Microsofts Kampf gegen Bugs
Seite 2: Microsoft und die Hacker
Microsoft und die Hacker
"Früher handelte Microsoft nach dem Motto 'die gegen uns'. Hacker waren ausschließlich Gegner, die man bestenfalls ignorierte", erklärt Sarah Blankinship das Verhältnis zur Security-Community. Sie leitete früher das Outreach Team, eine Hand voll Microsoft-MitarbeiterInnen, die Kontakt zur weltweiten Hacker-Community aufbauen und halten. Und es ist wohl eher kein Zufall, dass Microsoft mit Blankinship, Window Snyder und Katie Moussouris an dieser Schnittstelle zur Hacker-Welt bevorzugt intelligente und attraktive Frauen positioniert.
Die Redmonder arbeiten jedenfalls mittlerweile erfolgreich mit Hackern zusammen. So lädt der Konzern seit 2005 Sicherheitsexperten zur internen Hacker-Konferenz namens Blue Hat. Dort diskutieren die unabhängigen Experten mit Entwicklern und geben ihr Wissen weiter.
Oder man engagiert Hacker, um die Sicherheit neuer Produkte vorab zu testen. Während der Entwicklung von Windows Vista bekamen rund 30 Hacker den Auftrag mögliche Sicherheitsprobleme aufzuspüren, darunter bekannte Namen wie Dan Kaminsky oder Chris Paget. Sie bekamen dazu nicht nur den Quellcode des Systems sondern direkten Kontakt zu den verantwortlichen Entwicklern: "Microsoft versprach uns, dass wir binnen 24 Stunden mit jedem Entwicklungsteam auf dem Microsoft Campus über unsere Entdeckungen diskutieren können" erinnert sich Kaminsky. Tausende von Bugs sollen so gefunden und beseitigt worden sein, bevor das Produkt überhaupt in die Regale kam.
Und manche Hacker landeten sogar auf Microsofts Gehaltsliste wie der Kern der polnischen Hacker-Crew Last Stage of Delirium. LSD wurde bekannt, weil die Gruppe die kritische Lücke in Windows Remote Procedure Calls entdeckt und veröffentlicht hatte, die kurze Zeit später der Blaster-Wurm ausnutzte, um tausende Rechner zu infizieren.
Ten Years After
Das Versprechen von "Trustworthy Computing" hat sich als mehr als ein bloßes Lippenbekenntnis zur Sicherheit erwiesen. Von Bill Gates Forderung nach Microsoft Produkten, die "so verfügbar, verlässlich und sicher sind wie die Versorgung mit Strom, Wasser und Telefon" ist man zwar noch ein gutes Stück entfernt. Deutliche Schritte in die richtige Richtung hat der Software-Konzern in den letzten 10 Jahren jedoch allemal gemacht; der ehemalige Prügelknabe in Sachen Sicherheit gilt vielen Experten heute sogar als Musterschüler. Doch es bleibt Raum für weitere Verbesserungen. So kritisiert etwa Chaouki Bekrar, dass sich Microsoft oft über Gebühr Zeit lasse, um von unabhängigen Sicherheitsforschern gemeldete Schwachstellen zu beheben. "Kursiert hingegen ein Exploit bereits im Netz, geht alles ganz schnell", so der Vupen-Geschäftsführer. (ju)
