בכיר במיקרוסופט: "חברות מסוימות מעדיפות שמערכת ההפעלה תישאר לא בטוחה"

מערכות האבטחה החדשות של ויסטה מעוררות לא מעט מחלוקת לאחרונה. חברות האבטחה סימנטק ומק'אפי טוענות שטכנולוגיית Patch Guard של מיקרוסופט, אשר חוסמת את הגישה לגרעין של מערכת ההפעלה במהדורות 64 ביט של ויסטה, מקשה על חברות אבטחה מצד שלישי לשלב במוצריהן תכונות מסוימות. הן מאשימות את מיקרוסופט גם בשיטות נוספות שנועדו, לטענתן, להקשות על פעולתן של חברות אבטחה עצמאיות, בזמן שענקית התוכנה מגבירה את פעילותה בשוק האבטחה.

אל מול הטענות הללו משיבה מיקרוסופט כי גישה אל גרעין מערכת ההפעלה (Kernel) חושפת את מערכת ההפעלה לסיכוני אבטחה קשים, שיאפשרו חדירה של תוכנות ריגול מסוכנות אל מערכת ההפעלה. סטיבן טולוז, מנהל מוצר בכיר בחטיבת האבטחה של מיקרוסופט, מחזיק בדיעה דומה בנושא. לדבריו, מאחורי החסימה של גרעין ההפעלה עומדת אסטרטגיה שנועדה להגן על המשתמש מפני סיכוני האבטחה החדשים ברשת, ולא על האינטרסים המסחריים של מיקרוסופט בתחום האבטחה.

מדוע החליטה מיקרוסופט להגביל את הגישה לגרעין של מערכת ההפעלה במהדורות 64 ביט של ויסטה? "החשש העיקרי הוא מפני השתלה של קוד rootkit נסתר, שתוכנות האנטי ווירוס אינן מסוגלות להבחין בו. כשקוד שאינו חלק ממערכת ההפעלה יכול לפעול ברמת הגרעין, המצב גרוע מאוד, מפני שהגרעין לכשעצמו אינו מסוגל להבחין בין קוד ידידותי לבין קוד עוין. בגרסאות 32 ביט של מערכות ההפעלה היו תמיד דרכים לשנות את הגרעין בזמן שהוא פועל, דרכים שאינן מתועדות ואינן נתמכות, והשימוש בהן הוביל לבעיות של יציבות ואבטחה. בגרסאות 64 ביט ביקשנו למנוע זאת, ולאפשר גישה לגרעין רק בדרכים מתועדות ובטוחות".

מה התפקיד של טכנולוגיית Patch Guard? "לקוחותינו שידרו לנו מסר ברור, ודרשו לשפר את האבטחה. אחת הדרכים לעשות זאת בפלטפורמה של 64 ביט היא באמצעות טכנולוגיית Patch Guard להגנה על הגרעין. הטכנולוגיה לכשעצמה אינה חדשה, והיא משולבת כבר מספר שנים במהדורות 64 ביט של חלונות XP ו- Windows Server 2003. המטרה של הטכנולוגיה היא לספק חוויית שימוש יציבה, אמינה ובטוחה יותר במערכת ההפעלה, ולמנוע שינויים בלתי נתמכים ובלתי מתועדים בגרעין. ברגע שהטכנולוגיה מזהה שינויים בגרעין, או ניסיונות לבצע שינויים כאלה, המערכת ננעלת כדי למנוע מתקפה".

האם טכנולוגיית Patch Guard מונעת מחברות צד שלישי להציע תכונות מסוימות ביישומי אבטחה? "קיימות דרכים נתמכות להפעיל קוד ברמת הגרעין. אנו מבקשים להבין לשם מה משתמשות חברות האבטחה בתפקודים אלה, וכיצד ניתן להשיג מטרות אלה בדרך בטוחה. טכנולוגיית Patch Guard מונעת שימוש בממשקים בלתי נתמכים ובלתי מתועדים. אנו מחויבים לשתף פעולה עם חברות האבטחה ולאפשר להן להציע תפקודים שונים בצורה בטוחה".

סימנטק ומק'אפי טוענות גם ש-Windows Security Center, כפי שהוא מיושם בויסטה, יבלבל את המשתמשים - משום שלא ניתן לחסום את לוח הפיקוד, אפילו כשהמשתמשים מתקינים לוח פיקוד מצד שלישי. "קודם כל, Windows Security Center אינו מוצר, והוא אינו מעניק שום הגנה, אלא רק מציג תמונה כוללת של האבטחה במערכת ההפעלה, בקטגוריות בסיסיות שונות. כל חברת אבטחה יכולה לגשת אליו ולהשתמש בו. אם חברת אבטחה מסוימת מבקשת להציע לוח פיקוד משלה, שכולל יותר קטגוריות או יותר תפקודים, זה יהיה נפלא, אך אנו סבורים שעדיין חשוב להציג את לוח הפיקוד של מערכת ההפעלה שמספק מידע ביחס לתפקודים הבסיסיים. הסיבה שאיננו מוכנים לחסום את לוח הפיקוד של מערכת ההפעלה היא משום שאין שום ערובה שבזמן שמסירים את לוח הפיקוד מצד שלישי, ישוב המשתמש ויתקין את לוח הפיקוד של מערכת ההפעלה, ואז יישאר המשתמש ללא הגנה".

מה תגובתך לטענות של סימנטק ומק'אפי? "החברות הללו משתפות עמנו פעולה. חלונות ויסטה לא תהיה גלולת קסם שתפתור בעצמה את כל בעיות האבטחה. אנו מאמינים ששיפרנו בצורה משמעותית את האבטחה הבסיסית של מערכת ההפעלה, כפי שביקשו לקוחותינו, אך חשוב לשמור על המבחר העומד לרשות הלקוחות. העמדנו לרשות החברות מצד שלישי גישה חסרת תקדים בזמן הפיתוח של מערכת ההפעלה. הן קיבלו שטחי משרד במתחם שלנו, גישה למעבדות, קשר ישיר עם המפתחים - מדובר בתמיכה חסרת תקדים. אבל, חשוב לנו לשפר את האבטחה של מערכת ההפעלה. לשם כך נאלצנו לקבל החלטות קשות. למרבה הצער, חברות מסוימות מעדיפות שמערכת ההפעלה תישאר לא בטוחה. הן מעדיפות שהדברים יישארו כפי שהם".