המיחשוב האמין - הבטחה או איום?

בחלק הקודם: היכרות עם לונגהורן

נכון ש-Windows XP היא מערכת הפעלה הרבה יותר בטוחה ואמינה ממהדורות 9x שקדמו לה. אבל הזרם המתגבר של פרצות האבטחה החדשות, התיקונים עבורן, והוירוסים שמנצלים אותן, מראה שעוד ארוכה הדרך. אבטחה משופרת היא לא רק שאלה של תיקון באגים ושגיאות ארכיטקטוניות במערכת וביישומים. כדי להשיג רמה גבוהה משמעותית של אבטחה יש לפתח פלטפורמה חדשה, שתספק למפתחים ולמשתמשים רפרטואר של תכונות ויכולות שיהפוך את יוזמת "המיחשוב האמין" (Trustworthy Computing) של מיקרוסופט ליותר מביטוי.

האסטרטגיה של מיקרוסופט תוסיף להתבסס על בחינה מתמדת של הקוד בחיפוש אחר אזורים בעייתיים והפצת טלאים ותיקונים, אבל היא תיעזר גם בסביבת .NET, שתאפשר להתמודד עם איומי האבטחה לא רק באמצעות תיקון אלא גם באמצעות מניעה - לצמצם שגיאות אופייניות שעלולות ליצור פרצות אבטחה. לטווח הארוך יותר, הם מתכננים מודל חדש ואמביציוזי - שבעבר נודע בשם "פלדיום" (Palladium) וכיום מכונה בראשי התיבות המוזרים משהו NGSCB (הם מבוטאים כ"אינג'-סקוב" ומשמעותם Next-Generation Secure Computing Base).

"פלדיום" - אח גדול או מאבטח"?

למרות ש-NGSCB הושמץ והוגדר כמנגנון שמתאים לאח הגדול, הרי שהוא מתוכנן לספק יכולות שיבטיחו שהיישומים הם בדיוק מה שהם טוענים שהם, שהתפקידים וההרשאות שלהם מוגבלים בצורה נכונה, ושנעשה שימוש בשיטות הצפנה חזקות כדי להבטיח פלטפורמה אמינה להחלפה בטוחה של מידע ולביצוע טרנסקציות כספיות ללא חשש.

כדי להשתמש בתכונות של NGSCB, תזדקקו ללוח-אם עם תכונת SSC/TPM) Secure Support Component/Trusted Platform Module), מעבד וערכת שבבים תואמי NGSCB, וגם התקנים פריפריאליים ייעודיים. בצד של המעבד וערכת השבבים, אינטל שוקדת כבר על טכנולוגיית LaGrande, שאמורה לאפשר יכולות מתקדמות, כמו הגנה על מקטעי זיכרון ספציפיים מגישה ישירה לזיכרון (DMA). אינטל תתחיל לתמוך בטכנולוגיית LaGrande במעבד הבא שלה, Prescott, ובערכות השבבים עבורו.

דיסק קשיח מוצפן

מערכת NGSCB תאפשר ליצור דיסק קשיח שתוכנו מוצפן. הגישה לדיסק מתנהלת לפי מפתחות ספציפיים - כך שתוכנה אחת אינה יכולה להציץ בתוכן המאובטח של תוכנה אחרת ללא רשות. באותו אופן, תוכנה אינה יכולה לגשת או להשתמש בחלקי זיכרון הנמצאים בשימוש של תוכנה אחרת. מכאניזם ה"השבעה" (attestation) מאמת את הזהות של כל תוכנה, באמצעות קוד (Checksum קריפטוגרפי), כדי להבטיח שמידע מסויים יהיה נגיש רק לתוכנה שיש לה הרשאה מפורשת אליו - אבל גם כדי להבטיח שתוכנה מסויימת לא שונתה במזיד, נדבקה בוירוס, או שהוחדר אליה סוס טרויאני, למשל. ברשת מקומית, הסוג הזה של האבטחה אמור להיות מיושם לא רק ברמת התחנה, אלא בכל הרשת.

ניהול היכולות הללו ואספקת ממשקי API ליישומים, ייעשה על-ידי מקשר (Nexus), רכיב שפועל ב"צד הימני" של שכבת הליבה בעוגה שדמיינו קודם. מיקרוסופט מתכוונת לספק מקשר בסיסי עם Longhorn.

אבל רגע, מה קורה אם אתם לא בוטחים במיקרוסופט?

ראשית, השימוש במקשר וב-NGSCB בכלל, אינו כורח המציאות - הוא אופציונלי. מיקרוסופט גם מתכוונת לפתוח את קוד המקור של המקשר לסקירה ביקורתית של האקדמיה, וקהילות סגורות אחרות. כאלטרנטיבה אפשרית בעתיד, יוכלו חברות צד-שלישי לפתח מקשרים משל עצמן. מקשרי צד-שלישי כאלה לא חייבים להיות מוגבלים להתקנים מבוססי Windows, כך שזה בהחלט אפשרי שמערכות Windows עם לקוח NGSCB ידברו עם שרתי Linux או סולאריס שיפעילו NGSCB משלהן (בהנחה שתהיה תמיכה ב-NGSCB במערכות כאלה).

