A Microsoft és partnerei a megbízható számítástechnikáért

A Microsoft Magyarország biztonságtechnikai partnereivel együtt a múlt év végén jelentette be biztonságtechnikai kezdeményezéseit. A szoftvergyártó hazai leányvállalata, az ICON Kft. és az Insurance Technology Kft. sajtótájékoztató keretében ismertették a kezdeményezés eddigi tapasztalatait, eredményeit. Az ICON Kft. adatbiztonsági akciójára egy hónap alatt 71 szervezet jelentkezett, s az elmúlt hat hónapban 120.000 példányban jelent meg a Microsoft és az Insurance Technology Kft. közös fejlesztésű terméke, a Security CD is. Az IT március elején indított biztonsági oktatási programja keretében a Microsoft mintegy 50 partnerének munkatársai szereztek korszerű biztonságtechnikai ismereteket.

Vityi Péter, a Microsoft Magyarország ügyvezető igazgatója kiemelte, hogy a Microsoft továbbra is eltökélt abban, hogy felhasználói, ügyfelei számára biztonságos termékeket kínálhasson. "A Microsoft Secure Windows, azaz Biztonságos Windows kezdeményezése keretében a termékfejlesztés legfőbb célkitűzése, hogy a kibocsátandó termékek biztonsági szempontból maximálisan megfeleljenek a fogyasztók elvárásainak. A Stratégiai Technológia Védelmi Program keretében a szoftvergyártó még az idén kibocsátja a Windows 2000 SP3-at, valamint a legfrissebb operációs rendszerhez, a Windows XP-hez fejlesztett javítóállományt. A Biztonságos Windows kezdeményezés, a tavaly meghirdetett Stratégiai Technológia Védelmi Program és a Microsoft „Megbízható Számítástechnika” (Trustworthy Computing) elnevezésű kezdeményezése együtt alkotja a szoftvergyártó hosszútávú biztonsági stratégiáját. Legfőbb célkitűzése az, hogy mind az egyéni, mind a vállalati felhasználók úgy számíthassanak a számítástechnikára, mint akár az elektromos áramra vagy a telefonra." - tette hozzá Vityi Péter.

Az ügyvezető a távolabbi tervekről szólva kiemelte a biztonságtechnikai kompetencia központok létrehozásának szükségességét, valamint azt, hogy a Microsoft biztonságtechnikai programjai, az iparági partnerek bevonásával az ügyfelek minél szélesebb körében váljanak egyre népszerűbbé.

Scannelés: egy akció nyomában

A tavaly év végén meghirdetett és az ICON Számítástechnikai Kft., valamint a Microsoft Magyarország által indított közös adatbiztonsági akcióra 71 szervezet jelentkezett, amelynek többsége (46 jelentkező) kis és középméretű vállalkozás. A lista második helyén az oktatási intézmények szerepeltek - huszonkét iskola kérte rendszerének felülvizsgálatát -, további három jelentkező, pedig önkormányzat volt.

Az átvizsgálások során szerzett tapasztalatok több érdekes tény megállapítására adtak módot az ICON szakembereinek. Az első ilyen tény az, hogy az IIS szerver legújabb 5.0-ás változata még nem terjedt el olyan széles körben, mint az a szoftver megbízhatóságát tekintve várható lenne. A vizsgált rendszerek több mint felénél a 4.0-ás változat működött, sőt az elemző szoftver néhány 3.0-ás változatot is talált. Mindez még nem okozna igazán nagy gondot, ha a rendszerek naprakészségéért felelős szakemberek, minden a Microsoft által kiadott javító állományt telepítettek volna. Ezen javítások alkalmazása azonban sajnos sokszor késik, sőt időnként el is marad, ami növeli a támadás veszélyét, illetve esetleges sikerét.

A tapasztalatok másik része a konfigurálásra vonatkozott. Így például nagyon sok helyen engedélyezett volt az úgynevezett anonymus FTP használata, amely egyrészt nagyban megkönnyíti a rendszerek üzemszerű felhasználását, de pontosan ennyire könnyíti meg a rosszindulatú látogatók - betörők - munkáját is. Az anonymus FTP a valamire való hacker számára felhívás keringőre - olyan, mint a bejárati ajtóra tűzött "Kulcs a lábtörlő alatt" cédula.

