Een desastreuze update van beveiligingsfirma CrowdStrike haalde vrijdag miljoenen systemen offline. Alle getroffen computers draaiden op Windows, maar Microsoft had naar eigen zeggen geen andere keuze dan CrowdStrike de sleutels te geven tot de diepste fundering van zijn OS.
Toen CrowdStrike vrijdag zonder voldoende tests ongefaseerd een desastreuze update uitrolde naar al zijn klanten, werd die automatisch op Windows-systemen geïnstalleerd. Na installatie veroorzaakte de update een bug die Windows een rechtstreekse impact had op de mogelijkheid van Windows om normaal op te starten. Naar schatting 8,5 miljoen toestellen wereldwijd werden getroffen, waaronder ook systemen van de NMBS en Brussels Airport bij ons.
De verantwoordelijkheid voor het probleem met ongeziene wereldwijde impact ligt volledig bij CrowdStrike, maar het valt op dat de slechte update Windows helemaal kon meeslepen in zijn val. De meeste software op Windows kan immers crashen zonder de hele kernel van het besturingssysteem met zich mee te slepen.
Geen keuze voor Microsoft
Dat merkt ook Microsoft zelf op. Een woordvoerder van Redmond meldt aan de Wall Street Journal dat het geen keuze had, en CrowdStrike wel toegang moest geven tot Windows tot op een diep niveau.
Die verplichting is het gevolg van een overeenkomst met de Europese Commissie in 2009. Microsoft werkte zich doen in de schijnwerpers in verband met antitrust-praktijken, zoals van tijd tot tijd wel eens gebeurt. Deze keer lag concurrentie in de beveiligingssector aan de basis.
Interoperabiliteitsverbintenis
Microsoft bouwt immers eigen beveiligingsoplossingen voor Windows, en kan die in theorie geprivilegieerde toegang geven tot het besturingssysteem. Dat zou het moelijker maken voor externe partijen zoals CrowdStrike om even capabele beveiligingstools af te leveren. Om aan zorgen daarrond tegemoet te komen, maakte Microsoft een aantal beloftes waaronder de zogenaamde interoperabiliteitsverbintenis. Dat stelt letterlijk:
“Microsoft zal ervoor zorgen dat softwareproducten van derden kunnen samenwerken met de relevante softwareproducten van Microsoft, waarbij gebruik wordt gemaakt van dezelfde interoperabiliteitsinformatie, op gelijke voet als andere Microsoft-softwareproducten.”
Wat dat concreet betekent, lezen we verder in het document:
“Microsoft zal er voortdurend en tijdig voor zorgen dat de API’s in het Windows Client PC-besturingssysteem en het Windows Server-besturingssysteem die worden aangeroepen door Microsoft-beveiligingssoftwareproducten, worden gedocumenteerd en beschikbaar zijn voor gebruik door beveiligingssoftwareproducten van derden die draaien op het Windows Client PC-besturingssysteem en/of het Windows Server-besturingssysteem. Deze API’s zullen worden gedocumenteerd op het Microsoft Developer Network, tenzij open publicatie veiligheidsrisico’s zou opleveren. In dergelijke omstandigheden zal Microsoft externe beveiligingsleveranciers toegang verlenen tot dergelijke API’s op grond van een royaltyvrije licentie en op eerlijke, redelijke en niet-discriminerende voorwaarden.”
Eerlijke concurrentie met grote gevolgen
Met andere woorden: Microsoft verbond zich er in 2009 toe om externe beveiligingsbedrijven dezelfde toegang te geven tot API’s in Windows dan zijn interne oplossingen, met het oog op eerlijke concurrentie. Volgens dat principe had CrowdStrike het recht om diep in het Windows-OS te draaien. De API’s in kwestie zijn gelinkt aan der kernel. Loopt daar iets mis, dan crasht niet gewoon de software, maar het hele besturingssysteem.
Dat wil niet zeggen dat de EU meteen verantwoordelijk is. Om te beginnen heeft CrowdStrike niet omzichtig omgesprongen met de toegang die het had, en de verantwoordelijkheid die daarbij hoort. Verder kon Microsoft mogelijks ook alternatieve API’s uitwerken die een grotere mate van bescherming garandeerden, al is dat meer speculatie.
Microsoft wijst wel naar de overeenkomst als reden dat het Windows niet op dezelfde mate afschermt als bijvoorbeeld Apple met macOS. Daardoor is Windows gevoeliger voor fouten van derden.
Keerzijde van openheid
De wereldwijde crash kan je zo zien als een keerzijde van openheid. Microsoft geeft de sleutels van Windows aan andere partijen zodat die kunnen concurreren en innoveren. Dat impliceert dat die partijen ook een verantwoordelijkheid delen. Maken ze een fout, zoals nu, dan heeft die een impact op het kernel-niveau van Windows vergelijkbaar met een situatie waarin Microsoft de fout zelf maakte.
Het alternatief is een gesloten systeem zonder concurrentie, al sluit dat fouten niet uit. Microsoft zelf is immers ook niet onfeilbaar.