Microsoft

Działania Microsoft



Ciekawostki | Dvd,Mp3 | Ebiznes | Gry komputerowe | Internet | Kościół i Internet | Oprogramowanie | Sprzęt |

Microsoft

Programy firmy Microsoft są łatwe w użyciu oraz bardzo popularne ale wyprodukowała je firma, którą użytkownicy komputerów uwielbiają... nienawidzić. To wystarczy aby stały się celem ataków.

Microsoft ma ostatnio naprawdę złą prasę jeśli chodzi o kwestie bezpieczeństwa produkowanego przez firmę oprogramowania. Produkty takie jak Explorer, Office, czy wreszcie same systemy operacyjne z rodziny Windows, określa się, delikatnie rzecz ujmując jako nie najlepiej zabezpieczone. Nawet armia USA musiała przenieść swoją stronę WWW po tym jak włamano się do ich serwera pracującego pod kontrolą Windows NT. Czy oznacza to, że systemy Microsoft są mniej bezpieczne, niż oprogramowanie innych firm?

"Nasze oprogramowanie wcale nie jest gorsze od produktów konkurencyjnych w kwestii zabezpieczeń. To pozycja lidera sprawia, iż systemy Microsoft są częściej narażone na ataki ze strony hackerów, a każda próba zakończona sukcesem jest szeroko nagłaśniana" - tak przynajmniej twierdzi Scott Culp, odpowiedzialny za bezpieczeństwo systemu Windows NT Server.

Produktów giganta z Redmont używa wprost niezliczona rzesza ludzi na całym świecie. Hackerzy mają zatem duże pole do popisu i znaczne szanse natknięcia się na ewentualne nieszczelności w zabezpieczeniach tych systemów. Jednak wielu ekspertów sądzi, że hegemonia rynkowa Microsoftu nie jest główną przyczyną problemu. "To zrozumiałe, że oprogramowanie z rodziny Windows przyciąga tyle uwagi, ale z drugiej strony, system ten ma naprawdę marne zabezpieczenia" - uważa Bruce Schnaider, autor książki "Kryptografia stosowana".

Pojawiały się głosy sugerujące, że słabość Microsoftu w tej dziedzinie wynika z faktu, że Windows zbyt szybko ewoluował z prostego systemu operacyjnego do zaawansowanego środowiska sieciowego. "Windows to oprogramowanie dla komputerów biurkowych, które nigdy nie powinno stać się architekturą sieciową" - mówi Jeff Tarter, wydawca magazynu Softletter. Microsoft ripostuje, twierdząc, że Windows NT i 2000 to już zupełnie co innego. Systemy te były tworzone od podstaw z przeznaczeniem na rynek korporacyjny, a funkcje zabezpieczeń odgrywają w nich kluczową rolę. Sceptycy sądzą jednak, że system Windows nigdy nie był projektowany z myślą o bezpieczeństwie. Programiści zajmowali się tym później. Niekiedy... zbyt późno...

Szczególnie niebezpieczne

Na przestrzeni 1999 r. Microsoft i użytkownicy systemów firmy, wielokrotnie nękani byli doniesieniami o wykryciu kolejnych dziur w "powłoce ochronnej" wielu programów. Pierwsze miesiące przynosiły przede wszystkim informację o makrowirusach pakietu Office - najbardziej znane z nich to Melisa i Ethan. W następnych miesiącach było bardzo głośno o niebezpiecznym wirusie CIH, który potrafił doprowadzić nawet do uszkodzenia płyty głównej komputera. W maju bieżącego roku doniesiono o wykryciu błędów w systemie Internet Information Server, dzięki którym co zdolniejsi hackerzy mogli uzyskać zdalny dostęp do ważnych plików serwera. W czerwcu, tysiące użytkowników zostało zaatakowanych przez rozprzestrzeniający się pocztą elektroniczną wirus ExploreZip. Infekcja groziła skasowaniem plików pakietu Office umieszczonych na dyskach lokalnych oraz sieciowych we wszystkich zarażonych komputerach.

