ב-Online
 
 
 
 
 
 
 
 
האמריקאים יקבלו את זה קודם 
 
 
אילנה תמיר

מיקרוסופט הצליחה לגרום להרבה גבות להתרומם, לאחר שהכריזה שגופים כמו צבא ארה"ב יקבלו את טלאי האבטחה חודש לפני כולנו

 
 
 
 
 
 
 
 
 
מיקרוסופט עומדת להתחיל בתוכנית, על פיה היא תיתן לחיל האוויר האמריקאי ולגופים אחרים, עדכוני אבטחה כחודש לפני שהיא משתחררת אותם לציבור הרחב. כך על פי דיווח של הוול סטריט ג'ורנל מסוף השבוע.

מיקרוסופט אמרה כי רשימת המשתתפות בתוכנית כוללת גם גופים ממשלתיים וגם גופים עסקיים, אך פרט לממשלת ארה"ב היא לא הסכימה להסגיר פרטים על משתתפות אחרות.

מטרת התוכנית, כך על פי מיקרוסופט, היא להרחיב את מעגל מבצעי הבדיקות לגרסאות הבטא של עדכוני האבטחה לפני שחרורן לציבור הרחב. הרי זה לא סוד שפעמים רבות, עדכוני אבטחה עלולים להיות מסוכנים הרבה יותר מאשר פרצות האבטחה אותן הם אומרים לסתום. מנהלי רשתות רבים מעדיפים לפעמים לא להתקין עדכוני אבטחה, ובכך להשאיר את הרשת שלהם פרוצה, ובלבד שלא יווצרו התנגשויות תוכנה מסוכנות.

אולם התוכנית גם מעלה סימני שאלה רבים וכמה גורמים בקהילת אבטחת המידע העולמית מאד חוששים ממנה.
 

גירסאות בטא על שרתים קריטיים?

השאלה המידית הנשאלת היא, כיצד מיקרוסופט מאפשרת שדווקא ארגונים כמו חיל האוויר האמריקאי, אשר המערכות שלהם הן מבין הקריטיות ביותר בעולם, יבצעו על המחשבים שלהם את הבדיקות לגרסאות הבלתי מושלמות של העדכונים?

מיקרוסופט נתנה תשובה ישירה לשאלה הזו. "על הלקוחות נאסר במפורש להטמיע את עדכוני האבטחה בסביבת העבודה (production)", כך אמר דובר החברה ל- InformationWeek. "המשתתפים בתוכנית", הוא אומר, "מנסים תוכנה שעדיין לא הושקה, ולכן העדכונים מיועדים להתקנה אך ורק בסביבת הניסוי. למשתתפים מותר לפרוס את העדכונים ברשתות שלהם אך ורק לאחר שחרור התוכנה לכלל הציבור".

לכאורה, התשובה מניחה את הדעת. מיקרוסופט משתמשת בכמה מהמוחות הגדולים בעולם כדי לשפר את איכות העדכונים.

אולם, בו בזמן, נאמר דבר אחר, אשר עלול להתפרש כסתירה לדברי הדובר. בכתבה המקורית של הוול סטריט ג'ורנל נאמר כי המחלקה לביטחון לאומי בארה"ב מיועדת לבצע ניסויים על עדכוני אבטחה וכן להזהיר את יתר הגופים הממשלתיים מראש על בעיות פוטנציאליות ולהפיץ להם את עדכוני אבטחה.

האם באמת הגופים הממשלתיים יחכו כמו ילדים טובים חודש שלם עד ההשקה הרשמית, בשביל להתקין אצלם העדכונים (וישאירו במשך כל הזמן הזה את המערכות שלהם פרוצות)? או שמא סדר הדברים יהיה כזה, שברגע שהמחלקה לביטחון לאומי תיתן את האוקיי, המחלקות השונות ירוצו להתקין את הבטא, אפילו לפני תום החודש ובכך למעשה יפעלו בניגוד להסכם עם מיקרוסופט.
 

הסכנה הגדולה – דליפה מבפנים

אולם, חוץ מהסכנה שיש בהתקנת גרסאות בטא על מחשבים רגישים ומעבר לבעיתיות הפוליטית בכך שיהיו בעולם ממשלות שכן מעודכנות וממשלות אחרות שלא, קיימת בעיה אחרת, חמורה לא פחות.

הסכנה היא שמישהו מתוך אחד הארגונים המשתתפים בתוכנית, ידליף את המידע על פרצות האבטחה להאקרים, או שהוא עצמו יכתוב ינצל את הפרצה ויכתוב עבורה וירוס. אם דבר כזה יקרה, מיליוני משתמשים "רגילים", אשר לא לקחו חלק בתוכנית ושאין עבורם עדיין טלאי אבטחה, יעמדו בפני סכנה חמורה.

למי שחושב שתסריט זה מופרך, אני ממליצה להיזכר באירוע שקרה לפני כשנה. בתחילת 2004 דלף קוד המקור של חלונות 2000 ו-NT ומצא את עצמו, באורח פלא באינטרנט, עומד למכירה במחיר של 20 דולר עלובים. וירוסים שהתבססו על הקוד, כמובן, לא איחרו להגיע. לאחר חקירה התגלה כי הקוד דלף מחברת Mainsoft, שותפה וותיקה של מיקרוסופט. גם אם זה לא היה בכוונה, היתה זו דוגמה כיצד מיקרוסופט יכולה לסבול מכשלי אבטחה בקרב השותפות שלה.

מיקרוסופט מרגיעה את החששות ואומרת שאת המשתתפים בתוכנית היא בחרה באופן קפדני והבהירה שכולם חתמו על הסכמי סודיות נוקשים. מנהל התוכנית במיקרוסופט, סטיבן טולוס, אף הסביר כי בשקילת הסיכון שבדליפה מול התועלת, הכריע הצורך בעדכוני אבטחה איכותיים את הסיכון שבדליפת המידע מבפנים לידיהם של גורמים זדוניים.

אולם מומחי אבטחה רבים כלל לא מתרשמים ממילות ההרגעה האלו. "מה שמיקרוסופט עושה הוא רע, רע מאד", אומר ל-AP מומחה האבטחה פיטר זטקו, אשר עבד עבור ממשלת ארה"ב, הן בימי קלינטון והן בימי בוש. גם אם ממשלת ארה"ב יכולה להבטיח שלא ידלוף דבר מכיוונה, היא לא יכולה להבטיח ששום דבר לא ידלוף מחברות אחרות מחוץ לארה"ב.

האם נוכל לסמוך על אמינות הארגונים המשתתפים בניסוי, או שזה רק עניין של זמן עד שיהיה לנו וירוס שיבנה בזכות המידע מגרסאות הבטא של הטלאי? האם יתחילו לקרוס מערכות קריטיות בגלל שהותקנו עליהן עדכוני אבטחה חלקיים? האם ממשלות אחרות בעולם יתמרמרו שלארה"ב ישנה עדיפות אבטחתית על פניהן? ימים יגידו.
 
 
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
 
תגובות
הוסף תגובה0 תגובות
הוספת תגובה
מאת
 
נושא
 
תוכן
 
 
 
 
תודה! תגובתך התקבלה.
התגובה תתפרסם בכפוף לתנאי האתר.
 
 
 
 
 

כל הזכויות שמורות 2011 © נענע 10 בע"מ
 
 
 
 
כל הזכויות שמורות © Nana10 בע"מ
Video powered by