Dojcsák Dániel
Microsoft: nem zárható ki a Windows Update további szigorítása
Egyre több szó esik hazánkban az IT biztonságról, de főként az antivírus cégek szólalnak meg a témában. Az elmúlt évek tendenciáit tekintve a Microsoft is felvállalt egy ilyen szerepet, gyakorlatilag saját hibái ellen védenek meg a Windows biztonsági alkalmazásai. Viszont a fejlődés nem csak itt látványos, hanem az újabb Windows verzióknál előforduló és felfedezett hibák számának csökkenésében. Többek közt ezekről kérdeztük Papp Istvánt, a Microsoft Hungary termékmenedzserét egy interjú keretében.
SG.hu: A Microsoft folyamatos célpontja a közvéleménynek és a vírustámadásoknak. Tűzoltó akció folyik vagy történt valami komolyabb trendváltás is a biztonsági mechanizmusban a Microsoft háza táján?
Papp István: Először is valóban elmondható, hogy a Microsoft munkát ad a biztonságtechnikai cégeknek. Ugyanakkor három éve történt egy paradigmaváltás, körülbelül a Blaster féreg kitörése idején. Arra a következtetésre jutottunk, hogy hiába tesz a Microsoft bármit, ha a felhasználó nem proaktív, ha nem tesz semmit a megelőzés érdekében. Ezt először is jobb felhasználói szoftver kifejlesztésével kellett megoldanunk, illetve az oktatás területére is komolyabban be kellett lépnünk, ahol a használatot és a telepítést is meg kellett tanítani. A legfontosabb fogalommá ezután már a biztonság vált, amit egy kommunikációs hadjárattal tudatosítottunk is az ügyfelekben.
Természetesen cégen belül is lépéseket kellett tenni. 12 000 fejlesztőnket küldtük el belső tréningre, ahol a biztonságosabb kód írásának folyamatát sajátíthatták el. Három lépésben képzeltük el a fejlődést. Először is a kódok revízióját kellett végrehajtani, majd második lépésben a javított kódok stressz tesztjét végeztük el, végül pedig teljesen új nézőpontból közelítettük meg az operációs rendszer és alkalmazásainak fejlesztését. A korábbival ellentétben az alacsony felhasználói tudatosságból indultunk ki. A biztonságos kódok mellett telepítéskor alapbeállításban induló biztonsági szolgáltatások az SP2 után váltak elérhetővé és folyamatosan fejlődnek. Ilyen a Windows tűzfal, a popup szűrő és az anti-spyware alkalmazás is.
A biztonsági kockázat csökkentése csak akkor lehetséges, ha először kiírtjuk az alapvető veszélyeket, majd alapbeállításként a "senki se ki, se be" elvet alkalmazzuk. Ezután az ügyfélnek kell beállítania minden alkalmazásra az engedélyt vagy tiltást. Régebben úgy működött a Windows biztonsági rendszere, mint egy biztonságos ház, amihez adunk egy kulcsot a felhasználónak, aki kinyithatja és bezárhatja azt. Az új rendszer pedig olyan, mintha nem lenne kilincs, a kulcs kinyitja az ajtót és azután vissza is záródik automatikusan.
A biztonság első helyre kerülése okán új fejlesztői erőforrásokra is szükségünk volt így felvásároltunk kisebb cégeket, akik most nekünk fejlesztik az antivírus és anti spyware funkciókat. Ezek miatt tehát az utóbbi években zajló folyamatainkat nem nevezném tűzoltó akciónak, hiszen mi voltunk az elsők, akik elismerték, hogy hibás a kódunk, viszont a sebezhetőségek száma folyamatosan csökken. Végül pedig a szakmai képzések mellett otthoni felhasználókat is igyekszünk oktatni.
SG.hu: Minden hónap második keddjén megjelenik a bulletin, néhány napon belül pedig az azt kihasználó új féregvírus vagy egyéb ártó kód. Hogyan lehetne felgyorsítani a javítások megjelenése és a vállalati/otthoni gépekre való telepítése közti időt? Elkerülhetőek-e a Zotobhoz hasonló komoly összeomlások?
