Trustworthy Computing - Első a biztonság

Az 1990-es évek gazdasági növekedését megalapozó termelékenységjavulást nagyrészt a számítógépeknek köszönhetjük. Egyre több vállalat vezet be informatikai rendszereket, hogy növelje termelékenységét, automatizálja üzleti folyamatait, és szolgáltatásai magasabb minőség és kedvezőbb ár mellett több ügyfélhez jussanak el. Ezek az információs rendszerek egyre növekvő mértékben integrálják az internetet és a magánhálózatokat, miközben összekötik a vállalkozásokat az alkalmazottakkal, a fogyasztókkal és az üzleti partnerekkel. Miközben az internet - a partnerekkel, szállítókkal és ügyfelekkel való, korábban elérhetetlenül magas szintű integrációs lehetőségek által - elképesztően nagy értéket képvisel a vállalkozásoknál, egyben újfajta támadások számára is elérhetővé teszi őket. A biztonság fontosságának hangsúlyozása ellenére a közelmúlt eseményei rámutattak a Microsoft termékek bizonyos gyengeségeire, biztonságos bevezetésük nehézségeire, illetve a fenyegetések kifinomultabbá válását követő üzemeltetésük problémáira.

Támadási pontok

A termékek sebezhető pontjait az elmúlt időszakban három ok miatt tudták támadni. A védelmi vonalak elmosódtak, képlékenyek lettek: amikor értékes adatokat csak néhány nagygépen tároltak, és ezeket csak viszonylag kevés felhasználó tudta elérni, a helyi hálózatra támaszkodva gyakorlatilag megfelelő védelmet lehetett kiépíteni. Merőben más a helyzet napjainkban, hiszen a bizalmas és értékes adatokat széles körben terjesztjük, és a felhasználók a vállalati magánhálózaton belülről és kívülről egyaránt elérhetik őket. Újfajta fenyegetések jelentek meg. Azok a tervezők, akik lefektették a jelenlegi rendszerek és hálózatok alapjait, még csak nem is gondolhattak a biztonsági kutatók és betörők által kidolgozott újszerű támadási módszerekre. A Perl és a web alapú parancsnyelvek széles körű használata a webkiszolgálókon például lehetővé tette a betörők számára az ezekben a nyelvekben rejtőző hibák kihasználását - olyasfajta veszély ez, ami néhány éve fel sem merülhetett.

Több a potenciális támadó. Több számítógép, több internetkapcsolat, kifinomultabb, automatikus betörőprogramok - kevesebb erőfeszítéssel is egyre több lehetőség kínálkozik a betörők számára. A sikeres támadásokra irányuló figyelem újabb támadásokra késztet. Emellett egy adott célpont adatainak ellopása vagy működésének akadályozása kifizetődő tevékenység, a lebukás veszélye pedig kicsi, a számítógépes támadások tehát vonzó tevékenységi területet jelentenek.

A felhasználók természetesen biztonságosabb termékeket várnak. A betörések jelentős anyagi veszteséget okoznak - bár roppant nehéz meghatározni a betörések által okozott kárt, mivel a legtöbb vállalat nem számol be a támadásokról. A Computer Security Institute és az FBI azonban minden évben készít egy számítógépes bűnözéssel és biztonsággal kapcsolatos felmérést, amelynek eredménye szerint 2001-ben 377 millió dollárt tett ki az így okozott anyagi kár. A válaszadók 94 százaléka számolt be vírusfertőzésről, 40 százalékuk pedig kívülről történő behatolást észlelt a rendszerbe vagy a hálózatba. A Microsoft általános sebezhetősége a Security Focus Bugtraq adatai szerint versenytársaiéval összevethető szintű maradt (John McCormicknak a TechRepublic által 2001. szeptember 24-én közölt összefoglalója szerint). Mivel termékeit széles körben használják, a Microsoftnak javítania kell teljesítményén.

Alapok, vagyis mi-micsoda

A rugalmas műszaki megoldások alapvető fontosságúak a biztonságos számítástechnikai környezet kiépítéséhez, de a technológia önmagában nem képes elhárítani a folyamatosan fejlődő fenyegetéseket. A Microsoft sokáig csak mérnöki szempontból közelített a biztonság kérdésköréhez, illetve a biztonsági szolgáltatásokat igyekezett bővíteni, ám erőfeszítései nem érték el céljukat. A felhasználóknak ugyanis azonnali segítséget kell nyújtani a folyamatosan fejlődő fenyegetések elleni védekezésben.

A megbízható számítástechnikai környezet négy alappilléren nyugszik:
- megbízhatóság: a számítógépes rendszerre támaszkodni lehet, szükség esetén elérhető, és az elvárt és megfelelő szintű teljesítményt nyújtja
- biztonság: a rendszer ellenálló a támadásokkal szemben, illetve a rendszer és az adatok bizalmassága, integritása és rendelkezésre állása megfelelő védelmet élvez
- adatvédelem: az egyének fenntarthatják ellenőrzésüket a személyükkel kapcsolatos adatok felett, és ezeknek az adatoknak a felhasználása teljes mértékben megfelel a tisztességes adatkezelés szabályainak
- üzleti integritás: az iparág vállalatai felelősséggel tartoznak saját felhasználóikért, és kötelesek folyamatosan kapcsolatban maradni velük, segíteni őket abban, hogy megfelelő megoldást találjanak üzleti problémáikra, illetve a termékekkel és szolgáltatásokkal kapcsolatos kérdéseikre.