Microsoft Trustworthy Computing

Problemy związane z bezpieczeństwem to najważniejsze wyzwanie dla każdego, kto korzysta ze współczesnych systemów informatycznych. Zagrożenia mogą pochodzić z tak wielu źródeł, że przeciętny użytkownik nie zabezpieczy się przed nimi samodzielnie i skutecznie.

Problemy związane z bezpieczeństwem to najważniejsze wyzwanie dla każdego, kto korzysta ze współczesnych systemów informatycznych. Zagrożenia mogą pochodzić z tak wielu źródeł, że przeciętny użytkownik nie zabezpieczy się przed nimi samodzielnie i skutecznie.

Internet Explorer 6 - informacja o zablokowaniu cookies, które naruszały poufność danych.

Internet Explorer 6 - informacja o zablokowaniu cookies, które naruszały poufność danych.

Żaden użytkownik bez pomocy producenta oprogramowania nie zapewni bezpieczeństwa swojemu systemowi operacyjnemu i aplikacjom. Rozpowszechnienie się Internetu oraz zaawansowanych przenośnych urządzeń, takich jak palmtopy, handheldy, a także telefony komórkowe, przyczyniło się do zmiany oblicza komputerowego przetwarzania danych i komunikacji. Korzyściom z intensywnej komunikacji towarzyszą jednak nowe zagrożenia, występujące na skalę, której nikt nie mógł przewidzieć. Nasze życie coraz bardziej uzależnione jest od komputera - nawet jeśli go nie używasz albo używasz jedynie do rozrywki, i tak wspomniany problem cię dotyczy. Twoje dane przechowywane są w wielu bazach danych, prowadzonych przez urzędy państwowe, samorządowe i firmy prywatne. Masz ograniczone możliwości sprawdzenia, czy kwalifikacje administratorów i warunki techniczne oraz organizacyjne zapewniają bezpieczeństwo tych informacji. Dlatego tak ważne są wszelkie wysiłki producentów oprogramowania, związane z wbudowaniem domyślnych mechanizmów zabezpieczeń. Dodatkowym impulsem stały się wydarzenia z 11 września 2001 roku i wzrost zagrożenia atakami terrorystycznymi także systemów informatycznych. Jedną z najnowszych inicjatyw jest TWC, czyli Trustworthy Computing (co w wolnym tłumaczeniu oznacza "informatyka godna zaufania" lub "wiarygodne technologie komputerowe"), ogłoszona przez Microsoft w zeszłym roku. Warto zapoznać się z tą inicjatywą, ponieważ według jej zasad będą tworzone nowe wersje najpopularniejszych programów i systemów operacyjnych na świecie.

Indywidualizacja ustawień dotyczących prywatności w Windows Media Player 9 Series.

Indywidualizacja ustawień dotyczących prywatności w Windows Media Player 9 Series.

Microsoft utworzył TWC w związku z problemami dotyczącymi bezpieczeństwa jego produktów. Wszelkie dziury w zabezpieczeniach systemów operacyjnych i programów Microsoftu stają się natychmiast tematem dnia wszystkich serwisów zajmujących się bezpieczeństwem. Po bliższej analizie okazuje się jednak, że liczba tzw. bugów i dziur bezpieczeństwa w produktach tej firmy - zwłaszcza w Windows - nie odbiega znacząco od znajdowanych w innych systemach operacyjnych. Jednak Windows jest najbardziej rozpowszechniony i dlatego takie błędy stają się bardzo głośne i stwarzają masowe zagrożenie. Podobnie jest z pakietem Office i przeglądarką Internet Explorer.

Trustworthy Computing - o co chodzi?

Koncepcja Trustworthy Computing (TWC), czyli optymalnej, bezpiecznej platformy komputerowej, opiera się na czterech filarach: bezpieczeństwie, poufności informacji, niezawodności i wiarygodności przedsiębiorstwa. Microsoft zdefiniował je następująco:

Bezpieczeństwo

Systemy muszą mieć zabezpieczenia ułatwiające ochronę przed atakami sieciowymi. Bezpieczeństwo systemu oznacza odporność na ataki sieciowe, a także ochronę poufności informacji oraz integralność i dostępność systemu i danych.