Papp István: A probléma ott kezdődik, hogy sokak szerint az automatizált frissítéssel belenyúlnak a rendszerükbe, például akár a Windows Update-tel. Azt gondolják, hogy információ scannelés folyik ilyenkor. Ehhez képest csak azokat az adatokat kéri be a Microsoft ami kell a frissítéshez, mint mondjuk a már feltelepített modulok listája. Továbbra is azt tudom mondani, hogy képezni kell az ipart és az otthoni felhasználókat is. Mindig is azt mondtuk, hogy használjanak antivírus szoftvert is. Ráadásul szükségünk van az ügyfél interakciójára is, mert a Microsoft egyedül nem tud lépni, és mivel piacvezető, ezért az elterjedtségéből fakadóan őt támadják legtöbbször. A megelőzés elősegítése érdekében pedig támogatunk, sőt létrehoztunk több biztonságtechnikával foglalkozó projektet, mint az adathalászat ellen küzdő Anti-Phishing.org-ot.
SG.hu: Ezekhez képest hoz-e valamilyen forradalmi újítást a Windows Vista, vagy a viszonylag biztonságossá tett XP SP2 vonal újul csak meg?
Papp István: Egyértelműen az SP2-es vonal görgetődik, finomodik tovább. Az új verziós Internet Explorer, az új MSN mellett megjelenik majd egy anti-phishing funkció is. Illetve a jövőben is inkább a továbbfejlesztés lesz jellemző, nincs tervbe véve semmilyen teljesen új csomag.
SG.hu: Hogyan éli meg a Microsoft, hogy a zárt béta verziós Vista hamarabb került fel a p2p letöltő hálózatokba, minthogy a tesztelők nagy része megkapta volna azt? Esetleg jól is jöhet pár százezer önkéntes tesztelő a Microsoftnak?
Papp István: Természetesen ez egy minden szempontból rossz élmény a cégnek. Sajnálatos, hogy nem tudtuk megvédeni a termékünket, pedig a példányokat egyéni kódolású DRMS kóddal védték. A béta kiszabadulása a Microsoft részéről biztos, hogy nem volt tudatos, valamelyik tesztelő felhasználó bénasága vagy rosszindulata miatt történhetett. Az önjelölt tesztelőkkel pedig nem érünk semmit, hiszen egyrészt nem biztos, hogy jó szándékú a felhasználó, másrészt a hozzá nem értés miatt akár veszélybe is sodorhatja magát az instabil előzetes verziójú program miatt.
A kikerülés alapvetően két problémát okoz. Egyrészt támadható a Microsoft maga az eset miatt és a félkész programok alapján is. Másrészt a felhasználók amikor feltelepítik a Vista Bétát, akkor azt gondolják, hogy az valami jobb, biztonságosabb mint az XP SP2, pedig még nem az.
SG.hu: Hallhattunk híreket a Vista várható gépigényéről. Nem túlzás egy kicsit egy operációs rendszernek ekkora hardver éhség? Felmerülhet a kérdés, hogy a Microsoft is lepaktált a hardvergyártókkal a fejlődés érdekében?
Papp István: Egyelőre csak a béta gépigényét tudtuk nyilvánosságra hozni. Ez jelen körülmények között valóban ijesztő lehet, de ez csak előzetes hardverigény bejelentés. A programozók a megjelenésig folyamatosan optimalizálni fogják a kódot, ami javulást fog jelenteni, másrészt még egy év hátravan a hivatalos megjelenésig, addigra ez lehet az otthoni felhasználók átlagos konfigurációja.
A második kérdésre a válasz biztosan nem, hiszen nem az oprendszer nyomja fel a gépigényeket elsődlegesen, hanem a játékok. Akinek nem lesz még olyan teljesítményű gépe, mint amit Windows Vista igényelne, annak sem kell lemondania róla, hiszen skálázhatóvá tettük a rendszert és bizonyos látvány funkciók elhagyásával meredeken csökken a gépigény.
SG.hu: A Microsoftnak döntenie kell a legalizáció és a biztonság kérdése között. Melyikre voksolnak?
