Biztonsági kérdések a Windows XP SP2-ről és a Microsoft-javítócsomagokról

Még izzottak az Internet-vonalak az SP1 letöltésektől, máris tekintélyes mennyiségű javítás várta az SP2-be való bekerülést, 2002. novemberében. Ez már akkor is 100-nál több javítást-frissítést jelentett, bár közülük ˝csak˝ hét volt annyira fontos (főként biztonsági hibák), hogy azonnal letölthetővé vált. Akkor még nem voltak az SP2 kiadásának időpontjára vagy körülményeire utaló információk, azonban az SP1 után letölthetővé vált patchek már hordozták nevükben az SP2 jelölést, jelezvén, hogy SP1 utáni (post SP1) update-ről van szó.

Most, hogy a Windows XP SP2 májusra ígért megjelenése küszöbön van, sorra vettük a legfontosabb kérdéseket a második Windows XP javítócsomag, illetve a Microsoft-javítócsomagok általános részleteiről.

Terminal.hu – Rendszerint mennyi idő telik el egy biztonsági probléma felfedezése és az azt kihasználó ártó kód elterjedése között?

Dénes Gábor – Ez az idő folyamatosan rövidül, ami nem jó hír. A több mint két éve felbukkant Nimda esetében még 330 nap telt el a hiba bejelentésétől a rosszindulatú kód megjelenéséig, míg ugyanez tavaly a Blaster esetében már csak 25 nap volt. Ez egy folyamatosan csökkenő tendencia, és épp ezért nem tartható az álláspont, ami régebben volt, hogy félévente kijött egy új service pack, és az összes ismert hibát javította. Ez az idő már nem a régebbi időtartományban mozog, ezért is van szükség a Windows Update Services és Software Update Services, vagy SMS (System Management Server) alapú javítás-megvalósításra, amelyek kontrollálják, hogy a javítócsomagok eljussanak a munkaállomásokra, illetve a szerverekre, megpróbálva ezzel is egyre jobban kizárni az emberi tényezőt. Ha ugyanis egy ezer fős nagyvállalatnál egyetlen gép nincs frissítve, előfordulhat, hogy azon keresztül hozzáférve a címtár adataihoz, innen mennek ki vírusos levelek a cég nevében, ami elég nagy presztízsveszteség a cégnek, és a hírtelen megnövekedő terhelés miatt közvetlen költség vonzata (például szolgáltatás-kimaradás) is lehet.

Ha fellátogatunk a Microsoft.com oldalra, akkor lehet látni hogy szinte minden oldalon az első banner, ami azt hirdeti, hogy a felhasználó hogyan teheti biztonságosabbá a gépét. Ennek 3 pillére van: 1. használjunk tűzfalat (egyedi felhasználóknak is van beépített tűzfal a Windows XP-ben), 2. legyünk naprakészek a szoftverfrissítésekkel, 3. használjunk vírusellenőrző programot. A 3. rész nem a Microsoft feladata, mi nem készítünk vírusirtó alkalmazásokat és nem is célunk, hanem az alappillért adjuk meg az összes alkalmazáshoz, és próbáljuk ezeken keresztül a támadások veszélyét kizárni.

Terminal.hu – Általában hogyan derül fény a biztonsági problémákra és mi egy átlagos támadás ˝menetrendje˝ a rablók és a pandúrok, illetve a tulajdonos-fejlesztő Microsoft oldaláról?

Dénes Gábor – Nem volt még arra példa a Microsoft történetében, hogy külső forrásból fedezték volna fel a hibát. Miután kijön egy termék, onnantól kezdve egy külső auditor cég, aki a Microsoftnak dolgozik, folyamatosan ellenőrzi visszamenőleg az összes kódot. Ha ők találnak valami rést, azonnal értesítik a Microsoft megfelelő részlegét. Ott megnézik, hogy hogyan lehetne ezt a sérülékenységet kijavítani, kifejlesztik a javító kódot, és amikor publikálják a javítást, publikálják mellé azt az információt is, hogy ez milyen hibát hárított el. Innentől elindul egy versenyfutás az idővel, egyrészt a végfelhasználóknak, hogy telepítsék a javítást, másrészt a hackereknek, hogy útjára indítsák a rosszindulatú kódot. Általában elsőként a kódfeltörők lépnek és először ők teszik közzé a visszafejtett javítást, ami megmutatja, hogy a javítókód mit és hogyan javított, és hogy ezáltal mi vált támadhatóvá. Erre egy másik hackerréteg rá szokott ugrani, és nagyon egyszerű módszerekkel megpróbálják kihasználni a sebezhetőséget.

Terminal.hu – Milyen intézkedéseket tesz a Microsoft a felhasználók leggyakoribb panaszainak orvoslására?

Dénes Gábor – Többfélét is.

Egyfelől, gyűjtjük az észrevételeket, és ami nagyon nagy számban fordul elő, azokon elgondolkodik a fejlesztőcsapat vezetője, hogy mi történjen velük: hagyjuk figyelmen kívül, rakjuk parkolópályára vagy fejlesszük bele a termékbe. Az utóbbi időben a javítócsomagok nem csak javításokat, hanem új funkciókat is tartalmaznak, ilyenkor kerülhetnek bele a termékekbe ezek a felhasználók által leggyakrabban elvárt új funkciók. Például egy ilyen elvárás volt a Microsofttal szemben, hogy a Windows XP-ben ne legyen nagyon elszórva, hogy hol lehet biztonsági beállításokat hangolni. Az Internet Explorer biztonsági beállításait az Internet Explorerben lehet beállítani, a tűzfalat a hálózatoknál, mindent máshol ami túl bonyolulttá teszi a hatékony védekezést. Éppen ezért a felhasználók kérésére az SP2-ben megjelenik egy új funkció a „Biztonsági Központ” melyet a Control Panelben egy pajzsformájú új ikon jelenít meg, amivel egy helyen az összes biztonsággal kapcsolatos beállítást meg lehet találni ill. igény szerint finomhangolni a gyárilag beállítottakat.

Másfelől, a legtöbb nagyvállalat rendelkezik az úgynevezett Premier Support Service előfizetéssel, ami azt jelenti, hogy az ő panaszaikat kiemelten kezeljük. Tehát ha egy ügyfél belebotlik egy hibába, akkor attól függően, hogy mennyire súlyos hiba, előfordul, hogy Redmondból az ügyfélnek egy külön, testreszabott hotfixet készítenek, ami letöltődik hozzá.

Terminal.hu – Hol tart most a Windows XP SP2 fejlesztése?

Dénes Gábor – A Windows XP SP2-ről azt kell tudni, hogy nemrég érkezett el a Release Candidate 1 (RC1) állapotba, tehát gyakorlatilag a kód fejlesztése lezárult, innentől csak tesztelés folyik, és várjuk, hogy májusban megjelenjen a végleges verzió.

Terminal.hu – Hozhat új felhasználókat a Windows XP SP2?

Dénes Gábor – Bízunk benne, ugyanakkor fontos kiemelni, hogy az a korábbi felfogás, mely szerint a termékeket akkor telepítik, amikor megjelenik hozzájuk az 1-es vagy 2-es service pack, most már azért nem ajánlatos, mert kiszámíthatatlan, hogy mikor jelenik meg, és nem feltétlenül csak hibajavítást fog tartalmazni, hanem új kódrészleteket és funkciókat is.