Microsoft i bezbednost - decenija preokreta

Tekstovi o zaštiti, 12.01.2012, 23:19 PM

Microsoft i bezbednost - decenija preokreta

Pre deset godina Microsoft je imao veliki problem. U isto vreme korisnici računara takođe su imali jedan problem - Micosoft, odnosno softver koji je tada proizvodila ova kompanija. Bagovit kod koji je omogućavao da virusi poput CodeRed, IloveYou, Melissa, Nimda i drugi inficiraju milione računara sa Windows-om i Microsoft-ovim veb softverom.

Početak XXI veka nije bio dobro vreme za kompaniju iz Redmonda. Nestabilan i nesiguran softver koji je proizvodio Microsoft, posebno ako se govori o Internet Explorer-u, Outlook-u i Windows-u i široko rasprostranjeni VB skript virusi dovodili su kućne korisnike na ivicu očaja i bili izvor velikih problema korporativnih korisnika Microsoft-ovog softvera.

I jedni i drugi zahtevali su odgovor od kompanije, ali Microsoft ga u tom trenutku nije imao. Reputacija kompanije je tada bila na staklenim nogama. Microsoft je bio sveprisutan, ali softver koji se nalazio na većini kućnih i poslovnih računara je bio sve samo ne pouzdan i solidan.

A onda je došlo do preokreta. 15. januara 2002. godine Bil Gejts je poslao email koji je postao poznat kao memorandum o pouzdanom računarstvu (Trustworthy Computing memo) koji je bi prvi znak da su u Microsoft-u svesni problema bezbednosti. Dokument je sadržao Gejtsovo obećanje da će kompanija sprovesti radikalne promene.

“Kako softver postaje sve složeniji, međuzavisan i međusobno povezan naša reputacija kao kompanije postaje sve ranjivija. Propusti u jednom Microsoft-ovom proizvodu, servisu ili politici ne samo da utiču na našu platformu i servise u celini, već i na pogled naših korisnika na nas kao kompaniju. Sada kada smo suočeni sa izborom između dodavanja funkcija i rešavanja problema bezbednosti, moramo izabrati bezbednost,” reči su koje je zaposlenima u kompaniji uputio Bil Gejts.

Ali Gejts je samo bio prvi koji je izrekao ono čega su bili svesni i drugi ljudi u kompaniji. Nekoliko meseci pre nego što je Gejts poslao čuveni email održana je mala konferencija u Redmondu na kojoj su okupili stručnjaci u oblasti kompjuterske bezbednosti koji su diskutovali o principima i konceptu na kome treba da bude utemeljen bezbedniji softver.

Da bi prevazišla krizu, kompanija je pokrenula Trustworthy Computing inicijativu koja je postala prioritet u Microsoft-ovom pristupu u razvoju softvera.

U mesecima koji su usledili nakon objavljivanja Gejtsovog pisma, Microsoft je započeo sa sprovođenjem bolnih internih promena čiji je cilj bio da se fokus programera pomeri u pravcu razvoja bezbednog softvera. Sve do tada, u kompaniji je bio dominantno načelo “isporuči ili umri” a funkcije i funkcionalnost bile su dvoglavo božanstvo koje je svaki Microsoft-ov programer obožavao. Situacija u kojoj bi objavljivanje programa bilo zaustavljeno zbog problema u bezbednosti softvera bila je skoro nezamisliva.

A upravo se to dogodilo nekoliko meseci posle Gejtsovog memoranduma. Kompanija je zaustavila objavljivanje nekoliko svojih glavnih softverskih proizvoda da bi programeri prošli kroz obuku u vezi bezbednosti. Od tada je Microsoft razvio i objavio brojne zaštitine alate i metodologije a kompanija koja je bila predmet podsmeha prerasla je u organizaciju koja ono što radi radi na ispravan način.

Komentarišući promene koje su usledile u Microsoft-u nakon 2002. godine, Mark Mejfret, osnivač i tehnički direktor eEye Inc. koji je bio jedan od istaknutih kritičara Microsoft-a u eri pre Gejtsovog memoranduma kaže: “Oni su prešli put od jedne od najgorih kompanija do jedne od najboljih kompanija u pogledu bezbednosti.”

Mejfret je bio u ranim dvadesetim kada je otkrio Code Red, prvi kompjuterski crv koji je pogodio Microsoft-ovu platformu. On i njegove kolege hakeribili su trn u oku kompanije neprestano tragajući za neotkrivenim bagovima u softveru i objavljujući exploit-e pokušavajući da podstaknu Microsoft da brže ispravlja greške u svom softveru. On je čak svedočio pred Kongresom o crvu koji je ugrozio bezbednost Microsoft-ovih korisnika dok je kompanija ignorisala bes i zabrinutost korisnika zbog masovne infekcije kompjutera.

Na kraju, promene čije je sprovođenje najavio Gejts izašle su iz okvira politike kompanije i zahvatile, istina u mnogo manjoj meri, celu industriju softvera. Nakon memoranduma kojim se kompanija javno deklarisala da je vreme za korenite promene, duh promena zahvatio je i druge kompanije koje su shvatile važnost razvoja sopstvenih programa za zaštitu. U tom smislu, 2002. godina bila je prekretnica zbog činjenice da je industrija softvera počela da prihvata ideju da bezbednost programa mora da bude vodeći na listi prioriteta.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Koji softver na računaru treba prvo i bez odlaganja ažurirati

Koji softver na računaru treba prvo i bez odlaganja ažurirati

Ažuriranje softvera na uređajima zaposlenih je stalan i zahtevan posao. Nekada preduzećima nedostaju resursi da bi se taj posao obavljao kako bi tr... Dalje

Zašto bi trebalo da obrišete onlajn naloge koje više ne koristite

Zašto bi trebalo da obrišete onlajn naloge koje više ne koristite

Brisanje starih onlajn naloga koje više ne koristite važno je za vašu privatnost i bezbednost na mreži, a evo zašto. Sa svakim onlajn nalogom, č... Dalje

Da li vam treba menadžer lozinki?

Da li vam treba menadžer lozinki?

Nedavna studija koju je naručio Bitdefender pokazala je da prosečni korisnici imaju u proseku osam naloga na mreži - naloge na društvenim mrežama... Dalje

Kako da vas prevaranti na internetu ne pokradu i pokvare vam putovanje i odmor

Kako da vas prevaranti na internetu ne pokradu i pokvare vam putovanje i odmor

Leto je, sezona odmora je u punom jeku, ali i prevara čije su mete turisti. Sa kakvim opasnostima se suočavaju putnici u sezoni odmora 2023. istraž... Dalje

Da li bi trebalo prihvatati kolačiće na veb sajtovima?

Da li bi trebalo prihvatati kolačiće na veb sajtovima?

Svi smo mnogo puta videli ovakve dosadne zahteve, posebno otkako je Opšta uredba EU o zaštiti podataka (GDPR) stupila na snagu, u maju 2018. GDPR, a... Dalje