgruppe og den østrigske CIO, som har gjort et stort arbejde for at gøre Østrig til nummer 1 på eGovernment verdensranglisten) samt at vi har haft en høring i december hvor den endnu ikke færdige rapport blev diskuteret med stort set alle væsentlige it-sikkerheds råd og nævn - så vi har forsøgt at holde skæg for sig og snot for sig.

Men lad os nu se hvad der sker den 24.

Men jeg håber da også at vi kommer til at påvirke it-sikkerhedsudviklingen her i Danmark. Håber at vi ses den 24.

/CWT