Microsoft je úspěšný právě proto, že nekopíruje ostatní

27. 1. 2005

Sdílet

Je konec roku - čas bilancování, hodnocení. Proto jsme položili pár otázek panu Ladislavovi Šolcovi, systémovému inženýru pro oblast bezpečnosti ve firmě Microsoft ČR a SR.

n Microsoft ve svých bezpečnostních bulletinech uvádí, že některé objevené a oznámené bezpečnostní chyby jsou neodstranitelné a že zůstanou neopravené. Ač se nejedná o kritické chyby, přece jen, jedná se o neodstraněné bezpečnostní problémy? (MS zpravidla vydává návod, jak tyto problémy řešit jinak, ale především na firemní úrovni. Co s nimi má dělat běžný uživatel?)

Je třeba říci, že v řadě případů jsou tyto problémy řešeny jiným způsobem. Především jde o to, že koncovému uživateli nehrozí riziko přímého zneužití dat. Je velmi důležité dodržet tři hlavní kroky zabezpečení svého počítače. Kromě aktuálního antivirového a antispywarového nástroje je to zejména zapnutý personální firewall a všechny dostupné bezpečnostní opravy. Pokud bude domácí uživatel používat např. Windows XP se servisním balíčkem 2 (SP2) a dodrží uvedená pravidla, bude riziko zneužití jeho dat zanedbatelné.

n Microsoft vydává jednou za měsíc záplaty, z nichž některé jsou označovány jako kritické. Nebylo by lepší je označovat jinak? Pokud je něco kritického, tak snad nemá smysl čekat celý měsíc, než bude chyba odstraněna.

V tom s vámi nemohu souhlasit. Dojde-li k tomu, že se vyskytne vážný problém, který by měl významný dopad na zabezpečení, a jde o kritickou chybu, potom vydává společnost Microsoft bezpečnostní bulletiny mimo pravidelnou periodu. Záplata je ke stažení na webu okamžitě, jakmile je vytvořena a otestována.

To o čem hovoříte, znamená, že Microsoft vydává jednou za měsíc, přesněji každé druhé úterý v měsíci, konsolidované bezpečnostní bulletiny, ve kterých informuje o bezpečnostních problémech za minulý měsíc. Zároveň jsou připraveny opravy ke stažení pomocí technologie Windows Update. Tento postup se používá právě na základě požadavků našich zákazníků, kteří preferují ucelenou a pravidelnou zprávu. Tento postup se osvědčil a převzali ho také někteří z našich konkurentů.

Pro nepravidelné informace, informace s předstihem a podrobnější popis problémů je možné hledat informace na následujících stránkách: http://www.microsoft.com/technet/security/bulletin/notify.mspx.

n Microsoft často uvádí různé statistiky ve smyslu: snížili jsme počet restartů po záplatování, nebo snížili jsme počet chyb ve srovnání s tím a tím obdobím. Nemyslíte ale, že sám sobě nenasadil laťku kdovíjak vysoko?

Myslím si, že statistiky jednoznačně dokazují, že Microsoft své cíle úspěšně plní. Opravy vyžadují restart v minimálním počtu případů. Restarty se dají plánovat, je k dispozici tzv. rollback, tedy možnost odinstalování záplat. Velikost záplat se snížila asi o třetinu. Z hlediska počtu chyb za určitá období je statistika v porovnání s řadou konkurenčních dodavatelů operačních systémů právě k Microsoftu velmi příznivá.

n I z Microsoftu často zaznívají hlasy, že nebýt Internet Exploreru, bylo by to s bezpečností výrazně lepší. Proč se Microsoft snažil něco, co ostatní používají jako samostatnou aplikaci, tak tvrdošíjně protlačit jako součást operačního systému? Chyby v IE mnohdy zasahují právě i vlastní operační systém.

Microsoft je úspěšný právě díky tomu, že nekopíruje to, co dělají ostatní. Z toho důvodu může být v řadě oblastí na vedoucí pozici. Nicméně je třeba se také učit z vlastních chyb. Jako reakce na IE 6, který byl architektonicky nešťastně navržen, přišla řada změn v současných operačních systémech a samozřejmě vývoj nové verze IE7.

n Microsoft se v minulosti věnoval jiným otázkám, bezpečnosti méně. Nemůže za mnohé problémy právě agresivní marketingová a obchodní politika Microsoftu, která dlouhé roky ignorovala dlouhou řadu varování ohledně bezpečnosti?

