Gates: 'geen perfecte code nodig voor hoge veiligheid'

In een interview met de site IT Business doet Bill Gates, directeur van de ontwikkel afdeling van Microsoft, een paar opmerkelijke uitspraken. Het interview is gehouden naar aanleiding van de Professional Developer Conference 2003 die afgelopen week door Microsoft is gehouden. Wellicht de meest opvallende uitspraak van de Microsoft-oprichter is de volgende: "You don't need perfect code to avoid security problems." Gates stelt dat veiligheid van een systeem niet direct afhangt van de kwaliteit van de broncode van de diverse applicaties en toepassingen. Volgens hem moet namelijk een belangrijk deel van de veiligheid van een computersysteem worden gerealiseerd door firewalls en virusscanners. De vele virussen en worms die gesignaleerd worden op Microsoft-systemen hadden kunnen worden tegengehouden door dit soort software te gebruiken, zo stelt Gates.

Verder stelt Bill Gates dat mensen ook veel problemen met betrekking tot worms en virussen hadden kunnen voorkomen door tijdig alle patches van Microsoft te installeren. "Patches zijn altijd eerder beschikbaar dan de exploits", zo stelt Gates. Op een vraag wat hij vindt van de vele vulnerabilities die in Microsoft producten zitten zegt hij dat dit de laatste maanden een stuk minder is geworden. Hij beperkt concrete cijfers echter alleen tot Windows Server 2003, waarin volgens hem in de afgelopen maanden twaalf problemen waren ontdekt.

Over het feit of dit beleid van Microsoft nou het ideale is valt ernstig te twijfelen. De algemene opvatting over veiligheid is niet helemaal overeenkomstig Bill Gates' opvattingen. Veel ontwikkelaars en systeembeheerders gaan er van uit dat een applicatie in principe veilig is, wat dus inhoudt dat de code kwalitatief goed is. Firewalls worden over het algemeen beschouwd als vangnet voor onbekende fouten en vulnerabilities in software en niet als belangrijkste blokkade voor hackers en andere kwaadwillende personen:

We've seen an order of magnitude less vulnerability in the code that's been through the new tools, and we need about another order of magnitude. We've had 12 things in about an eight month period in Windows Server 2003 and with the equivalent level of attack in the previous generation we would have had over 100. We had 43, but adjusting for the level of intensity it's a factor of 10 difference. If we can get another factor of 10, which would get you down to 1.2, plus the improvements in the patching and updating, that's what people want. That should be doable, but that’s the piece that doesn't happen overnight. It’s a matter of giving people the tools, it's people not understanding the design of APIs where you get vulnerabilities. Certainly there are whole classes of vulnerabilities like buffer overruns that are very well understood at this point, and the scanning tools are very good and the compiler switches are very good.