Poufność informacji

Użytkownicy powinni mieć wpływ na bezpieczeństwo i wykorzystanie dotyczących ich danych oraz na weryfikację zgodności procesów gromadzenia, nadzoru i wykorzystania danych z zasadami rzetelnego przetwarzania informacji.

Niezawodność

Jest to niezbędna gwarancja dostępności funkcji związanych z systemem i programami. Niezawodność oznacza tutaj eliminację usterek, nieprzerwaną dostępność systemu komputerowego i wydajne funkcjonowanie zgodnie z oczekiwaniami.

Wiarygodność dostawcy oprogramowania (firmy Microsoft)

Microsoft chce projektem TWC przekonać użytkowników i klientów, że jest godnym zaufania partnerem w sprawach bezpieczeństwa.

Nowa funkcja Windows XP - przywracanie systemu.

Nowa funkcja Windows XP - przywracanie systemu.

Realizacja tak ambitnych założeń to, oczywiście, zadanie skomplikowane od strony technicznej - na Windows czy Office składają się miliony wierszy kodu źródłowego. Dokładne przejrzenie go i przerobienie na bezpieczny jest niemożliwe. Zresztą zabezpieczanie wykorzystywanego już kodu źródłowego przypomina pracę strażaka - trzeba stale gasić pożary, które pojawiają się w różnych, nieoczekiwanych miejscach. TWC dotyczyć będzie zatem głównie przyszłych produktów firmy Microsoft. Sprawdźmy, jak rozwijają się prace nad czterema filarami TWC.

Bezpieczeństwo ponad wszystko

TWC to projekt związany przede wszystkim z bezpieczeństwem, dlatego dokładne określenie procedur bezpieczeństwa na każdym etapie życia programu jest tak ważne. Poniżej omawiamy stan prac Microsoftu w tym zakresie.

Bezpieczne programowanie

Aktualizacja  Windows w trybie online przez serwis Windows Update.

Aktualizacja Windows w trybie online przez serwis Windows Update.

Microsoft rozpoczął gruntowną weryfikację najważniejszych produktów w celu eliminacji innych potencjalnych luk w zabezpieczeniach. Na początku 2002 roku wstrzymano prace projektowe ponad 8,5 tys. inżynierów nad Windows, żeby przeprowadzić szczegółową analizę zabezpieczeń w milionach wierszy kodu źródłowego systemu. Kilka tysięcy inżynierów z innych wydziałów uczestniczyło w specjalnym szkoleniu dotyczącym projektowania bezpiecznego oprogramowania. Szkolenie trwało aż dwa miesiące, a koszty poniesione przez firmę Microsoft przekroczyły 100 mln dolarów. Podobne przeglądy kodu źródłowego i szkolenie w zakresie projektowania zabezpieczeń dotyczyły Microsoft Office i Visual Studio .NET. Oczywiście przerwanie prac projektowych i wysłanie programistów na masowe szkolenia związane z bezpieczeństwem to bardziej chwyt marketingowy, który raczej nie przyniesie nagłej poprawy bezpieczeństwa najpopularniejszych produktów Microsoftu. Jak zresztą widać na przykładzie przeglądarki

Zarządzanie obsługą cookies w Internet Explorer 6.

Zarządzanie obsługą cookies w Internet Explorer 6.

Internet Explorer 6, w której ciągle znajdowane są błędy - a powstawała w 2002 roku - nawet najlepsze szkolenie niewiele pomoże. Najważniejsze są odpowiednie procedury stosowane na etapie tworzenia oprogramowania. Jedno z ciekawych rozwiązań w Microsofcie polega na tym, że każdy programista jest bezpośrednio odpowiedzialny za bezpieczeństwo kodu, który napisał. Kod źródłowy zostaje odpowiednio oznaczony tak, żeby w razie problemów łatwiej było dotrzeć do "sprawcy".


Zobacz również