Tato otázka je smysluplná a legitimní. Jednoznačně popisuje stav Microsoftu před třemi lety. Tehdy, jako reakce na sílící bezpečnostní problémy, došlo k řadě masivních změn uvnitř společnosti. Tyto změny se týkaly celkového procesu vývoje a změně priorit. Microsoft se již tři roky snaží napravit chyby, kterých se dopustil a které měly zásadní dopad na bezpečnost našich zákazníků. Za tři roky od startu této iniciativy (známé jako Trusworthy Computing) urazil Microsoft obrovský kus cesty. Již tři roky je bezpečnost na prvním místě a zůstane tam! Musím nekriticky říci, že dnes jsou tyto snahy velmi výrazně vidět a naše nové aplikace jsou z pohledu bezpečnosti připraveny nesrovnatelně lépe. Mluvím zejména o Windows XP SP2, Windows Server 2003 SP1, Visual Studio 2005 nebo SQL Server 2005.

n Jak má být Microsoft považovaný v oblasti bezpečnosti za důvěryhodnou firmu, když tvrdě tají prakticky vše o svých záměrech? Třeba přesné datum vydání vlastního antivirového řešení nebo IE verze 7.0, jejich technické parametry, budoucí obchodní politiku na poli antiviru či MS AntiSpyware atd. Copak toto utajení umožňuje nějaké dlouhodobé bezpečnostní plánování?

Microsoft prezentuje tzv. roadmapy svých produktů. V nich je určeno, kdy dojde k vydání nových verzí. Datum je většinou omezeno na jednotky měsíců v konkrétním období. Například nový antivirus pro Microsoft Exchange Server bude připraven v polovině roku 2006. Pokud dojde k výraznému posunu, jsou naši zákazníci informování měsíce předem. Obchodní politika, vývoj nových verzí a směr Microsoftu je podle mého názoru jasně stanoven minimálně na několik let. Z pohledu bezpečnosti jsou pravidelně k dispozici vyjádření vedoucích představitelů společnosti. Např. Bill Gates posílá jednou ročně tzv. "executive e-mails", vystupuje na RSA konferenci a podobně. Bezpečnostní plánování provádím s řadou zákazníků a přesná konkrétní data nejsou zpravidla kritickým požadavkem.

n Jednou z politik Microsoftu je "neptej se a klikej". Uživatel má možnost se třeba v MS AntiSpyware přihlásit do sítě SpyNET, ale už mu nikde není vysvětleno, co to obnáší a jaké informace bude do sítě předávat (však také zhruba padesát procent uživatelů se do sítě SpyNET právě kvůli této neprůhlednosti odmítlo přidat, což je škoda). Nebo je při výskytu chyby vznesen dotaz, zda "odeslat zprávu o chybě". Uživatel se ale nedozví, jaká data jsou odesílána apod. Myslím, že tato neprůhlednost není v pořádku.

S tímto názorem nemohu souhlasit. Uživatel má možnost najít poměrně velké množství informací. Nejen Microsoft Antispyware (jeho nové jméno bude Microsoft Defender) dává možnost zjistit velmi podrobné informace o komunitě SpyNET a o způsobu odesílání reportů. Stačí jen použít nápovědu. Report, který se odesílá, si je možné prohlédnout ve formátu XML, stejně jako je k dispozici popis toho, jak se dané informace zpracovávají a odesílají.

n Jak se osvědčila politika Microsoftu - čtvrt miliónu dolarů odměny za hlavu pisatele nebezpečných virů? Spekulovalo se o tom, že třeba autor kódu Sasser byl s udavačem předem dohodnutý na rozdělení této odměny. Kolik Microsoft těchto prémií vyhlásil, kolik jen za poslední rok a kolik vyplatil?

Nemám bohužel tyto statistiky k dispozici. Obecně odměnu za dopadení používá např. americká vláda, bezpečnostní služby a podobně. Je třeba brát v úvahu, že se autor tohoto škodlivého kódu dopouští trestného činu, taková lákavá odměna je doprovázena obviněním a odsouzením pachatele na řadu let. V tomto pozoruhodném případě je proto jen na zvážení autora viru a jeho komplice, zda jsou ochotni vystavit se riziku trestu.

n Microsoft nyní praktikuje politiku Security Development Lifecycle, což je sice líbivé, ale jak se mohlo stát, že v minulosti s železnou pravidelností opakoval stále stejné chyby? Třeba buffer overflow apod.

V minulosti docházelo k jednoduše řečeno "zbytečným" chybám. Proto se přijalo uvedené opatření, které má za cíl výskyt podobných problémů snížit. Z našich interních a stejně také z oficiálních statistik vyplývá, že tento způsob vývoje účinně snižuje výskyt chyb typu buffer overflow a dalších.

n Jednou z politik Microsoftu je, že záplaty získávají pouze legální uživatelé. Neptám se teď na obchodní nebo etické hledisko, ale na ryze bezpečnostní. Nezáplatované počítače představují bezpečnostní hrozbu, takže celková nebezpečnost kybernetického světa neklesá, naopak roste (což v konečném důsledku ohrožuje i uživatele legálních kopií). A kromě toho: nezáplatované počítače jsou cílem útoků častěji, takže celkově kazí dobré jméno Windows.

Čistě z technického pohledu je to tak, že se toto pravidlo nevztahuje na kritické bezpečnostní záplaty. Ty jsou stále k dispozici i nelegálním uživatelům Windows. Pro legální uživatele je k dispozici mnoho nových, automatických možností, jak udržovat jejich systém v pořádku a zabezpečený. Jana Pelikánová

Autor článku