להצליח להימלט מהדוב

"אבטחה היא מרדף ארוך ומתמשך בין פורצים והאקרים למפתחים המנסים להרים את הרף כל הזמן", אומר אבי בן מנחם, מנהל בכיר בקבוצת פיתוח האבטחה של מיקרוסופט, "אך גם לבית המאובטח ביותר תמיד יהיה אפשר לפרוץ", הוא מוסיף.

במיקרוסופט מבטיחים כי מערכת ההפעלה החדשה שלהם, וינדוס ויסטה, תהיה המאובטחת ביותר אי פעם: "אם אתבקש לדרג את חמשת המאפיינים הבולטים ביותר בוויסטה, אבטחה תהיה במקום הראשון", אומר בן מנחם.

"האבטחה למשתמש מתבטאת בשתי צורות", אומר אקשאי אגרוואל, אחראי אבטחה בכיר במיקרוסופט, "המשתמש מצפה שהמערכת תגן עליו, אבל אנו מנסים לוודא שהמערכת גם תגן על עצמה מפני המשתמש". בווינדוס ויסטה ברירת המחדל תהיה שכל משתמש יקבל הרשאות מוגבלות להתקנת תוכנות ולשינוי הגדרות, כך שגם אם ילחצו על קישורים זדוניים באינטרנט או בהודעות דואר אלקטרוני, הם יסכנו פחות את שלמות המערכת. על מנת לאפשר הרשאות מורחבות, יש צורך לשנות את הגדרות האבטחה הידנית.

מיקרוסופט מצהירה בעת האחרונה כי בעתיד יימצא תחליף לסיסמאות באמצעות כרטיסים חכמים שיכילו תעודת זהות דיגיטלית שתאמת את זהות המשתמש. בן מנחם, האחראי במיקרוסופט על תחום הכרטיסים החכמים, סבור כי בעתיד המשתמשים יזנחו כליל את שיטת הסיסמאות וישתמשו בלעדית בכרטיסים החכמים: "יצרני מחשבים ניידים כבר משלבים את קוראי הכרטיסים בחומרה שלהם", אמר בן מנחם. "האדם הממוצע זוכר כשש סיסמאות בממוצע", אומר אגרוואל, שמסביר כי לעתים קרובות נעשה שימוש באותן סיסמאות ישנות לכל שירות ובכך נוצרות בעיות אבטחה חמורה.

עם זאת, ישנן טענות כי הזהות הדיגיטלית השמורה בתוך הכרטיס יכולה להיות מנוצלת לכניסה לא מורשה לשירותים שונים ברשת, כדי לאמת עסקות באתרי אינטרנט של בנקים ואף לאתרים מוגבלים לגיל מסוים. כמו כן ההזדהות המוחלטת ברשת עלולה לגרום לכך שיהיה אפשר לעקוב באופן תמידי אחרי משתמשים ולפגוע פגיעה אנושה בפרטיות המשתמשים. נראה גם שאפשרויות המעקב יהפכו ליעילות הרבה יותר. ואולם לטענת בן מנחם, אין במעבר לכרטיסים החכמים שינוי מהותי לעומת המצב כיום, מכיוון שכבר עתה ניתן לעקוב אחר משתמשים בכל עסקה ובכל התחברות לרשת.

בישראל ישנה התעניינות רבה במערכות אבטחה, בעיקר מצד משרדים ממשלתיים והתעשיות הביטחוניות. אליק לווין, יועץ לענייני אבטחה במיקרוסופט ישראל, אומר כי "אנו מפתחים פתרונות מיוחדים לצבא ולבנקאות בישראל". לדברי לווין, ישנן הרבה חברות ישראליות קטנות הפועלות בפיתוח יישומי אבטחה המשלימים את המערכות של מיקרוסופט, בנוסף לענקים הפועלים בתחום, כמו אמדוקס, נס ומטריקס.

פרצות אבטחה שתוקנו בעבר במערכות ההפעלה של מיקרוסופט גרמו לעתים לפרצות חדשות, והחברה טוענת כי היא מעדיפה לבטל אפשרויות חדשות במערכת ההפעלה אם הן יוצרות פרצות אבטחה. "מבין כל המוצרים שלנו, מערכת ההפעלה היא הפגיעה ביותר, מכיוון שבסיס המשתמשים שלה הוא הרחב ביותר", אומר בן מנחם. לדבריו, בחברות כמו אפל נוהגים בנאיוויות ולא לוקחים ברצינות מספקת את נושא האבטחה, בעיקר מכיוון שאין להם הרבה משתמשים. אגרוואל מספר כי מיקרוסופט אינה מוציאה אף מוצר לפני שהוא נבדק על ידי כלל עובדי החברה. לדבריו, "יש לנו כ-170 אלף עובדים המשתמשים בתוכנות שלנו על כ-300 אלף מחשבים המספקים מסה של בוחנים".

"מיקרוסופט מבצעת מעקב אחר תהליכי אבטחה ומנסה לעקוב אחרי שינויים לפני שהם קורים ולא בתגובה להתגלות כשלי אבטחה", מספר אגרוואל. למרות מאמצי המפתחים במיקרוסופט להיות פעילים ולהיות הראשונים המגלים בעיות אבטחה, ישנם מקרים רבים שהבעיות מתגלות ומנוצלות על ידי גורם חיצוני, עוד ביום הגילוי. "אנחנו מנסים להפוך את מערכות ההפעלה שלנו לבטוחות יותר כל הזמן", מבטיח אגרוואל, "כשדוב רודף אחריך, אתה צריך לוודא שאתה רץ יותר מהר".