W następnych miesiącach hackerzy odkrywali kolejne furtki, którymi można było obejść systemy zabezpieczeń wprowadzone w oprogramowaniu Microsoftu. Ostatnio chyba najwięcej mówi się o "dziurach" w przeglądarce Internet Explorer, a szczególnie o funkcjach automatycznego logowania, uruchamiania skryptów, czy pobierania z sieci zdradliwych kontrolek ActiveX.

Na podstawie obserwacji ekspertom udało się wreszcie zebrać oraz przeanalizować czynniki mające wpływ na zabezpieczenia programów Microsoft’u. Należą do nich :

- stosowanie technologii COM (Common Object Model), do której należą szczególnie niebezpieczne kontrolki ActiveX
- używanie kodu wykonywalnego w plikach danych (np. makra)
- ścisła integracja różnych aplikacji
- ukryte funkcje API (np. koń trojański Back Orfice w całości został napisany w oparciu o specyfikację API).

Microsoft odpiera zarzuty i broni swojej strategii, nie wierząc aby uczynienie programów całkowicie niezgodnymi ze sobą, mogło przyczynić się do zwiększenia bezpieczeństwa. Poza tym w Office 2000 wprowadzono już funkcję umożliwiającą zablokowanie makr, uruchamianie tylko tych, które opatrzone są cyfrowym podpisem, lub tych które pochodzą z wiarygodnego źródła".

Polityka obronna

Wydaje się, że Microsoft zaczął przykładać większą wagę do problemu bezpieczeństwa. Przyczynił się do tego zapewne wzrost świadomości samych użytkowników, co do ważkości tego zagadnienia. Media prawie każdego dnia donoszą o potencjalnych zagrożeniach ze strony hackerów czy też o ich spektakularnych sukcesach w obnażaniu słabości zabezpieczeń pochodzących z Redmond systemów.

Microsoft zatrudnia obecnie ponad 200 pracowników (na pełnym etacie), których jedynym zadaniem jest śledzenie doniesień ze świata na temat "dziur" wykrytych w tworzonym przez firmę oprogramowaniu. Koncern wydaje specjalny biuletyn elektroniczny poświęcony w całości bezpieczeństwu, który rozsyłany do jest wszystkich zainteresowanych. Windows 2000 Serwer został udostępniony do testowania online. Firma wręcz zachęca hackerów, aby spróbowali się do niego włamać.

"Dokładnie analizujemy wszelkie uwagi oraz pytania użytkowników. Z blisko 10 tysięcy zgłoszonych w ciągu ostatnich lat kwestii, tylko ok. 30 okazało się istotnymi problemami takimi, które wymagały poprawek programistycznych. W ciągu ostatnich 12 miesięcy stworzono już 45 tego typu łat." - mówi Scot Culp.

Przyznać należy, że faktycznie czas reakcji firmy Microsoft na zaistniały problem, znacznie się poprawił. Na przykład odpowiednia łatka ("patch") do systemu Internet Information Server pojawiła się już w 4 dni po wykryciu błędu w jego zabezpieczeniach.

Czy polityka obrana przez Microsoft jest słuszna ?

Pomimo wielu sceptycznych głosów, prawdopodobnie tak. Zdaniem Scota Culpa klienci oczekują przede wszystkim łatwości użytkowania, a więc dużej integracji aplikacji oraz maksymalnego zautomatyzowania funkcji systemu. Być może przyczynia się to do pewnego obniżenia poziomu bezpieczeństwa, jednak w większości jest to wybór świadomy.

Windows 2000 i przyszłe systemy przyniosą rozwiązania, które umożliwią lepsze zarządzanie "automatyką" systemu. Można będzie ograniczyć działanie lub wyłączyć niebezpieczne funkcje związane z ActiveX, makrodefinicjami, wzajemnym uruchamianiem się programów z pakietu Office, itp.

Czy działania te coś zmienią? Z pewnością wpłyną na ogólny poziom zabezpieczeń, lecz nazwa "Microsoft" będzie nadal działała na hackerów jak płachta na byka.

Jarosław Ochab

opr. JU/PO

« 1 »
oceń artykuł Pobieranie..

reklama

reklama

reklama

reklama