Microsoft: kod doskonały nie istnieje
Wielkimi krokami nadchodzi premiera Windows Vista - Microsoft zakończył prace nad systemem, znamy już też orientacyjne terminy premier poszczególnych jego wersji. Z ogłaszanych przez koncern od początku prac nad Vistą deklaracji wynika, że celem firmy było stworzenie zupełnie nowej jakości w kwestii bezpieczeństwa systemów operacyjnych rodem z Redmond. Czy to się udało - odpowiedź na to pytanie poznamy najprawdopodobniej dopiero za kilka lub kilkanaście miesięcy, gdy system ten się upowszechni. O zabezpieczeniach nowego systemu oraz lukach w oprogramowaniu udało nam się porozmawiać z jednym z najlepiej zorientowanych w tej tematyce ludzi na świecie - Stephenem Toulouse'm z Microsoftu. "Spodziewam się, że wraz z premierą Visty nie tylko spadnie liczba wykrywanych luk, ale także zmniejszy się poziom ich uciążliwości dla klientów. Zredukować ich liczbę do zera będzie trudno - niemożliwe jest przecież stworzenie "kodu doskonałego" - prognozuje Toulouse.
Na początek przypomnijmy, że Microsoft zakończył prace nad Windows Vista już kilka tygodni temu - system dostępny jest już w wersji RTM ( ready to manufacture - czyli gotowy do produkcji ). Za dwa tygodnie zostanie on przekazany klientom biznesowym, zaś na początku przyszłego roku trafi do rąk klientów indywidualnych. Szerzej na temat finalnej wersji Visty pisaliśmy w tekście "Windows Vista RTM - wersja ostateczna czy do poprawki?" - http://bezpieczenstwo.idg.pl/news/102377.html.
Poniższa rozmowa przeprowadzona została przez Jeremy'ego Kirka - korespondenta IDG - podczas konferencji IT Forum w Barcelonie. Jego rozmówcą był Stephen Toulouse z działu Microsoft Security Response Center - jeden z najlepszych specjalistów od zabezpieczeń produktów koncernu z Redmond.
Stephen Toulouse IDG: Wydaje się, że w ciągu ostatnich kilku miesięcy wykryto mniej luk w Waszym oprogramowaniu, które dotyczyłyby, powiedzmy, milionów użytkowników. Czy zgodzi się pan z takim stwierdzeniem?*Stephen Toulouse:* Obserwowanie tego, jak na przestrzeni czasu zmienia się liczba zagrożeń, jest bardzo ciekawe. Jeśli spojrzymy w przeszłość, przypomnimy sobie, że np. cztery lata temu pracowaliśmy nad kodem zupełnie inaczej - zupełnie inne były priorytety programistów, nasz system nie miał np. firewalla.
Ostatnio z pewnością obserwujemy więcej zdecydowanie bardziej niż kiedyś skomplikowanych ataków, z wykorzystaniem m.in. czynników psychologicznych. Rzeczywiście, takich typowych zagrożeń, jakie znamy z przeszłości jest z miesiąca na miesiąc coraz mniej i sądzę, że ich liczba będzie wciąż malała. Ale musimy pozostać czujni - jako, że zabezpieczenia robią się coraz bardziej skomplikowane i złożone, z pewnością również ataki będą się takie stawały. Osoby opracowujące nowe sposoby na skuteczne zaatakowanie systemu z pewnością nie złożą broni.
Czy myśli pan, że liczba uaktualnień udostępnianych w każdy drugi wtorek miesiąca spadnie wraz z premierą Visty? Czy podobnie będzie z systemami dostępnymi już w tej chwili?
Jeśli chodzi o produkty, które już są dostępne na rynku, to bardzo trudno prognozować, ile łat będziemy dla nich udostępniali. Jednak z każdym naszym kolejnym produktem coraz lepiej uczymy się, jak jednocześnie dodawać do oprogramowania nowe funkcje oraz zabezpieczenia. Dlatego spodziewam się, że wraz z premierą Visty nie tylko spadnie liczba nowowykrywanych luk, ale także zmniejszy się poziom ich "uciążliwości" dla klientów. Zredukować ich liczbę do zera będzie trudno - niemożliwe jest przecież stworzenie "kodu doskonałego".
Czy zamierzacie udostępnić szersze informacje na temat błędów w Viście, wykrytych na etapie testów przez współpracujących z wami ekspertów ds. bezpieczeństwa?
Gdy zjawiliśmy się na konferencji Black Hat w Las Vegas, mieliśmy przygotowane 30 tys. płyt z testową Vistą [było to wydanie z lipca br. - red] - i zanim skończyła się konferencja, nie została nam żadna. Uczestnicy konferencji testowali system na różne sposoby - z naszej perspektywy ich wkład w prace nad systemem jest nie do przecenienia. To w końcu najlepsi specjaliści na świecie. Ale nie oznacza to, że znaleźli wiele problemów - liczba osób, które zgłosiły się później do nas i stwierdziły "Hej, znalazłem błąd" była raczej niewielka. Firma Secunia poinformowała niedawno o wykryciu luki w zabezpieczeniach przeglądarki Internet Explorer 7. Microsoftu oficjalnie odpowiedział, że nie jest to błąd - przedstawiciel pańskiej firmy oświadczył, że w tej konkretnej sytuacji aplikacja działała zgodnie z założeniami twórców - aczkolwiek przyznał też, że owa funkcja może zostać wykorzystana do przeprowadzenia ataku. Jakie jest pańskie stanowisko w tej sprawie?
Myślę, że wiele osób myli dwa pojęcia - luki w zabezpieczeniach programu oraz metody przeprowadzenia ataku. Nic dziwnego - bo rzeczywiście niekiedy te pojęcia mogą być tożsame. Jak nazwać oprogramowanie stworzone ściśle wedle pewnej specyfikacji, gdy okaże się, że owa specyfikacja zawierała błędy umożliwiające przeprowadzenie ataku? Jak mówiłem, problem jest złożony - oni mają własne zdanie, my mamy własne. Oczywiście szanuję ekspertów z Secunia - to, że mamy odmienną opinię na temat tego konkretnego problemu nie znaczy, że nie zamierzamy nic robić w tej sprawie. Już wcześniej zdarzało nam się zmieniać niektóre funkcje, gdy okazało się, że w nowych okolicznościach mogą one posłużyć do przeprowadzenia ataku. Zawsze musimy być gotowi na takie sytuacje.
Jak opisałby Pan stosunki pomiędzy Microsoftem a firmami i osobami zajmującymi się wykrywaniem i ujawnianiem błędów w oprogramowaniu?
To zależy - bo środowisko specjalistów do spraw bezpieczeństwa jest niewiarygodnie zróżnicowane. Oni wszyscy mają różne punkty widzenia i wyznają różne filozofie. Wiadomo, że z jednymi współpracuje nam się łatwiej, z innymi trudniej. Ale na pewno mogę powiedzieć, że nasze relacje są lepsze niż w przeszłości. Grupa ekspertów współpracujących z nami jest zdecydowanie większa niż kiedyś - choć są również osoby, które po wykryciu problemu bez informowania nas o tym publikują szczegółowe informacje o błędzie. Gdy mam okazję z nimi porozmawiać, pytam zawsze - "Czemu to robicie?". Zwykle słyszę wtedy "By chronić użytkowników" - tylko, że z mojej perspektywy to oni właśnie w ten sposób dają przestępcom do rąk narzędzia do przeprowadzania ataków na owych użytkowników. Ale - podsumowując - najważniejsze jest to, że rozmawiamy. Możemy się przecież od czasu do czasu nie zgadzać w dyskusji...