A Microsoft a biztonságos számítástechnikáért

A Microsoft Magyarország biztonságtechnikai partnereivel együtt a múlt év végén jelentette be biztonságtechnikai kezdeményezéseit.

Vityi Péter, a Microsoft Magyarország ügyvezető igazgatója kiemelte, hogy a Microsoft továbbra is eltökélt abban, hogy felhasználói, ügyfelei számára biztonságos termékeket kínálhasson. „A Microsoft Secure Windows, azaz Biztonságos Windows kezdeményezése keretében a termékfejlesztés legfőbb célkitűzése, hogy a kibocsátandó termékek biztonsági szempontból maximálisan megfeleljenek a fogyasztók elvárásainak. A Stratégiai Technológia Védelmi Program keretében a szoftvergyártó még az idén kibocsátja a Windows 2000 SP3-at, valamint a legfrissebb operációs rendszerhez, a Windows XP-hez fejlesztett javítóállományt.” – tette hozzá Vityi Péter.

Az ügyvezető a távolabbi tervekről szólva kiemelte a biztonságtechnikai kompetencia központok létrehozásának szükségességét, valamint azt, hogy a Microsoft biztonságtechnikai programjai, az iparági partnerek bevonásával az ügyfelek minél szélesebb körében váljanak egyre népszerűbbé.

A tavaly év végén meghirdetett és az ICON Számítástechnikai Kft., valamint a Microsoft Magyarország által indított közös adatbiztonsági akcióra 71 szervezet jelentkezett, amelynek többsége (46 jelentkező) kis és középméretű vállalkozás. A lista második helyén az oktatási intézmények szerepeltek – huszonkét iskola kérte rendszerének felülvizsgálatát –, további három jelentkező pedig önkormányzat volt.

Az átvizsgálások során szerzett tapasztalatok több érdekes tény megállapítására adtak módot az ICON szakembereinek. Az első ilyen tény az, hogy az IIS szerver legújabb, 5.0-s változata még nem terjedt el olyan széles körben, mint az a szoftver megbízhatóságát tekintve várható lenne. A vizsgált rendszerek több mint felénél a 4.0-s változat működött, sőt az elemző szoftver néhány 3.0-s változatot is talált. Mindez még nem okozna igazán nagy gondot, ha a rendszerek naprakészségéért felelős szakemberek minden, a Microsoft által kiadott javító állományt telepítettek volna. Ezen javítások alkalmazása azonban sajnos sokszor késik, sőt időnként el is marad, ami növeli a támadás veszélyét, illetve esetleges sikerét.

A tapasztalatok másik része a konfigurálásra vonatkozott. Így például nagyon sok helyen engedélyezett volt az úgynevezett anonymous FTP használata, amely egyrészt nagyban megkönnyíti a rendszerek üzemszerű felhasználását, de pontosan ennyire könnyíti meg a rosszindulatú látogatók – betörők – munkáját is. Az anonymus FTP a valamire való hacker számára felhívás keringőre – olyan, mint a bejárati ajtóra tűzött „Kulcs a lábtörlő alatt” cédula.

Az ICON szakembereinek vizsgálataiból az is egyértelművé vált, hogy a Web-szerverek mellett a file-szerverek és az adatbázis-szerverek fenyegetettsége is jelentős. Az utóbbi kettő veszélyeztetettsége külön is kiemelendő, mivel az ezeket hordozó rendszerek már nem az Internet-kapcsolat többé-kevésbé védett zónájában, hanem a belső területen helyezkednek el (azaz védelmüket nem minden esetben tekintik kiemelt kérdésnek). A fenyegető veszély mértékének felbecsülésekor elég csak arra gondolni, hogy e szerverekhez minden vállalati dolgozó hozzáférési joggal rendelkezik.

A biztonság elvártan magas szintje nem egyszeri ellenőrzéssel, hanem folyamatos munkával tartható fent, e munka azonban az ICON tapasztalatai szerint sok esetben meghaladja a közép- és kisvállalatok informatikusainak lehetőségeit. Ez a tény önmagában nem minősíti a szakemberek tudását, hiszen a biztonsági kérdések olyan szerteágazók és bonyolultak, hogy a témával professzionálisan foglalkozókon kívül senkinek nem lehet elég ideje követni a fejlődést, figyelni minden új javítóállományt és alkalmazni a legújabb eszközöket.

Mindössze hat hónap leforgása alatt immár 120 ezer példányban jelent meg vezető számítástechnikai lapok mellékleteként a Microsoft és az Insurance Technology közösen fejlesztett terméke, a Security CD. Minden megjelent verziójú CD tartalmazza a kiadás időpontjában legújabb frissítéseket, és javítva lettek a felszínre került programhibák is. A legutolsó verzió újdonsága, hogy támogatja a magyar nyelvű Windows XP-t.

Előkészületben van a Security CD továbbfejlesztése, ami teljesen új funkciókat (nyelvi és szoftver verziók automatikus felismerése, felhasználói csoportok kezelése, System Checking Disc – biztonsági integritás teszt, biztonsági audit – biztonsági események automatikus vizsgálata) és még inkább felhasználóbarát kezelőfelületet fog tartalmazni. Kibővítésre kerül a választható biztonsági szintek száma is. A következő kiadást 2002. júliusára tervezik.

A tapasztalatok szerint részben a rendszerfrissítések, javító állományok telepítésének hiánya, illetve a nem megfelelő konfigurációs beállítások, nagyobb részt pedig az üzemeltetési környezetben (humán, szervezési, fizikai) rejlő veszélyforrások vezetnek az IT biztonsági incidensek előfordulásához.