W pogoni za... bezpieczeństwem
- Daniel Cieślak,
- 27.12.2004, godz. 15:07
"Żadna firma na świecie nie jest w stanie zagwarantować, ze ich produkt jest całkowicie pozbawiony błędów. To - na poziomie dzisiejszej inżynierii oprogramowania - jest po prostu niewykonalne" - mówi w rozmowie z PCWK Online Andrzej Zaremba, odpowiedzialny w polskim oddziale Microsoft za inicjatywy związane z bezpieczeństwem produktów koncernu. Z A. Zarembą rozmawialiśmy również o Dniu Bezpiecznego Komputera, Centrum Bezpieczeństwa Microsoft i zabezpieczeniach typu 'zdrowy rozsądek'. Udało nam się też zdefiniować, czym jest 'bezpieczny system operacyjny' i znaleźć odpowiedź na pytanie, czy takim system jest Windows XP...
Andrzej Zaremba - Security Manager polskiego oddziału Microsoft
Zobacz również:
Zgadza się - przeprowadziliśmy wiele seminariów razem z naszymi partnerami - było na nich ponad 3000 specjalistów IT! Oprócz tego emitowaliśmy 'webcasty' poświęcone zagadnieniom bezpieczeństwa, które obejrzało ponad 2000 osób. W dniu 12 października przeprowadzono lekcje dotyczące bezpieczeństwa na 17 wyższych uczelniach i w ponad 150 szkołach podstawowych w całej Polsce. Wiele szkół aktywnie zachęcało i uczestniczyło w konkursie, jaki przygotowaliśmy dla uczniów szkół podstawowych i średnich - uczniowie musieli wykazać się tu własną inicjatywą i pomysłami, jak można propagować ten temat. Szkoły zareagowały również od strony swojej infrastruktury - nie tylko 'nauczały' młodzież, ale także przy okazji same zabezpieczały swoje sieci korzystając z promocji TP na podłączenie się do sieci Internet za złotówkę.
Czy inicjatywy, o których wspomniałem, to działania lokalne? Czy jest to może element jakiejś szerszej, międzynarodowej akcji?
Dzień Bezpiecznego Komputera to nasz polski odpowiednik paneuropejskiej akcji Microsoft pod nazwą "National Security Day". Każdy oddział ma prawo przygotować lokalne działania na swój sposób - jednak cel jest zawsze taki sam - poinformować i pomóc zabezpieczyć jak największą liczbę komputerów u naszych klientów. Polska jest 3 krajem w Europie - po Finlandii i Włoszech - w którym udało się zrealizować tę ideę. I bez skromności powiem, że na razie w Polsce udało nam się to zrobić na największą skalę i w najbardziej przemyślany sposób.
W jaki sposób DBK i CBM wpisują się w politykę "Trustworthy Computing"? Z tego, co pamiętam, przy 'odpalaniu' TWC mowa była o tym, że Microsoft skupia się teraz na sprawdzaniu pod kątem bezpieczeństwa istniejących produktów, a nie na tworzeniu nowych rozwiązań... A to nie jest do końca zgodne z tym, co Microsoft PL mówi o DBK i CBM...
Zachęcamy wszystkich do odwiedzania tematycznych wątków "Wszystkie dziury Microsoftu" oraz "SP2 - Windows XP wreszcie bezpieczny?"
Czy wiadomo już, jakie innowacje dotyczące bezpieczeństwa zaimplementowane zostaną do tworzonego właśnie Longhorna?
Przepraszam, ale wole nie wchodzić dokładnie w temat Longhorna. Jest to produkt, który planujemy wypuścić dopiero za dwa lata (rok 2006) i jego specyfikacja ciągle się zmienia. Wiadomo oczywiście że pracujemy nad nowym systemem plików i na współpracy systemu operacyjnego z funkcjami bezpieczeństwa, zaszytymi już w rdzeniu procesorów. Wolałbym nic więcej nie mówić, abym później - gdy będzie znana pełna specyfikacja - nie musiał czegoś odwoływać.
