Microsoft: kod doskonały nie istnieje

Wielkimi krokami nadchodzi premiera Windows Vista - Microsoft zakończył prace nad systemem, znamy już też orientacyjne terminy premier poszczególnych jego wersji. Z ogłaszanych przez koncern od początku prac nad Vistą deklaracji wynika, że celem firmy było stworzenie zupełnie nowej jakości w kwestii bezpieczeństwa systemów operacyjnych rodem z Redmond. Czy to się udało - odpowiedź na to pytanie poznamy najprawdopodobniej dopiero za kilka lub kilkanaście miesięcy, gdy system ten się upowszechni. O zabezpieczeniach nowego systemu oraz lukach w oprogramowaniu udało nam się porozmawiać z jednym z najlepiej zorientowanych w tej tematyce ludzi na świecie - Stephenem Toulouse'm z Microsoftu. "Spodziewam się, że wraz z premierą Visty nie tylko spadnie liczba wykrywanych luk, ale także zmniejszy się poziom ich uciążliwości dla klientów. Zredukować ich liczbę do zera będzie trudno - niemożliwe jest przecież stworzenie "kodu doskonałego" - prognozuje Toulouse.

Na początek przypomnijmy, że Microsoft zakończył prace nad Windows Vista już kilka tygodni temu - system dostępny jest już w wersji RTM (ready to manufacture - czyli gotowy do produkcji). Za dwa tygodnie zostanie on przekazany klientom biznesowym, zaś na początku przyszłego roku trafi do rąk klientów indywidualnych. Szerzej na temat finalnej wersji Visty pisaliśmy w tekście "Windows Vista RTM - wersja ostateczna czy do poprawki?".

Poniższa rozmowa przeprowadzona została przez Jeremy'ego Kirka - korespondenta IDG - podczas konferencji IT Forum w Barcelonie. Jego rozmówcą był Stephen Toulouse z działu Microsoft Security Response Center - jeden z najlepszych specjalistów od zabezpieczeń produktów koncernu z Redmond.

IDG: Wydaje się, że w ciągu ostatnich kilku miesięcy wykryto mniej luk w Waszym oprogramowaniu, które dotyczyłyby, powiedzmy, milionów użytkowników. Czy zgodzi się pan z takim stwierdzeniem?

Stephen Toulouse

Stephen Toulouse

Stephen Toulouse: Obserwowanie tego, jak na przestrzeni czasu zmienia się liczba zagrożeń, jest bardzo ciekawe. Jeśli spojrzymy w przeszłość, przypomnimy sobie, że np. cztery lata temu pracowaliśmy nad kodem zupełnie inaczej - zupełnie inne były priorytety programistów, nasz system nie miał np. firewalla.

Ostatnio z pewnością obserwujemy więcej zdecydowanie bardziej niż kiedyś skomplikowanych ataków, z wykorzystaniem m.in. czynników psychologicznych. Rzeczywiście, takich typowych zagrożeń, jakie znamy z przeszłości jest z miesiąca na miesiąc coraz mniej i sądzę, że ich liczba będzie wciąż malała. Ale musimy pozostać czujni - jako, że zabezpieczenia robią się coraz bardziej skomplikowane i złożone, z pewnością również ataki będą się takie stawały. Osoby opracowujące nowe sposoby na skuteczne zaatakowanie systemu z pewnością nie złożą broni.

Czy myśli pan, że liczba uaktualnień udostępnianych w każdy drugi wtorek miesiąca spadnie wraz z premierą Visty? Czy podobnie będzie z systemami dostępnymi już w tej chwili?

Jeśli chodzi o produkty, które już są dostępne na rynku, to bardzo trudno prognozować, ile łat będziemy dla nich udostępniali. Jednak z każdym naszym kolejnym produktem coraz lepiej uczymy się, jak jednocześnie dodawać do oprogramowania nowe funkcje oraz zabezpieczenia. Dlatego spodziewam się, że wraz z premierą Visty nie tylko spadnie liczba nowowykrywanych luk, ale także zmniejszy się poziom ich "uciążliwości" dla klientów. Zredukować ich liczbę do zera będzie trudno - niemożliwe jest przecież stworzenie "kodu doskonałego".

Czy zamierzacie udostępnić szersze informacje na temat błędów w Viście, wykrytych na etapie testów przez współpracujących z wami ekspertów ds. bezpieczeństwa?

Gdy zjawiliśmy się na konferencji Black Hat w Las Vegas, mieliśmy przygotowane 30 tys. płyt z testową Vistą [było to wydanie z lipca br. - red] - i zanim skończyła się konferencja, nie została nam żadna. Uczestnicy konferencji testowali system na różne sposoby - z naszej perspektywy ich wkład w prace nad systemem jest nie do przecenienia. To w końcu najlepsi specjaliści na świecie. Ale nie oznacza to, że znaleźli wiele problemów - liczba osób, które zgłosiły się później do nas i stwierdziły "Hej, znalazłem błąd" była raczej niewielka.


Zobacz również