Microsoft verantwortlich für Liebesfehler?

Wer ist verantwortlich für den "Love Bug" Virus und seine 25 oder so fiesen Varianten, die durch schätzungsweise 600.000 Computer durchgebrochen sind und Computer-Shutdowns bei Unternehmen und Regierungsstellen weltweit verursacht haben?

Als Strafverfolgungsbehörden Die Sicherheitsexperten, die sich in Manila (Philippinen) auf eine Gruppe technischer Studenten eingelassen hatten, wiesen darauf hin, dass das Betriebssystem von Microsoft ein gefährliches, wenn nicht gar virenfreundliches Umfeld schafft.

Der "Love Bug" nutzte eine Funktion in Windows als Windows Scripting Host bezeichnet, mit dem Benutzer Routineaufgaben automatisieren können.

Der Autor des Virus hat ein Visual Basic-Skript erstellt, das sich an alle Empfänger im Microsoft Outlook-Adressbuch eines Benutzers sendet und dann Bilddateien löscht und ausblendet Audiodateien

Der Scripting-Host ist nicht die einzige Windows-Funktion, die Hacker einlädt. Zu den weiteren Schwachstellen gehört die Automatisierungsfunktion von Outlook, die es externen Programmen ermöglicht, die Anwendung per Fernzugriff zu steuern. Sicherheitsexperten sagen, solche Funktionen sollten standardmäßig deaktiviert sein.

"Das Endergebnis ist, dass nur sehr wenige Leute [den Scripting Host] benötigen und dennoch standardmäßig aktiviert sind", sagt Richard M. Smith, Sicherheitsexperte und Internet Berater in Brookline, Massachusetts.

"Windows Scripting Host [ist] fast wie der Virus Scripting Host." Die enge Integration des Betriebssystems von Microsoft mit allen Anwendungen - das Windows-Markenzeichen, das im Urteil des Kartellrechts des Softwareriesen zitiert wird - macht es auch anfällig. Andere Plattformen integrieren und verwenden aktive Inhalte weit weniger als Microsoft.

Ein selbst ernannter kalifornischer Hacker, der sich selbst "Bronco Buster" nennt, schreibt im Online-Magazin Synthesis, sagt, der Love Bug "könne MacOS oder andere nicht beeinflussen Art von Unix-System Da Anwendungen von [Microsoft] so eng mit ihrem Betriebssystem verbunden sind, teilen ihre Anwendungen dem Betriebssystem mit, was zu tun ist, und das Betriebssystem startet das Programm, um es zu erledigen, alles ohne es zu wissen. "

" Es ist viel schwieriger, das Gleiche unter Unix zu machen, weil Unix nicht so funktioniert. " sagt Bruce Schneier, Chief Technology Officer bei Counterpane Internet Security, einem Netzwerk-Monitoring-Dienstleister in San Jose, Kalifornien.

"Aus Sicherheitsgründen ist das eine Katastrophe." "Microsoft konzentriert sich auf den Aspekt der Einfachheit, und ich kann verstehen, warum", sagt Steven Bellovin, Netzwerksicherheitsforscher bei AT & T Labs, "aber sie haben es zu einem ernsthaften Kosten in Sicherheit getan."

Sicherheitsmängel in Windows haben seit langem in den Software-Entwickler und Hacker-Communities bekannt. Der Technologieautor James Gleick, Autor von Faster: Die Beschleunigung von Just About Everything, wies in einer aktuellen Kolumne in Slate auf diese Fehler hin.

Die traditionelle Antwort des Unternehmens ist, dass Sicherheit ein Kompromiss zwischen den konkurrierenden Wünschen der Anwender nach Automatisierung ist und absoluter Schutz, und dass Popup-Dialogfelder vor potenziell gefährlichen Anhängen warnen.

Kritiker wie Schneier spotten über diese Verteidigung. "Benutzern die Funktionalität zu geben, ist ein Schwachsinn, weil Benutzer nie gesagt haben: Wir wollen mehr Viren." Sie hätten vielleicht gesagt, dass sie mehr Funktionen wollen, die Microsoft [dann] so implementiert hat, dass dies möglich war. " Microsofts primäres Ziel - das Versenden von Produkten - störe seine Sicherheitsverpflichtungen, argumentiert Schneier.

"Es liegt im Interesse von Microsoft, Produkte so unsicher zu machen, wie sie durchkommen können", sagt er. "Sie haben keine Haftung. Sie werden nur Schadenskontrolle machen." Microsoft könnte die Probleme beheben, indem es die Standardeinstellungen für bestimmte Funktionen, die Sicherheitsrisiken darstellen, ausschaltet und Skripterforderer dazu verpflichtet, ihre Arbeit digital zu signieren.

Letzteres ist eine Anforderung, die bereits in Makros integriert ist aus offensichtlichen Gründen. Inzwischen ist der neue E-Mail-Virus "Kak" entstanden, der sich verbreiten kann, selbst wenn ein Empfänger seinen Anhang nicht öffnet.

Kak wirkt sich auf Benutzer von Internet Explorer 5.0 und Office 2000 aus und funktioniert mit Outlook und anderen E-Mail-Programmen, die HTML erkennen. Es beschädigt keine Dateien wie der Love Bug-Virus, aber eine destruktive Version davon kommt mit ziemlicher Sicherheit auf einen Computer in Ihrer Nähe.