مایکروسافت راه درازی برای رسیدن به امنیت در پیش رو دارد

دو سال پس از اینکه بیل ‌گیتس معمار ارشد نرم‌افزار شرکت مایکروسافت متعهد شد تا امنیت را در راس کار شرکت قرار دهد پیشرفت‌های قابل توجهی در این زمینه دیده شد اما به عقیده کاربران و متخصصان هنوز کار زیادی در این مورد باید انجام گیرد. Russ Cooper، مدیر لیست پستی NT Bugtraq و رئیس بخش بهداشتی شرکت امنیتی TruSecure می‌گوید: راه درازی باقی مانده تا مدیران شبکه‌ها بتوانند به آسانی شبکه‌های خویش را ایمن نگاه دارند. عده‌ای معتقدند: برای بازسازی کد اصلی ویندوز باید آن را تغییر داده یا آسان نمود که البته در این صورت ممکن است جایگزینی برای برنامه‌های اصلاحی مورد نیاز باشد و مدیریت اتوماتیک برنامه اصلاحی باید قبل از اینکه بتواند به پیشرفت امنیت کمک کند ایمن بودن خود را نشان دهد.
بعضی‌ها نیز اعتقاد دارند که مایکروسافت باید تمرکز خویش را بر پشتیبانی از نسخه‌های قدیمی‌تر مثل ویندوز ۲۰۰۰ قرار دهد. بخصوص اینکه انتظار نمی‌رود نسخه جدید این سیستم عامل با کد نام Longhorn تا سال ۲۰۰۶ یا ۲۰۰۷ عرضه شود. از همه مهمتر، مایکروسافت که مجموعه‌ای از گروه‌های مستقل تشکیل شده باید یاد بگیرد که در هنگام برطرف نمودن مسائل امنیتی همچون یک شرکت عمل نماید نه یک گروه مختار. Michael Cherry، تحلیلگر شرکت تحقیقاتی مستقل Directions on Microsoft در این مورد می‌گوید: آنها اکنون متوجه شده‌اند که هماهنگی در کل شرکت به زمان زیادی نیاز دارد. نصب یک محصول نباید امنیت محصول دیگر را به خطر بیاندازد.
Cherry معتقد است که امنیت مستلزم ایجاد تغییر است زیرا بر سود و زیان شرکت مایکروسافت تاثیردارد. او می‌گوید: هزینه‌ای که شرکت‌ها برای رفع مشکلات صرف می‌کنند هزینه‌ای است که نمی‌توانند برای تولید محصولات جدید صرف نمایند. منتقدان و کاربران نهایی می‌گویند: شرکت مایکروسافت در چند ماه آینده و با عرضه Service Pack۲ برای ویندوز ایکس‌پی به پیشرفت‌هایی نائل خواهد شد. Service Pack۲ بدین منظور تهیه شده که ویندوز ایکس‌پی را با غیر فعال نمودن بعضی ویژگیها به صورت پیش‌فرض برگشت‌پذیرتر نماید و در ضمن یک سری ابزارهای جدید مدیریت برنامه‌های اصلاحی شامل نرم‌افزار به روزرسانی و Installer جدید را در اختیار کاربران قرار دهد. پیشرفت‌های فوق به همراه پیشرفت‌های Windows Server ۲۰۰۳ شامل برنامه‌‌های امنیتی جدید برای مسدود کردن اجزای مهم همچونActive Directory، Internet Information Server عرضه می‌گردد. اما عده‌ای معتقدند که شاید تمامی این پیشرفت‌ها مشکل را حادتر کنند.
Dan Blum تحلیلگر Burton Group می‌گوید: آنها نه تنها کد را به منظور ایمن ساختن بیشتر آن ساده نمی‌کنند بلکه پیچیدگی بیشتری ایجاد می‌نمایند. این فلسفه‌ای است که به نظر می‌رسد مایکروسافت با اولین تلاش امنیتی عمده خود در سال ۱۹۹۱ توسط گروه Secure Windows Initiative شرکت در آن با شکست مواجه شده است. هدف شرکت در آن زمان تهیه ابزار، آموزش و آزمایش بود در حالیکه امنیت بیشتر در نظر گرفته نمی‌شد. Blum معتقد است که این مسئله در واقع سادگی در مقابل پیچیدگی و انعطاف‌پذیری در مقابل امنیت است. عده‌ای از صاحبنظران می‌گویند: اقدامات بیشتر و شدیدتری با نوشتن مجدد کد باید انجام گیرد. از نظر آنها چنین کاری حتی با وجود از بین رفتن سازگاری با اکثر برنامه‌های موجود بسیار اهمیت دارد.
John kretz رئیس Enlightened point consulting group LLC می‌گوید: در واقع پایه کد نادیده گرفته شده است زیرا اکنون مشخص شده که مایکروسافت محصولات اولیه خود را با کد سرهم بندی شده عرضه نموده است. بنابراین نقص‌های فعلی را نمی‌توان با تغییر پیکربندی‌های پیش‌فرض و یا فعال یا غیر فعال کردن یک یا چند ویژگی برطرف نمود. آنها باید به جای تغییر پیش‌فرض‌ها کد را اصلاح کنند. این تغییر کد مشکلی را که مایکروسافت در برقراری اعتبار برای Trustworthy Computing داشته، خاطر نشان می‌کند. هر زمان که به نظر می‌رسد پیشرفتی حاصل شد، مایکروسافت نیروی تازهای می‌گیرد.
