Niklas Andersson, öppen källkodsexpert: Microsoft lider ännu
Januari 2007. Windows XP står ensam för otroliga 76,1 procent av världens internetanslutna användare. Sedan dess har det bara gått utför. Så här blev Windows XP sämst på säkerhet.


"Kalaset gick på nära två miljarder svenska kronor"



Niklas Andersson, öppen källkodsexpert
Rolling Stones var där, Jennifer Aniston var där, Matthew Perry var där. När Microsoft lanserade Windows 95 fick det kosta. Det var fem år innan it-bubblan skulle spricka. Kalaset gick på nära två miljarder svenska kronor och räknas till en av de dyraste produktlanseringarna i modern historia. Windows 95 hade sina fel och brister, men var på det stora hela ett vettigt operativsystem som användarna gillade.

Första företagsversionen

Samtidigt, i exakt samma del av Seattle, utvecklade Microsoft vidare på Windows NT, den första 32-bitarsversionen av Windows riktad mot företagen. Tidigare det året hade Microsoft släppt Windows NT 3.51. Operativsystemet byggde på en ny stabil 32-bitarskärna, men med samma gamla, fula gränssnitt. Windows 95:s popularitet gjorde att samma gränssnitt och arbetssätt togs upp av Windows NT och i juli 1996 släpptes Windows NT 4.0.

Windows NT och Windows 95 var två stycken helt olika operativsystem som skulle leva skilda liv under de nästkommande fem åren, med varierande resultat. Windows NT och sedemera Windows 2000 anammades av företagen och blev snabbt den dominerande plattformen. Katalogtjänsten Active Directory gjorde arbetet med att hantera användare och klienter både enklare och roligare.

Uppföljaren av Windows 95 hette Windows 98 och blev också en storsäljare. En naturlig uppföljning på ett operativsystem som de flesta gillade. Hur det sedan gick att misslyckas så katastrofalt med Windows ME (Millenium Edition) är en fråga som fortfarande står obesvarad och som blev en skamfläck i Microsofts historia.

Utvecklarna i Redmond fick bakläxa och började utveckla på vad som skulle bli det absolut mest utbredda operativsystemet genom tiderna: Windows XP. Utmaningen var att sammanföra två i botten helt olika system. En användare skulle kunna uppgradera från Windows 95 eller 98 eller ME till Windows XP precis lika lätt som en användare av Windows NT eller Windows 2000.


Höga krav bakåt
Redan här började det gå snett. I en strävan att underlätta för användarna att kunna köra gamla program ställde Microsoft höga krav på bakåtkompatibiliteten. I stället för att skriva om koden började man bygga på gammal kod, och det måste gjort det olidligt för utvecklarna. Hur pass allvarligt problemet var går det inte att säga med exakthet eftersom källkoden till största delen är hemlig. Vi har dock fått höra från de som försökt analysera koden, till exempel hobbyutvecklarna i Wine-project, att den är ett riktigt ormbo.

Många av funktionerna i Windows finns inte heller dokumenterade för allmänheten. När Google utvecklade webbläsaren Chrome visade det sig att Google använde hemliga, odokumenterade anrop mot Windows-kärnan för att stärka säkerheten i webbläsaren. Microsoft anklagade Google för att ha försökt återskapa källkoden till Windows-kärnan på olaglig väg genom det som kallas reverse engineering.

Här sätter vi fingret på ytterligare problem i Windows XP som bidragit till en undermålig säkerhet genom tiderna. Om nu ett förhoppningsvis välvilligt företag, Google, återskapar koden i Windows kärna, ntoskrn.exe, för att bygga en säker webbläsare – vad kan inte då en grupp hackare med illvilliga avsikter ställa till med? Har du ett operativsystem med en förhållandevis begränsad grupp användare är kanske värdet av odokumenterade brister inte så stort, men råkar operativsystemet användas av 76,1 procent av hela världens internetanslutna befolkning förvandlas plötsligt de här odokumenterade säkerhetshålen till internationell hårdvaluta.


Attack på fyra sätt
Det bästa exemplet är datormasken Stuxnet som upptäcktes i juli 2010. Masken var oerhört komplex och kunde angripa och smitta ett system på hela fyra olika sätt genom metoder som inte var dokumenterade eller fixade.

Viruset blev därmed osynligt för antivirusprogrammens vakande ögon och kunde sprida sig med explosionsartad hastighet. Stuxnet använde bland annat ett av de vanligare sätten att smitta en Windows-dator – genom automatstartfunktionen autorun. Varje gång en hårddiskenhet eller usb-minne ansluts letar operativsystemet efter en autorun-fil som sedan exekveras. Det här är en säkerhetsmässig mardröm.

Viruset var utformat för att angripa ett speciellt plc-system från Siemens som används i iranska kärnkraftverk. Komplexiteten och syftet med Stuxnet ledde omvärlden att dra slutsatsen att ett lands underrättelsetjänst låg bakom angreppet. Att tro där inte finns fler liknande odokumenterade brister som just nu säljs på svarta marknaden, eller att Windows XP skulle vara säkert bara för att det har över tio år på nacken, är bara naivt. Färska siffror från Secunia talar om att vi är uppe i 31 brister för det här året, varav två ännu inte är fixade. En av bristerna är klassad som kritisk. 14 av bristerna är klassade som hög risk. Över hälften av bristerna går att utnyttja över nätet.

Microsoft försöker göra det bästa av en ohållbar situation, bland annat genom projekt som Microsoft Security Development Lifecycle. Det enda som administratören kan göra är att alltid ha de senaste mjukvarufixarna, begränsa hur kod kan köras och hålla tummarna för att brandväggen stoppar resten av attackerna.


Ber ständigt om godkännande

På senare tid har Microsoft lagt ner stora resurser på säkerhetsarbetet. Nya versioner av Windows har en ny säkerhetsmodell där användaren varje gång måste ge sitt godkännande om ett program ber om administratörsrättigheter.

Förhoppningsvis kan Microsoft även komma att använda öppen kod i större utsträckning för kritiska funktioner, vilket man faktiskt har gjort tidigare, till exempel i fallen tcp/ip-stacken och ipsec som är hämtad från BSD. Öppen kod får utstå hårdare granskning och brister rättas snabbare till.

Till Microsofts försvar ska där-emot sägas att man sedan flera år tillbaka försökt att pensionera både Windows XP och Internet Explorer 6. Problemet är att 49 procent av användarna fortfarande vägrar att lyssna.