Az ICON szakembereinek vizsgálataiból az is egyértelművé vált, hogy a Web-szerverek mellett a file-szerverek és az adatbázis-szerverek fenyegetettsége is jelentős. Az utóbbi kettő veszélyeztetettsége külön is kiemelendő, mivel az ezeket hordozó rendszerek már nem az Internet-kapcsolat többé-kevésbé védett zónájában, hanem a belső területen helyezkednek el (azaz védelmüket nem minden esetben tekintik kiemelt kérdésnek). A fenyegető veszély mértékének felbecsülésekor elég csak arra gondolni, hogy e szerverekhez minden vállalati dolgozó hozzáférési joggal rendelkezik. a biztonság elvártan magas szintje nem egyszeri ellenőrzéssel, hanem folyamatos munkával tartható fent, e munka azonban az ICON tapasztalatai szerint sok esetben meghaladja a közép- és kisvállalatok informatikusainak lehetőségeit. Ez a tény önmagában nem minősíti a szakemberek tudását, hiszen a biztonsági kérdések olyan szerteágazók és bonyolultak, hogy a témával professzionálisan foglalkozókon kívül senkinek nem lehet elég ideje követni a fejlődést, figyelni minden új javítóállományt és alkalmazni a legújabb eszközöket.

Ezért érdemes a dolgot szakértőkre - az ICON munkatársaira, a biztonsági üzletág többéves szakmai tapasztalattal rendelkező biztonsági szakembereire - bízni, akik testreszabott szolgáltatások formájában már több tucat elégedett ügyfélnek nyújtották át mély és folyamatosan karbantartott tudásuk legjavát.

Security CD és oktatás: Lépésről lépésre a biztonság útján

Mindössze hat hónap leforgása alatt immár 120. 000 példányban jelent meg vezető számítástechnikai lapok mellékleteként a Microsoft és az Insurance Technology közösen fejlesztett terméke, a Security CD. Minden megjelent verziójú CD tartalmazza, a kiadás időpontjában legújabb frissítéseket, és javítva lettek a felszínre került programhibák is. A legutolsó verzió újdonsága, hogy támogatja a magyar nyelvű Windows XP-t.

Előkészületben van a Security CD továbbfejlesztése, ami teljesen új funkciókat (nyelvi és szoftver verziók automatikus felismerése, felhasználói csoportok kezelése, System Checking Disc - biztonsági integritás teszt, biztonsági audit - biztonsági események automatikus vizsgálata) és még inkább felhasználóbarát kezelőfelületet fog tartalmazni. Kibővítésre kerül a választható biztonsági szintek száma is. A következő kiadást 2002. júliusára tervezzük.

A biztonság területén következő közös kezdeményezés a biztonsági oktatás volt, amelynek célja biztonsági tudatosság erősítése partnerek és viszonteladók körében, és amely külön kiemelve kiterjed a Windows 2000 termékek biztonságára is. A 15 alkalomból álló, egész napos oktatás tartalmazott elméleti áttekintést és gyakorlati, számítógép mellett végzett feladatokat, előadást. Az oktatás fő témái az informatikai biztonság alapjai, valamint a Windows 2000 biztonsági funkcióival kapcsolatos ismeretek voltak. Az oktatáshoz az ITech a szakmai hátteret, illetve az oktatással kapcsolatos feladatok szervezését, majd az oktatás lebonyolítását biztosította, a Microsoft Magyarország pedig a szükséges marketing támogatást biztosította.

A március elején indított biztonsági oktatási program keretében a Microsoft mintegy 50 partnerének munkatársai végezték el a tanfolyamot. A tapasztalatok szerint részben a rendszerfrissítések, javító állományok telepítésének hiánya, illetve a nem megfelelő konfigurációs beállítások, nagyobb részt pedig, az üzemeltetési környezetben (humán, szervezési, fizikai) rejlő veszélyforrások vezetnek az IT biztonsági incidensek előfordulásához.