Programhitelesítés: biztonság vagy cenzúra?

[ZDNET] Felmerült a kérdés, hogy vajon a Microsoft következő operációs rendszerének legvitatottabb képessége tényleg a nagyobb biztonságot szolgálja, vagy esetleg a cég hatalmát hivatott kiterjeszteni.

A múlt héten számos biztonságtechnikai szakember arra utalt jelentésében, hogy fennáll a veszélye, hogy a Microsoft a Whistler hitelesített alkalmazásai a cég érdekét fogják szolgálni. Az eljárás, melynek lényege az, hogy a nem hitelesített alkalmazások futását le lehet tiltani az operációs rendszerben, eredetileg a megnövelt biztonság érdekében lett a Whistlerbe implementálva. A Whistler letilthatja az összes olyan alkalmazás, makró, stb. futását, amelyet a készítők nem láttak el hitelesítéssel. Ez a hitelesítés azért lehet hasznos a cég szerint, mert az ehhez kapcsolódó módszerrel a vírusok és féregprogramok működésbe lépését meg lehet akadályozni, feltételezve természetesen, hogy a vírusok nem rendelkeznek hitelesítéssel.

Egyes szakemberek azonban arra próbálnak rávilágítani, hogy az eljárás "rossz célra" is felhasználható. A hitelesítés ugyanis a Microsoft által valamilyen okból korlátozni kívánt programok használatának megakadályozására is alkalmas. Erre talán az egyik legjobb példa az America Online. Az AOL olyan szolgáltatással rendelkezik, amely a Microsoft hasonló szolgáltatásának a konkurenciája. (Instant Messenger-üzenetküldő szolgáltatás) A Microsoft megtehetné, hogy egész egyszerűen nem adna hitelesítést a konkurencia programjának.

Az, hogy egy ilyen lépés mennyire lenne legális, jelen pillanatban nem egyértelmű. A kérdésre, hogy megtehetnék-e, Steve Lipner, a Microsoft biztonságtechnikai részlegének képviselője nemmel válaszolt. Lipner szerint a hitelesítés elbírálása nem a Microsoft kiváltsága lenne, és a hitelesítés megszerzésére mindenkinek joga lenne, miután bebizonyosodott, hogy az adott programot készítő személy/cég létezik, adatai valósak, valamint a program nem tesz kárt semmiben.

A hitelesítés meghamisítására elvileg nincsen lehetőség, a már hitelesített programok pedig nem változtathatóak, mert akkor a hitelesítés érvényét veszti, és a program újbóli elbírálásra szorul. A bizonyítvánnyal az a probléma, hogy a kisebb cégek, esetleg magánszemélyek egyszerűbb alkalmazásaikhoz is kénytelenek lennének megszerezni a bizonyítványt, erre azonban nem mindenki tudna időt, és esetlegesen pénzt fordítani. Arról nem is beszélve, hogy mi van azokkal, akik a saját programjukat fejlesztik? Minden fordítás után újrahitelesíttessék a programot, hogy kipróbálhassák hogyan működik? A saját magunk részére írt programot is hitelesítenünk kell, hogy nem-e akarunk magunknak kárt okozni?

A bizonyítvánnyal nem rendelkező programok futása egyelőre engedélyezhető/tiltható lesz, de ha az ellenőrzést kikapcsoljuk, akkor meg nincsen semmi értelme.

Elképzelhető az is, hogy egy vírus is megszerzi a hitelesítést. A vírusprogram lehet álcázva egy szimpla felhasználói programba, esetleg játékba is. A mai, bonyolult programok teljes átvizsgálása és ellenőrzése lehetetlen, s ezt pont a Microsoftnak kellene a legjobban tudnia. Nem lenne nehéz olyan álcázott vírusprogramot sem írni, ami azután fejtené ki romboló hatását, hogy egy másik alkalmazást telepítettünk gépünkre. Mindenki az újonnan feltelepített alkalmazásra gyanakodna.

Egy profi hackernek az sem jelentene gondot, ha egy ismert szoftvercég hálózatába kellene bejutni, hogy az általuk készített program forrásába vírust illesszen. A programot hitelesítés után mindenki jóhiszeműen megvenné, miközben a vírus éppen abban lenne. A módosítás magában az operációs rendszerben is elvégezhető lenne, és esetleges biztonsági rést nyithatna ( a meglévők mellé ) az operációs rendszerben, ami később más vírusok terjedését segíthetné elő.