● نقص‌های بحرانی
گیتس گزارش اصلیTrustworthy Computing ، خود را در سال ۲۰۰۲ و کمتر از یک هفته قبل از انتشار نسخه اصلاحی برای نقص SQL Server، که نهایتا توسط MS-SQL Slammer Worm مورد سوءاستفاده قرار گرفت، برای مشتریان ارسال نمود. Steve Ballmer، مدیر ارشد اجرایی شرکت درست یک هفته قبل از آشکار شدن ۷ نقص جدید بسیار مهم، از پیشرفت‌هایTrustworthy Computing ،
برای شرکای تجاری سخن گفته و آن را مورد تحسین قرار داده بود. درست بعد از دومین سال Trustworthy Computing، آسیب‌پذیری ASN.۱ آشکار شد و مایکروسافت اعتراف نمود که تهیه یک برنامه اصلاحی برای این نقص که به گفته عده‌ای بدترین نقص کشف شده بود به بیش از ۲۰۰ روز کار نیاز داشت.
در ماه گذشته نیز وقایع تاسف‌آور بیشتری اتفاق افتاد که از آن جمله می‌توان به افشای کد منبع و نیز تهیه یک برنامه اصلاحی برای تصحیح یک باگ در Internet Explorer، خارج از برنامه اصلاح ماهیانه مایکروسافت، اشاره نمود. این مسائل سبب می‌شود که کاربران با احتیاط بیشتری عمل کنند. George Defenbaugh مدیر پروژه‌های جهانی زیرساخت IT در شرکت نفتی Amerada Hess می‌گوید: نمی‌توانم بگویم امنیت بهتر شده است. چه کسی می‌داند که چه نقص‌هایی هنوز کشف نشده است. علیرغم چنین مشکلاتی شرکت مایکروسافت به پیشرفتهای خود اشاره می‌کند.
ویندوز ۲۰۰۳ در ۳۰۰ روز اول انتشار به ۶ برنامه اصلاحی بسیار مهم نیاز داشت که در مقایسه با ۳۶ برنامه اصلاحی در ۳۰۰ روز اول بعد از عرضه ویندوز ۲۰۰۰ میزان ۸۳ درصد کاهش را نشان می‌دهد. ویندوز ۲۰۰۳ اولین محصول مهمی بود که مایکروسافت آن را تحت Trustworthy Computing Release Process (یک فرآیند داخلی شامل مسائل امنیتی طراحی) تهیه نمود. آفیس ۲۰۰۳ و Exchange ۲۰۰۳ دو محصول از بیست محصولی هستند که به همین روش و با در نظر گرفتن مسائل امنیتی در طراحی تولید می‌شوند.
● احتیاط بیشتر مشتریان
Jeff Jones، مدیر ارشد بخش امنیت و تکنولوژی تجاری مایکروسافت می‌گوید: مهم‌ترین تقاضای ما از مشتریان عرضه محصولات ایمن‌تر می‌باشد. ما در مسیر صحیح قرار داریم و پیشرفت خوبی خواهیم داشت.به عقیده Jones پایه و اساس رسیدن به موفقیت در کوتاه مدت و دراز مدت نوشتن کد ایمن‌تر، توسعه تکنولوژی‌های حفاظتی همچون فایروال‌های شخصی به منظور محافظت در مقابل گسترش کد مخرب و به روزرسانی تکنولوژی تهیه برنامه‌های اصلاحی مایکروسافت می‌باشد. او می‌گوید: ما می‌دانیم که کار زیادی در پیش رو داریم. شرکت مایکروسافت برای گرفتن کمک از شرکا برنامه‌های اطلاع‌رسانی را طراحی نموده و اتحادیه‌هایی همچون Virus Information Alliance، Global Infrastructure Alliance for Internet Safety را برای فراهم‌کنندگان سرویس تشکیل داده است.
نسخه‌های نرم‌افزاری جدید نیز آماده می‌باشند. شرکت قصد دارد قبل از ماه جولای برنامه Software Update Service ۲.۰، Microsoft Update را که برای دریافت برنامه‌های اصلاحی مورد استفاده قرار می‌گیرند و نیز نرم‌افزارهای Internet Security، Acceleration Server ۲۰۰۴ را عرضه نماید. در نیمه دوم سال نیز Service pack ۱ برای ویندوز ۲۰۰۳ و برنامه‌های اصلاحی دیگر در دسترس کاربران قرار خواهند گرفت. شرکت قصد دارد در همین زمینه یک گیت‌وی ایمن Simple Mail Transfer Protocol، تکنولوژیbehavior- blocking و ترکیبی از سخت‌افزار و نرم‌افزار برای قفل کردن سیستم عامل با عنوان Next Generation Secure Computing Base را عرضه کند. Cooper از شرکت TruSecure می‌گوید: Service Pack جدید XP که به زودی عرضه می‌شود و فایروال شخصی را به صورت پیش‌فرض در سیستم عامل فعال می‌کند نه تنها پیشرفت در تکنولوژی بلکه پیشرفت در کل وضعیت شرکت را نشان می‌دهد.
Cooper می‌گوید: فعال کردن ویژگی که بتواند خطرات کنونی را متوقف سازد پیشرفت بسیار بزرگی محسوب می‌شود. این مسئله سبب ایجاد تماس‌های پشتیبانی می‌شود و نشان‌دهنده این است که مایکروسافت پذیرفته که خطرات امنیتی چیزی بالاتر از دردسرهای معمول و هزینه تمامی تماس‌های پشتیبانی می‌باشد.

نویسنده: John Fontana
مترجم: مریم پویان‌پور