Joanna Rutkowska: Vista jest bezpieczniejsza niż XP

To już nie pierwszy raz, gdy pani słowa wywołują spore zamieszanie. Jak odbija się to na jej pracy? Domyślam się, że otrzymuje pani w takich momentach wiele maili i zdarzają się wśród nich zapewne i takie, które bardzo nieprzyjemnie się czyta.

Pomimo tego, że wiele moich słów jest często wyjmowanych z kontekstu, ponieważ wielu dziennikarzy lubuje się w robieniu sensacji ze wszystkiego, co się da, to i tak większość ludzi, którzy wysyłają do mnie maile czyta również mojego bloga (albo moje prezentacje) i na ogół posiada właściwy ogląd sprawy. Krótko mówiąc, bardzo rzadko dostaję maile, które "nieprzyjemnie się czyta".

A jak zachowuje się w takich wypadkach Microsoft?

Po tym, jak w zeszłym roku zaprezentowałam jak można załadować niepodpisany cyfrowo kod do jądra Visty, Microsoft zmienił parę rzeczy w systemie tak, by uniemożliwić przeprowadzenie ataku (nie była to łata - raczej małe przeprojektowanie pewnego API). Z kilku możliwych metod zaradczych Microsoft wybrał akurat tę najprostszą, ale i najmniej skuteczną. Ale przynajmniej coś zrobił. Ciekawe, jakie stanowisko przyjmie Microsoft wobec problemów z UAC...

Czy zawahała się pani kiedyś? Pomyślała, "po co narażać się takiemu gigantowi"?

W Microsofcie pracują mili i inteligentni ludzie. Wiele osób z Redmond mam przyjemność znać osobiście, a niektóre z nich darzę wyjątkowym szacunkiem za ich wiedzę. Microsoft jest wielką firmą i należy zdawać sobie sprawę, iż w wielu kwestiach nie ma pełnej swobody działania (np. słynny problem zachowania kompatybilności) i że podstawowym motorem jego działania są prawa rynku. Co, oczywiście, nie znaczy, że nie powinniśmy go krytykować. I właśnie o to w tym wszystkim chodzi, o konstruktywną krytykę, na którą Microsoft jak najbardziej wydaje się być otwarty (nawet jeśli niekoniecznie się z nią zgadza). W każdym razie nie ma tu mowy o żadnym "zastraszaniu badaczy" przez Microsoft - przynajmniej ja się nigdy z czymś takim nie spotkałam.

Nie chodziło mi o zastraszanie, bo sam zdrowy rozsądek podpowiada, że żadna rozsądna firma takimi metodami się nie posługuje. Myślę tutaj raczej o tym, co nazywamy "świętym spokojem". Po co wytykać błędy gigantowi, narażać się na mniej lub bardziej kulturalne ataki ze strony chociażby osób zazdroszczących Pani pozycji zawodowej. Nigdy taki "spokój" pani nie kusił?

Cóż, wydaje się, że zazdrość jest nieodłącznym elementem osiągania sukcesu w dowolnej dziedzinie, bez względu na to, czy ma to związek z "wytykaniem błędów gigantowi" czy też nie. Chociaż muszę przyznać, że za wyjątkiem drobnych incydentów nie spotykam się z jakimiś szczególnymi przejawami zawiści. Być może oznacza to, że jeszcze nie osiągnęłam odpowiedniej pozycji zawodowej ;)

Co pani myśli o bezpieczeństwie Visty? Jak wypada ono na tle XP?

Wielokrotnie wypowiadałam się publicznie na ten temat i za każdym razem podkreślałam, że Microsoft włożył dużo pracy w poprawę bezpieczeństwa nowego systemu i że z technicznego punktu widzenia Vista jest po prostu bezpieczniejsza niż XP.

Jednak z obecnym podejściem, zaprezentowanym przez Marka Russinovicha, obawiam się, że Microsoft może łatwo zmarnować tą całą technologię. Wszak jeśli Microsoft będzie się dalej upierał, że UAC to nie jest mechanizm bezpieczeństwa, to wkrótce zapewne pojawi się więcej ataków wykorzystujących niedociągnięcia w UAC... Jeśli dla Microsoftu ich łatanie nie będzie priorytetem (no bo nie są to "security bugs", tak?), to wkrótce bezpieczeństwo Visty, z punktu widzenia przeciętnego malware'u, będzie tożsame z bezpieczeństwem XP...

Miejmy jednak nadzieję, że Microsoft zmieni zdanie.

Czy czuje się pani na siłach porównać Vistę z Mac OS X-em czy najpopularniejszymi dystrybucjami Linuksa (np. Ubuntu, Red Hat, Mandriva, Debian SuSE)? Jeśli tak, jak na ich tle wypada Vista?

To jest temat na osobny, długi artykuł.