מיקרוסופט: עוד ארוכה הדרך אל "מיחשוב אמין"

תחזיקו טוב את הכסא: מתוך 52 השבועות של שנת 2004, רק במהלך שבוע אחד היו משתמשי דפדפן אקספלורר של מיקרוסופט באמת מוגנים מפני וירוסים.

הנתון העגום הזה, שחשפה חברת המחקר ScanIT, מדגיש את המשימה הקשה העומדת בפני מיקרוסופט כיום. חברת הענק, שמערכות ההפעלה שלה (דוס ולאחריה חלונות) הפכו לתקן מחייב ביותר מ-90 אחוז מכלל המחשבים בעולם, ספגה בעשור האחרון קיטונות של ביקורת חריפה על רשלונתה הבלתי נסבלת בכל הנוגע לאבטחת המערכת מפני פורצים, מזיקים ושאר מרעין-בישין.

אם בתחילה נקטה מיקרוסופט בגישה, לפיה את משימות האבטחה היא משאירה לחברות אחרות (שגם להן תהיה קצת פרנסה), הזינוק המסחרר בשימוש באינטרנט הבהיר לה שהמשחקים נגמרו; שאם לא תיקח את עצמה בידיים - היא חופרת בזאת במו ידיה את קברה. לפני שלוש שנים התחייב סוף-סוף ביל גייטס להתלבש על נושא האבטחה כיעד מרכזי בחברה ולעשות הכל - אבל הכל - כדי לסתום את הפרצות בתוכנות שלה.

נכון להיום, השדים מן העבר עדיין רודפים אומנם את מיקרוסופט, אבל המשאבים שהיא משקיעה בנושא עצומים. התייחסות לנושא לא נגמרת בשערי מטה החברה ברדמונד, סיאטל. החברה הרי שולטת בשוק התוכנה למחשבים גם בתחום מערכות ההפעלה וגם בתחום התוכנות המשרדיות. החלטה שלה לוותר על תיקון פירצה מסויימת עלולה להוביל להשבתת מאות-אלפי - לפעמים מיליוני - מחשבים בגלל תולעת הרסנית.

כשהבטיח גייטס כי הוא רואה באבטחה מרכיב עיקרי בחזון של מיקרוסופט, אף-אחד לא זילזל בו. אבל האם האימפריה שלו אכן עושה מספיק בעידן הנחשב לסוכן ביותר מאז הומצא המחשב? למה עדיין, בשנת 2005, כשאנחנו מפעילים את המחשב בבוקר, עדיין איננו יכולים להיות בטוחים שלא נותקף עד הערב?

שלוש שנים אחרי הבטחת האבטחה של גייטס, מציגה החברה שלו סידרת מספרים מרשימה שנוגעת לאבטחה. 170 מיליון עותקים של חבילת העידכון SP2 לחלונות XP, שמיועדת לטפל בעיקר בבעיות אבטחה; 3.2 מיליארד הודעות דואר זבל שנחסמות מדי יום על-ידי מערכות האנטי-ספאם של הוטמייל; 120 תביעות ברחבי העולם נגד שולחי דואר זבל - ושעתיים בלבד שחלפו עד שנמצאה תגובה ראשונית להתפרצות התולעת המסוכנת סאסר.

מאחורי הרצון להפוך את האינטרנט למקום בטוח יותר, היתה מטרה עסקית ברורה, שלא ממש מסתירים במיקרוסופט: חשש מאובדן שוק. עובדים במשרדים שנתקלו בדואר זבל באאוטלוק שלהם, החלו לחפש תוכנות דואר אחרות. העובדה שחלונות הצטיירה כמערכת הפעלה לא בטוחה הביאה ארגונים לשקול מעבר ללינוקס. בעיית הזבל שהלכה והחריפה בהוטמייל גרמה למשתמשים לנטוש את השירות.

במיקרוסופט הבינו שהמשתמשים מעדיפים מוצר אמין ומאובטח על-פני עוד כמה תכונות וחידושים נוצצים. אבל קשה להימלט מהתחושה, שקדחת האבטחה של מיקרוסופט מונעת גם על-ידי משהו בסיסי יותר, שנובע מהרוח האמריקנית של סדר חדש בעולם. כמו שלנשיא בוש נראה טבעי להיות השוטר בעיראק, גם למיקרוסופט, כחברה הגדולה והמשפיעה ביותר בתחום, נראה טבעי לעשות סדר בעולם המחשבים המלא איומים.

במיקרוסופט, כמו בכל חברה אמריקנית מסודרת, תרגמו מייד את החזון לחטיבות חדשות ותחומי אחריות שהוקמו במיוחד, בהשקעה כספית גדולה, כדי לטפל בנושא. החזון עצמו פורק לארבעה גורמים עיקריים: אבטחה, פרטיות, אמינות ושלמות עסקית. בכל אחד מהם מטפלת החברה באופנים שונים.