Papp István: Nyilván azt szeretnénk, hogy aki használja a terméket, az vegye is meg. Amennyiben nem érkezik pénz vissza a felhasználóktól, akkor a fejlesztés issza meg a levét, mert annak költségei óriási pénzeket emésztenek fel. Másrészt az elterjedtségünk miatt nem engedhetjük meg magunknak, hogy túlzottan szigorúak legyünk, de nem tartom kizártnak, hogy a Microsoft megteszi, hogy csak a legális kópiákkal lehet majd letölteni a biztonsági patcheket is. Lehet vádolni a Microsoftot, de ha valami nem működik, akkor az a felhasználó és a Microsoft hibája közösen.
SG.hu: A Microsoft folyamatos célpontja a közvéleménynek és a vírustámadásoknak. Tűzoltó akció folyik vagy történt valami komolyabb trendváltás is a biztonsági mechanizmusban a Microsoft háza táján?
Papp István: Először is valóban elmondható, hogy a Microsoft munkát ad a biztonságtechnikai cégeknek. Ugyanakkor három éve történt egy paradigmaváltás, körülbelül a Blaster féreg kitörése idején. Arra a következtetésre jutottunk, hogy hiába tesz a Microsoft bármit, ha a felhasználó nem proaktív, ha nem tesz semmit a megelőzés érdekében. Ezt először is jobb felhasználói szoftver kifejlesztésével kellett megoldanunk, illetve az oktatás területére is komolyabban be kellett lépnünk, ahol a használatot és a telepítést is meg kellett tanítani. A legfontosabb fogalommá ezután már a biztonság vált, amit egy kommunikációs hadjárattal tudatosítottunk is az ügyfelekben.
Természetesen cégen belül is lépéseket kellett tenni. 12 000 fejlesztőnket küldtük el belső tréningre, ahol a biztonságosabb kód írásának folyamatát sajátíthatták el. Három lépésben képzeltük el a fejlődést. Először is a kódok revízióját kellett végrehajtani, majd második lépésben a javított kódok stressz tesztjét végeztük el, végül pedig teljesen új nézőpontból közelítettük meg az operációs rendszer és alkalmazásainak fejlesztését. A korábbival ellentétben az alacsony felhasználói tudatosságból indultunk ki. A biztonságos kódok mellett telepítéskor alapbeállításban induló biztonsági szolgáltatások az SP2 után váltak elérhetővé és folyamatosan fejlődnek. Ilyen a Windows tűzfal, a popup szűrő és az anti-spyware alkalmazás is.
A biztonsági kockázat csökkentése csak akkor lehetséges, ha először kiírtjuk az alapvető veszélyeket, majd alapbeállításként a "senki se ki, se be" elvet alkalmazzuk. Ezután az ügyfélnek kell beállítania minden alkalmazásra az engedélyt vagy tiltást. Régebben úgy működött a Windows biztonsági rendszere, mint egy biztonságos ház, amihez adunk egy kulcsot a felhasználónak, aki kinyithatja és bezárhatja azt. Az új rendszer pedig olyan, mintha nem lenne kilincs, a kulcs kinyitja az ajtót és azután vissza is záródik automatikusan.
A biztonság első helyre kerülése okán új fejlesztői erőforrásokra is szükségünk volt így felvásároltunk kisebb cégeket, akik most nekünk fejlesztik az antivírus és anti spyware funkciókat. Ezek miatt tehát az utóbbi években zajló folyamatainkat nem nevezném tűzoltó akciónak, hiszen mi voltunk az elsők, akik elismerték, hogy hibás a kódunk, viszont a sebezhetőségek száma folyamatosan csökken. Végül pedig a szakmai képzések mellett otthoni felhasználókat is igyekszünk oktatni.
SG.hu: Minden hónap második keddjén megjelenik a bulletin, néhány napon belül pedig az azt kihasználó új féregvírus vagy egyéb ártó kód. Hogyan lehetne felgyorsítani a javítások megjelenése és a vállalati/otthoni gépekre való telepítése közti időt? Elkerülhetőek-e a Zotobhoz hasonló komoly összeomlások?
