Microsoft: ISP nie mogą być strażnikami Internetu

Scott Charney - wiceprezes Microsoftu ds. bezpieczeństwa - oświadczył podczas konferencji RSA, że dostawcy usług internetowych nie mogą pełnić funkcji "strażników Internetu" i wymuszać na użytkownikach aktualizowania systemu i instalowania antywirusów. Informacja ta jest o tyle ciekawa, że jeszcze rok temu wprowadzenie takiego systemu postulował... sam Charney.

"Podczas ubiegłorocznej edycji RSA Conference powiedziałem, że dostawcy Internetu być może powinni wziąć na swoje barki dbanie o bezpieczeństwo i egzekwować od użytkowników instalowanie poprawek, a w skrajnych sytuacjach nawet tymczasowo odcinać ich od Sieci, w ramach kwarantanny. Ale w ciągu ostatnich 12 miesięcy dużo o tym myślałem i zmieniłem zdanie. Uświadomiłem sobie, że takie rozwiązanie ma wiele słabych punktów" - mówił Scott Charney.

Zbyt duże ryzyko?

Wiceprezes Microsoftu stwierdził m.in., że wiele osób mogłoby uznać zdalne skanowanie ich komputerów pod kątem zagrożeń za naruszenie prywatności. Co więcej - wiele osób zrezygnowało z korzystania z telefonu na rzecz technologii VoIP, więc tymczasowe odcięcie ich od Sieci wiązałoby się z pozbawieniem ich możliwości komunikowania się. "Możemy sobie wyobrazić scenariusz, w którym ktoś ma atak serca i ktoś z domowników próbuje zadzwonić na numer alarmowy. A wtedy na ekranie komputera pojawia się komunikat, że dostęp do Internetu będzie zablokowany dopóki użytkownik nie zainstaluje pięciu poprawek i nie zrestartuje komputera. Do takiej sytuacji nie możemy dopuścić" - tłumaczył Charney.

Ale najpoważniejszym problemem i tak byłyby koszty - bo stworzenie kompleksowego systemu monitorowania i odcinania komputerów od Sieci jest bardzo drogim przedsięwzięciem. Niektórzy dostawcy Internetu wdrożyli już w swojej infrastrukturze takie rozwiązania - ale to był ich wybór. Zmuszanie wszystkich ISP do takich inwestycji byłoby zdaniem Charney'a nieuczciwe.

Niektóre firmy wdrożyły już systemy podobne do tych, które rok temu proponował szef działu bezpieczeństwa Microsoftu - amerykański ISP Comcast prowadzi np. program Constant Guard, w ramach którego klienci są informowani, że ich komputery stanowią zagrożenie dla innych użytkowników (np. z uwagi na złośliwe oprogramowanie lub brak aktualizacji).

"Odcinanie "zarażonych" komputerów od Internetu jest dla dostawców zbyt ryzykowanym rozwiązaniem. Głównie dlatego, że niezadowolony z takiej decyzji klient mógłby po prostu zrezygnować z usług danej firmy - a takiego ryzyka żaden ISP nie zechce podjąć" - tłumaczy Craig Labovitz, główny naukowiec z firmy Arbor Networks (specjalizującej się m.in. w bezpieczeństwie internetowym).

Labovitz dodał też, że nawet wdrożenie restrykcyjnego programu w kształcie zaproponowanym przed rokiem przez Scotta Charney'a nie rozwiązałoby w 100% problemu złośliwego oprogramowania i ataków hakerskich. W ostatnich miesiącach coraz częściej pojawiają się szkodliwe programy wykorzystujące do infekowania komputerów tzw. luki zero-day (błędy ujawniane zanim producent przygotuje stosowną łatkę). Takie wirusy czy trojany są w stanie skutecznie infekować komputery, których oprogramowanie jest w 100% uaktualnione.

Informatyczna wersja WHO?

Scott Charney w czasie swojego wystąpienia na RSA zaproponował m.in. stworzenie globalnej organizacji zajmującej się bezpieczeństwem informatycznym: "Może firmy działające w branży IT powinny zorganizować się na wzór Światowej Organizacji Zdrowia i wspólnie pracować nad nowymi rozwiązaniami z zakresu ochrony przed złośliwym oprogramowaniem?" - zastanawiał się przedstawiciel Microsoftu.

Innym pomysłem jest stworzenie systemu certyfikatów, potwierdzających bezpieczeństwo komputerów zwykłych użytkowników (dokument taki potwierdzałby np. że urządzenie ma w pełni zaktualizowany system operacyjny oraz zainstalowane oprogramowanie antywirusowe).

Korzystanie z takiego certyfikatu nie byłoby obligatoryjne - ale niektóre instytucje czy serwisy mogłyby go wymagać od użytkowników chcących skorzystać z ich usług (mogłoby to dotyczyć np. e-banków). "W tym modelu o wszystkim decydowałby użytkownik - w każdej chwili mógłby on powiedzieć: nie, nie chcę się z nikim dzielić informacjami o moim komputerze" - podsumował Charney.


Zobacz również