מבחינת האבטחה עצמה, מדובר על השקעה ביסודות, מרמת התוכנות הבסיסית ביותר ועד לשיתוף פעולה עם גורמים שונים בתעשיית המחשבים כדי להציע פתרונות אבטחה כוללים. מיקרוסופט מדגימה זאת על תוכנות השרת מתוצרתה. לשרת חלונות 2000, למשל, יצאו 64 עידכוני אבטחה קריטיים בשנתיים שחלפו מאז השקתו. לעומתו, שרת חלונות 2003 נזקק רק ל-27 עדכונים שכאלה.

החברה ריכזה מאמץ גם בנושא עידכוני האבטחה: פעם בחודש, ביום קבוע, אפשר לעדכן את המחשב באמצעי הגנה חדשים. במיקרוסופט מסבירים, שכך יכולים ארגונים גדולים להיערך מראש ולהתקין את עדכוני האבטחה בצורה מסודרת, דבר שנמנע בעבר, כאשר הארגונים הופתעו בכל פעם מחדש עם עדכונים אחרים. גם מנגנון עדכון התוכנה למשתמשים הפרטיים, Windows Update, עבר שינוי מקיף, והוא מופעל כיום כברירת מחדל בחלונות XP ומוריד עדכונים אוטומטית.

בתוך מספר חודשים צפוייה החברה להשיק שירות עדכונים חדש עוד יותר, שיאפשר לעדכן ממקום אחד לא רק את מערכת ההפעלה, אלא גם תוכנות נוספות. כך יימנע הצורך מהמשתמשים לחפש עבור כל מוצר בנפרד את העדכונים הרלבנטיים לו.

גם הפיראטיים יעודכנו

עדכוני האבטחה הפכו לעניין מהותי לאחר שהחברה השיקה יוזמה חדשה בשם חלונות המקורית (Genuine Windows), שמאפשרת רק לבעלי עותק מקורי של חלונות להוריד תוכנות שונות. בענף המחשבים חוששים, כי החברה תמנע מלקוחות פיראטיים להוריד עידכוני אבטחה, דבר שיפגע גם במשתמשי התוכנות החוקיות.

אם, למשל, תתפרץ תולעת ומשתמש בגירסה פיראטית של חלונות לא יוכל להתגונן מפניה - התולעת עלולה להתפשט ולהזיק גם למשתמשים חוקיים, שיסבלו מהעומס שתיצור התולעת הזו על רשת האינטרנט. במיקרוסופט מודעים לכך, ומנסים להלך בין הטיפות. במהלך השנה מתכננת מיקרוסופט לחייב כל משתמש שירצה עדכונים למערכת ההפעלה, כולל עידכוני אבטחה, לוודא שהעותק שלו חוקי.

עם זאת, משתמשים לא חוקיים יוכלו עדיין להתעדכן באמצעות שירות העדכונים האוטומטי בחלונות. מיקרוסופט מתמקדת באחרונה גם בפיתוח תוכנות חדשות בתחום האנטי-וירוס והאנטי-ריגול. היא רכשה את חברת Giant בסוף 2004, והפיצה כלי לסריקת תוכנות ריגול, שניתן חינם לכל משתמשי חלונות.

יותר משבעה מיליון הורדות

עד עתה נרשמו לתוכנה יותר משבעה מיליון הורדות. חודשיים לאחר מכן, הפתיעה מיקרוסופט שוב כאשר רכשה את חברת Sybari, העוסקת בפתרונות אנטי-וירוס לשרתים ארגוניים, והודיעה כי תשלב גם את הטכנולוגיה שלה במוצריה.

בכל הקשור לתחום האנטי-וירוס מסרבים במיקרוסופט לפרט תוכניות עתידיות, אך המתחרים בתחום זוכרים בחשש את מה שקרה בפעמים קודמות כאשר גייטס הציג כלי יעודי בתחום מסויים (למשל, דפדפן).

במיקרוסופט מדברים בינתיים על אנטי-וירוס לא כעל מוצר חדש - אלא כעל טכנולוגיה, שתהווה חלק בלתי נפרד משרתי המחשבים כדי להתמודד טוב יותר עם וירוסים.

אחד המוקדים שזכו לתיגבור ולהשקעה מסיבית בעקבות המהלך של גייטס הוא מרכז התגובה לאיומי אבטחה של מיקרוסופט (MSRC). המרכז, שבו אירחה אותנו מיקרוסופט לפני מספר שבועות, מהווה את  לב החברה לטיפול באיומי אבטחה מתפרצים.

שירה שגיב היא ישראלית המועסקת במרכז כמנהלת מוצר. תפקידה כולל טיפול בהעברת המידע לגורמים פנימיים וחיצוניים בחברה. אף שמספר העובדים במרכז עצמו לא עולה על 20, שגיב מסבירה, כי למעשה כל מיקרוסופט נתונה למרותם: ברגע שמתעורר איום אבטחה לגבי מוצר מסויים, קיים איש קשר בכל יחידת פיתוח שאנחנו מפעילים, והוא אחראי להפעיל את כל שאר הצוות, שמגיע מייד כדי להתחיל לעבוד על תיקון.

