Két évvel ezelőtt hirdette meg a Microsoft Megbízható számítástechnika (Trustworthy Computing, TwC) kezdeményezését. A program részeként felülvizsgálták a teljes redmondi szoftverarzenált, új belső minőségbiztosítási rendszert vezettek be és felkészítették fejlesztőiket (világszinten nyolcezer embert) a magasabb követelmények teljesítésére. A redmondi vezérkar még azt is vállalta, hogy legfrissebb termékeik, a Windows 2003-as verziója, valamint a nemrég megjelent új Office piaci bevezetése hat-nyolc hónapot csússzon azért, hogy a szoftverek a lehető legmegbízhatóbbak legyenek.
A TwC a kódok kidolgozásának szintjéig érinti a szoftverek tervezését – tudtuk meg Papp Istvántól, a Microsoft Hungary termékmarketing-menedzserétől. Például a termékek komponenseinek fejlesztőcsoportjai fenyegetésmodelleket eszelnek ki és ezekkel bombázzák a blokkot, hogy teszteljék annak ellenálló képességét. A fejlesztési folyamat minőségbiztosításának részeként egyebek mellett meghatározott biztonsági tervezési és kódstandardokat alkalmaznak, eszközöket építenek be a kódhibák kiküszöbölésére, folyamatosan figyelik az új támadási technikákat és kidolgozzák azok ellenszerét. A szoftverek kibocsátását biztonsági audit előzi meg, amelyben vizsgálják az új termék ellenállását a legújabb fenyegetésekkel szemben, illetve belső és külső szakértőket kérnek fel a megbízhatósági tesztelésre.
A fejlesztések eredményeként olyan képességek épültek be az új Microsoft-szoftverekbe, mint például a biztonságos adatmentés, amellyel pillanatfelvétel készíthető a programok aktuális adatállományáról (ez nem helyettesíti a biztonsági mentéseket), vagy a vírusvédelmi hozzáférés biztosítása, amelynek révén a nagy vírusirtó cégek integrálhatják megoldásaikat a programokhoz. Intelligens spamszűrőket is kifejlesztettek, amelyek egyebek mellett meggátolják a belső vállalati levelezési listák kikerülését az internetre, illetve automatikusan kiszűrik a spammerek webes „feketelistáján” szereplő feladók üzeneteit. A beépített digitális tartalomvédelem segítségével a felhasználó kulccsal láthatja el dokumentumait, amellyel korlátozhatja a címzettek körét és jogait (például lehetővé teheti a szöveg elolvasását, de megtilthatja bármiféle másolását, továbbküldését), valamint a dokumentum élettartamát. Talán a TwC egyik legegyszerűbb, mégis nagyon fontos újítása, hogy a Microsoft megváltoztatta telepítésre váró programjai alapbeállításait (default). Leegyszerűsítve úgy fogalmazhatnánk, hogy korábban minden kapcsolódási – például internet-hozzáférési – lehetőség, illetve tűzfalbeállítás nyitott állapotban volt a frissen installált szoftveren. Az új szoftverekben az alapszintű biztonságot veszélyeztető összes szolgáltatás zárva van – azaz amit a felhasználó nem nyit ki, az csukva marad.
Mint Papp Istvántól megtudtuk, a Megbízható számítástechnika kezdeményezés eredményeként idén eddig körülbelül negyven biztonsági hibabejelentés történt, ami körülbelül negyede a korábbi értéknek. A redmondiak statisztikája szerint míg a Windows 2000-rel kapcsolatban a termék piacra kerülése utáni 150 napban 17 fontos sebezhető pontra derült fény, addig a TwC elindítása után piacra került Windows Server 2003-mal kapcsolatban ugyanilyen időtávon csak négy hasonló hibát fedeztek fel.
A Microsoft azonban kevesli az elért eredményeket, ezért jelentette be október elején Steve Ballmer, a cég vezérigazgatója Security Mobilization kezdeményezésüket. Ennek lényege, hogy a szoftverek teljes életciklusára biztosítsák azok ellenálló képességét a technológia fejlődéséből fakadó újabb kihívásokkal szemben. Csökkenni fog a javítások miatti állásidő – harminc százalékkal kevesebb újraindításra lesz szükség –, valamint többlépcsős oktatási program indul, amely a weben elérhető információk mellett külön megcélozza a vállalati informatikusokat és a Microsoft-partnereket is. A Windows XP-hez készülő biztonsági fejlesztések a négy leggyakoribb veszélyre koncentrálnak: a portokhoz kötődő, illetve az e-mail-es támadásokra, a rosszindulatú webes tartalmakra, valamint a puffertúlcsordulásra.
Keretes:
A Security Mobilization kezdeményezés része, hogy a Microsoft meghosszabbította több programja – például a Windows NT – biztonsági támogatását. Ekképpen az érintett szoftverekhez 2004 júniusáig bocsát ki biztonsági javításokat a társaság.