Jak zdefiniowałby Pan 'bezpieczny system operacyjny'?
No cóż - takie 'proste' pytania są zawsze najtrudniejsze w odpowiedzi. Można tu napisać cały elaborat, co takie określenie oznacza. Myślę jednak, ze mówiąc najprościej - to taki system, który w co najmniej 95% zastosowań zapewnia dopuszczalny stopień bezpieczeństwa. Nie da się napisać systemu bezpiecznego w 100%, tak jak nie da się zbudować sejfu, do którego nikt się nie włamie, czy szyfru, którego nikt nie złamie - zawsze jest to tylko kwestia dostępności środków i czasu. Jednak, tak jak przecież nie każdy ma w domu sejf, tak również nie każdy potrzebuje (choć na pewno by chciał!) w komputerze systemu, który będzie do złamania tylko przy wykorzystaniu olbrzymich nakładów środków i czasu. Taki system musiałby kosztować właśnie tyle samo: olbrzymie pieniądze. Jednak nasza firma jak i każdy inny producent systemów operacyjnych robi i będzie robiła wszystko, co w jej mocy aby system był maksymalnie odporny na te 95% ewentualnych ataków.
W jakim sensie Windows XP spełnia tę definicję?
Myślę, że Windows XP spełnia w sposób idealny tę definicje. Dzisiejsze ataki nie mają szans nastąpić, jeżeli system jest należycie skonfigurowany i uaktualniony. Jeżeli do tego dołoży się zabezpieczenia typu ściana ogniowa, czy system antywirusowy i oczywiście zabezpieczenie typu 'zdrowy rozsądek' (przez który rozumiem np. nie uruchamianie plików niepewnego pochodzenia), to myślę, że jesteśmy w stanie osiągnąć rzeczony poziom 95%. Trzeba tu jeszcze pamiętać o jednym - ze to właśnie nasze systemy są pod ciągłym obstrzałem - nikt nam nie ułatwia życia - w tym miejscu nasza konkurencja ma łatwiej.
Czas na trudne pytanie ;) Amerykańskie organizacje reprezentujące konsumentów od czasu do czasu zgłaszają pomysł, by producentów oprogramowania zobowiązać do pokrywania strat wynikających z błędów w ich oprogramowaniu (np. przestojów w pracy firm, spowodowanych atakami wirusów, wykorzystujących błędy w systemach). Jaka jest Pańska opinia o takim rozwiązaniu?
Według mnie to trochę szaleństwo. To tak, jakby producenta opon powoływać do odpowiedzialności za złapaną 'gumę' np. w drodze do pracy. Na jej wymianie tracimy czas pracy, a wiec narażamy się w ten sposób na dodatkowe koszty. Ale przecież wiadomo, że to nie producent opony jest winny temu wypadkowi, tylko ktoś kto nierozważnie lub wręcz specjalnie rozsypał gwoździe na szosie. Tak samo jest w wypadku wirusów - niebezpieczeństwo ma miejsce dlatego, ze ktoś SPECJALNIE nas atakuje. I oczywiście, że zawsze wykorzysta do tego najsłabszy punkt - jakim np. w samochodzie są opony. Dla mnie byłby to absurd, gdyby doszło do tego typu rozwiązań prawnych. Żadna firma na świecie nie jest w stanie zagwarantować, ze ich produkt jest całkowicie pozbawiony błędów. To - na poziomie dzisiejszej inżynierii oprogramowania - jest po prostu niewykonalne.
Bezpieczeństwo IDG.pl
Aplikacje, które ułatwią wam odpowiednie zabezpieczenie komputera w Sieci (w tym m.in. programy antywirusowe, antyspyware'owe oraz firewalle) znajdziecie w naszym serwisie Pliki.