במיקרוסופט מנסים להקדים תרופה למכה: חלק מתפקידי מרכז התגובה הם לגלות איומים עוד לפני שהם מתפרצים. אנשים שלנו סורקים את הרשת במקומות מועדים לפורענות. אם אנחנו מגלים שמישהו מדבר על יצירת איום חדש, אנחנו מנסים לאתר אותו לפני שיתפרץ.

היסטוריית החיסולים

המרכז מחוייב לספק מענה בזמן קצוב: 45 דקות מהרגע שהאיום על האבטחה התפרץ יש להודיע על כך לכל צוות התגובה. בתוך 45 דקות נוספות אמור להיות צוות הפיתוח של המוצר הרלבנטי כבר בפעולה. חריגה מלוח הזמנים תגרור בירור נוקב ברמות הגבוהות ביותר.

מיקרוסופט ספגה ביקורת על כך שהיא לא מודיעה לציבור על הפרצות שהתגלו בתוכנות שלה, אלא רק לאחר שיש לה תיקון מיוחד ביד. שגיב מסבירה, כי מדובר בדילמה קבועה: מצד אחד, אנחנו רוצים ליידע את המשתמשים. מצד שני, זה יכול לגרום נזק, כיוון שמישהו יבחר לנצל זאת לרעה וכך יגדל מספר הנפגעים.

את הדילמה פותרים בכל מקרה לגופו. בחלק מהמקרים, כאשר מדובר בבעיה קריטית שניתן לנטרל במערכת, החברה מודיעה על כך למשתמשים. במקרים אחרים, החברה ממתינה עד שיש לה עדכון אבטחה מוכן ורק אז מודיעה על הפירצה.

קשה לדעת אם יש לפעילות המרכז קשר הדוק לאי-הופעתם באחרונה של איומים חדשים בקנה מידה בינלאומי. במיקרוסופט מאמינים, שפעילות המרכז, יחד עם חבילת העדכון השנייה לחלונות וההדרכות למשתמשים, תרמו רבות לכך שהתפרצויות תולעי מחשבים המוניות הפכו לחזיון פחות שכיח.

למעשה, מאז התפרצות סאסר במאי 2004 לא נראתה התפרצות משמעותית של תולעת מחשבים. עם זאת, מיקרוסופט לא נחה על זרי דפנה. ויש לה סיבה טובה: חלונות 95 חיסלה את וירוסי האתחול (Boot Sector) שהיו שכיחים עד אז, אופיס 95 שמה קץ לווירוסי המאקרו אבל בכל פעם הופיעו איומים חדשים במקום אלו שנעלמו.

מיקרוסופט לא מתכוונת להסתפק בעדכוני אבטחה. מוצרים חדשים שיוצאים לשוק כיום, וכאלה שהפיתוח שלהם החל באחרונה, זוכים לתשומת-לב מיוחדת בכל הקשור לאבטחה כבר בשלב התכנון המקורי. ריץ' קפלן, סגן נשיא בחטיבת האבטחה והטכנולוגיה של מיקרוסופט, מסביר: "היום יש לנו בכל מוצר 'עץ קוד' המיועד לאבטחה, ו'עץ קוד' נוסף, של המוצר עצמו. המשמעות: עדכוני אבטחה לא יגרמו נזקים לתכונות קיימות אחרות של המוצר".

בחברה מבטיחים לא לחזור במוצרים החדשים על טעויות העבר. אחת הדוגמאות לכך היא אקספלורר 7, גירסה חדשה של הדפדפן, שאמורה להופיע כבר בקיץ הקרוב. מיקרוסופט כלל לא תכננה להוציא עדכון לדפדפן עד שתציג את לונגהורן, הגירסה הבאה של חלונות, ב-2006. אבל הארגונים הגדולים לחצו. חלקם דרשו תיקון לאיומי האבטחה המתגלים באקספלורר השכם וערב, ואחרים פשוט איימו, כי יעבירו את כל עובדיהם להשתמש בדפדפן החופשי פיירפוקס.

הלחץ עשה את שלו, ולפני כחודש הודיע גייטס על הגירסה החדשה, שתתמקד בעיקר בעדכוני אבטחה ובתוספות שיאפשרו למשתמש לשלוט על הפרטיות שלו. חלק מהעדכונים הללו יגיעו ישירות מלונגהורן, מוקדם מהצפוי. מפרטים ראשונים עולה, בין היתר, כי למשתמש יתאפשר ליצור כרטיסי זהות, מעין מסמכים אלקטרוניים, המכילים מידע אישי, שאותו ניתן יהיה לחשוף רק באישור מיוחד.

הדבר יאפשר להילחם בתופעת הפישינג - הקמת אתרים מזוייפים, שנועדו להשיג פרטים אישיים של גולשים תמימים באמצעות התחזות לאתרים חוקיים. עדיין מוקדם לומר כיצד כל המהלכים הללו יובילו למחשבים מאובטחים יותר. בזמנו דיבר גייטס על כך שמחשוב צריך להיות זמין ובטוח בדיוק כמו חשמל ומים. אין עוררין על כך, הבעיה היא, שהדרך עדיין נראית רחוקה.