Papp István: A probléma ott kezdődik, hogy sokak szerint az automatizált frissítéssel belenyúlnak a rendszerükbe, például akár a Windows Update-tel. Azt gondolják, hogy információ scannelés folyik ilyenkor. Ehhez képest csak azokat az adatokat kéri be a Microsoft ami kell a frissítéshez, mint mondjuk a már feltelepített modulok listája. Továbbra is azt tudom mondani, hogy képezni kell az ipart és az otthoni felhasználókat is. Mindig is azt mondtuk, hogy használjanak antivírus szoftvert is. Ráadásul szükségünk van az ügyfél interakciójára is, mert a Microsoft egyedül nem tud lépni, és mivel piacvezető, ezért az elterjedtségéből fakadóan őt támadják legtöbbször. A megelőzés elősegítése érdekében pedig támogatunk, sőt létrehoztunk több biztonságtechnikával foglalkozó projektet, mint az adathalászat ellen küzdő Anti-Phishing.org-ot.
SG.hu: Ezekhez képest hoz-e valamilyen forradalmi újítást a Windows Vista, vagy a viszonylag biztonságossá tett XP SP2 vonal újul csak meg?
Papp István: Egyértelműen az SP2-es vonal görgetődik, finomodik tovább. Az új verziós Internet Explorer, az új MSN mellett megjelenik majd egy anti-phishing funkció is. Illetve a jövőben is inkább a továbbfejlesztés lesz jellemző, nincs tervbe véve semmilyen teljesen új csomag.
SG.hu: Hogyan éli meg a Microsoft, hogy a zárt béta verziós Vista hamarabb került fel a p2p letöltő hálózatokba, minthogy a tesztelők nagy része megkapta volna azt? Esetleg jól is jöhet pár százezer önkéntes tesztelő a Microsoftnak?
Papp István: Természetesen ez egy minden szempontból rossz élmény a cégnek. Sajnálatos, hogy nem tudtuk megvédeni a termékünket, pedig a példányokat egyéni kódolású DRMS kóddal védték. A béta kiszabadulása a Microsoft részéről biztos, hogy nem volt tudatos, valamelyik tesztelő felhasználó bénasága vagy rosszindulata miatt történhetett. Az önjelölt tesztelőkkel pedig nem érünk semmit, hiszen egyrészt nem biztos, hogy jó szándékú a felhasználó, másrészt a hozzá nem értés miatt akár veszélybe is sodorhatja magát az instabil előzetes verziójú program miatt.
A kikerülés alapvetően két problémát okoz. Egyrészt támadható a Microsoft maga az eset miatt és a félkész programok alapján is. Másrészt a felhasználók amikor feltelepítik a Vista Bétát, akkor azt gondolják, hogy az valami jobb, biztonságosabb mint az XP SP2, pedig még nem az.
SG.hu: Hallhattunk híreket a Vista várható gépigényéről. Nem túlzás egy kicsit egy operációs rendszernek ekkora hardver éhség? Felmerülhet a kérdés, hogy a Microsoft is lepaktált a hardvergyártókkal a fejlődés érdekében?
Papp István: Egyelőre csak a béta gépigényét tudtuk nyilvánosságra hozni. Ez jelen körülmények között valóban ijesztő lehet, de ez csak előzetes hardverigény bejelentés. A programozók a megjelenésig folyamatosan optimalizálni fogják a kódot, ami javulást fog jelenteni, másrészt még egy év hátravan a hivatalos megjelenésig, addigra ez lehet az otthoni felhasználók átlagos konfigurációja.
A második kérdésre a válasz biztosan nem, hiszen nem az oprendszer nyomja fel a gépigényeket elsődlegesen, hanem a játékok. Akinek nem lesz még olyan teljesítményű gépe, mint amit Windows Vista igényelne, annak sem kell lemondania róla, hiszen skálázhatóvá tettük a rendszert és bizonyos látvány funkciók elhagyásával meredeken csökken a gépigény.
SG.hu: A Microsoftnak döntenie kell a legalizáció és a biztonság kérdése között. Melyikre voksolnak?
Papp István: Nyilván azt szeretnénk, hogy aki használja a terméket, az vegye is meg. Amennyiben nem érkezik pénz vissza a felhasználóktól, akkor a fejlesztés issza meg a levét, mert annak költségei óriási pénzeket emésztenek fel. Másrészt az elterjedtségünk miatt nem engedhetjük meg magunknak, hogy túlzottan szigorúak legyünk, de nem tartom kizártnak, hogy a Microsoft megteszi, hogy csak a legális kópiákkal lehet majd letölteni a biztonsági patcheket is. Lehet vádolni a Microsoftot, de ha valami nem működik, akkor az a felhasználó és a Microsoft hibája közösen.