לא קסם

כיצד ישפיע NGSCB על ממשקי המשתמש, קשה עדיין לקבוע, למרות שברור למדי שמיקרוסופט רואה בממשק משתמש אפקטיבי עניין קריטי. קשיחותה של מערכת אבטחה לא יכולה להיות גדולה יותר מזו של החוליה החלשה בשרשרת, והחוליה החלשה היא לרוב משתמשים וההחלטות שהם מקבלים. הפופולריות של תוכנות הריגול היום, לדוגמה, היא פועל יוצא של משתמשים תמימים שגולשים ברשת ופשוט מקליקים "כן" בתיבות דו-שיח שמבקשות מהם לאשר התקנה של תוספי תוכנה. תכונה מעניינת נוספת של NGSCB היא הפתח שהוא פותח לגופי תקינה מצד-שלישי לאשר יישומים, מה שמאפשר לעסקים להסמיך גוף חיצוני אמין לטפל בהחלטות האבטחה הללו.

מערכת NGSCB אינה פתרון קסם, אבל היא טומנת בחובה הבטחה: לאפשר למפתחי חומרה, מערכת ההפעלה והיישומים לעבוד ביחד כדי לבנות חומות חזקות יותר בין היישומים ולסתום פרצות רבות שמידע רגיש יכול לזלוג דרכן. וזה אמור לאפשר למנהלי המערכות לישון טוב יותר בלילה.

מערכת הקבצים של לונגהורן (ניל ג'. רובנקינג)

בעשרים השנים האחרונות, מערכת הקבצים של DOS ושל Windows התפתחה באיטיות מאולצת. המערכת שהתבססה על טבלת הקצאה בת 16 ביט (FAT16), לא ידעה להתמודד עם כוננים בנפחים של יותר משני ג'יגהבייט. היורשת בת 32 הביט שלה, FAT32, הצליחה לטפל בדיסקים ענקיים אבל נותרה שברירית כמו קודמתה - בייט שגוי אחד הספיק כדי להפוך קובץ לבלתי נגיש. מערכת NTFS) New Technology File System), שהוצגה עם Windows NT 3.5, השתמשה בטבלה חדשה, בסגנון מסד נתונים (Master File Table), שאפשרה גישה מהירה יותר לקבצים וגם אמינות גבוהה יותר.

בלי קשר לשאלה האם מערכת הקבצים בה אתם משתמשים היא FAT או NTFS, חוויית השימוש של סביבת Windows מעוצבת במידה רבה על-ידי עץ התיקיות. כדי להגיע לקובץ מסוים, לא נדיר שעליכם לנווט 10 או 12 רמות פנימה בהיררכיה - וזה כמובן בהנחה שאתם יודעים היכן הקובץ שאתםפ מחפשים. אם לא, תאלצו לבקש מ-Windows לחפש אותו. השאלה הפשוטה שצריכה להישאל היא זו: מדוע צריך להיות אכפת לכם היכן הקובץ מאוחסן? הרי מה שחשוב הוא התוכן שלו, לא המיקום.

WinFS

מערכת הקבצים העתידית (WinFS) שתשרת את Longhorn תישען על גירסת השרת הבאה של MS SQL Server, המכונה Yukon. נוסף על מאפיינים מוכרים כמו שם הקובץ, גודלו והתאריך בו נוצר, הקבצים גם יאורגנו באינדקס של מטה-מידע, עם פרטים כמו שם המשתמש שיצר את הקובץ, או המידות של תמונה. הניהול ההיררכי של התיקיות (Folders) יישאר מאחורי הקלעים, אבל המשתמש יוכל לגשת לקבצים שלו דרך ספריות (Libraries), שיארגנו את הקבצים ללא קשר למיקום שלהם, בצורה תלויית הקשר.

גרסאות האלפא של Longhorn שדלפו לרשת, כוללות מספר ספריות מוגדרות מראש, שמרכזות את הגישה למסמכים, משחקים, מוזיקה, "הקישורים שלי" (My Contacts, התחליף לפנקס הכתובות של Windows), תמונות ווידיאו. אנו מניחים שמשתמשים יוכלו ליצור ספריות נוספות בהתאם לקריטריונים שלהם.

חיפוש על פי הקשר

חשוב להדגיש: הקבצים שיאורגנו בספרייה מסויימת לא ישנו את מיקומם בדיסק - הם יישארו במיקום המקורי שלהם בעץ התיקיות, והספרייה פשוט תרכז את הגישה אליהם במקום אחד. למעשה, קובץ אחד יוכל להופיע בספריות רבות. לא זו בלבד שהתצוגה של כל ספרייה תוגדר בהתאם לסוג הקבצים שיש בה - תכונה שקיימת כבר במהדורת XP - אלא שכאשר יופיע במערכת קובץ חדש שיהיה תואם לקריטריונים של ספרייה מסויימת, הוא יתווסף אליה אוטומטית (בדומה, אגב, לתיקיות החיפוש ב-Outlook 2003, הפועלות על אותו עיקרון).

תכונת התיאור העצמי של פורמטי קבצים מבוססי XML, תהפוך את המטה-מידע הזה נגיש אוטומטית עבור WinFS, וזה יעודד את השימוש בסוגי קבצים כאלו. איננו יודעים עדיין אם WinFS תהיה זמינה גם בגרסאות אחרות של Windows, או אפילו אם היא תהיה ברירת המחדל בהתקנת Longhorn. אבל כאשר היא תופיע, אנו נתרגל למצוא קבצים על-פי מה שהם ולא המקום בו הם נמצאים.