Oodata ei ole tõelist paranemist
Tulevik tõotab ainult rohkem sama. Kuna Microsoft on alati töötanud Windowsi järgmiste versioonidega, tundub ohutu eeldus, et oleme kinni praeguses vigases Windowsi arhitektuuris ja et oodata on struktuurilisi parandusi. Siiani pole Microsoft kunagi tundunud, et nad on võimelised oma tarkvaraarhitektuure puhastama. Selle asemel Keskenduge lahenduste leidmisele, et vältida tõelist probleemi.
Parim näide oli Microsofti soovitus, et arvutid “kujundaksid Windows XP jaoks” ei tohiks enam laienduskaarte aktsepteerida, vaid ainult töötada USB-välisseadmetega. Selle soovituse põhjuseks oli see, et XP ja selle järeltulija Vista kannatavad endiselt arhitektuuriga seotud draiveriprobleemid, mis on minevikus põhjustanud nii palju Windowsi krahhe. Katset probleemist lahti saada, Microsoft püüdis arvutit veenda tootjaid loobuma PCI laiendusbussist. Asjaolu, et see riistvaratööstus lükkas soovituse kohe tagasi Ebaoluline; asi on selles, et Microsoft üritas laiendusbussist lahti saada Windowsi arhitektuuri pigem toetada kui täiustada, et muuta see töökindlaks. Kui See katse ebaõnnestus, nad kasutasid oma teist võimalust, milleks oli heidutada (XP-s) ja takistada (Vistas) kasutajal installimist mis tahes seadme draiver, mida pole testitud ega sertifitseeritud, ei põhjusta OS-i ebastabiilsust.
Tegelikult tunnistab Microsoft vajadust struktuurilise vajaduse järele Windowsi arhitektuuri täiustustes. Kuid vaatamata aastatele jõupingutustest on neil osutunud võimatuks midagi saavutada. See illustreerib suurepäraselt .Neti algatuse varaseid teadaandeid, varsti pärast sajandivahetust. Lõpuks .Net realiseerus kui raamistik programmeerijatele võrgu arendamise hõlbustamiseks Rakendused. Umbes esimese aasta jooksul pärast esialgset väljakuulutamist, kuigi .Neti esitleti kui lauaarvutite tulevikku, mis lahendab kõik Windowsi puudused üks kord ja kõik. See on kõige rohkem reklaamitud “innovatsioon” oli “Zero Impact Install”, mis tähendas rakenduse tiheda integreerimise kaotamist ja operatsioonisüsteemi. DLL-i praeguse asemel sisestatud operatsioonisüsteemi ja seaded levivad kogu ebaturvalises registris andmebaasis, rakendused elaksid oma alamkataloogides ja oleksid iseseisevad. Kood edastataks platvormiüleses vormingus ja olema JIT-kompileeritud (Just In Time) platvormi jaoks, millel see pidi töötama.
Kuigi need asjad oleksid tähendanud dramaatilist paranemist võrreldes Praeguses olukorras nende innovatsioonitegur on muidugi nullilähedane: Windowsi vajadus OS-i ja rakenduse piisava eraldamise järele kood paneb kogenud IKT-spetsialistid igatsema Unixi, suurarvuti järele keskkondades või isegi DOS. Ka JIT-kompileerimine pole midagi uut; see polnud isegi uus idee, kui Sun Microsystems pakkus Java-d välja 1990ndate keskel. Kuid veelgi olulisem on see, et ükski neist muutustest ei muutu kunagi Teoks. Windows XP ja Vista olid esimene samm saavutada see valgustatud uus nägemus, kuid pärast mõlema vabastamist Windowsi versioonidest ei jää nendest julgetest plaanidest jälgegi. Selle asemel Vista vabastamine viibis mitu aastat, sest see oli võimatu teha isegi väiksemaid parandusi ilma massiivsete koodide ümberkirjutamiseta. Pärast Vista on selgem kui kunagi varem, et olulisi struktuurilisi parandusi pole Windowsis kunagi tulemas.
Usaldusväärne andmetöötlus? Mitte Microsoftilt
Viimasel ajal on Microsoft teinud palju müra selle kohta, kuidas nad nüüd äkki võtke turvalisust väga tõsiselt, kuid halb üldine kvaliteet Nende tootekood muudab selle lubaduse täitmise võimatuks. Oma Baseline Security Analyzer (mille nad avaldasid mõni aeg tagasi osana nende katsed oma mainet parandada) oli hea näide: see ei olnud nii otsige haavatavusi, kuid ainult puuduvaid plaastreid ja see tegi lohakat tööd, mille tagajärjel on palju valepositiivseid tulemusi.
Olgem ausad: Microsofti lubadused dramaatilise kvaliteedi parandamise kohta on järgmised parimal juhul ebareaalne, et mitte öelda eksitav. Neid on võimatu täita lähitulevikus ja kõik Microsofti töötajad teavad seda. Näitlikustamiseks: jaanuaris 2002 kirjutas Bill Gates oma “Usaldusväärses andmetöötluses” memo kõigile Microsofti töötajatele:
“Täna, arenenud maailmas, ei muretse me elektri pärast ja veeteenused on kättesaadavad. Telefoniside puhul toetume mõlemale selle kättesaadavus ja turvalisus väga konfidentsiaalse äritegevuse läbiviimiseks tehingud, muretsemata selle teabe pärast, kellele me helistame või mida Me ütleme, et meid kompromiteeritakse. Andmetöötlus jääb sellele kõvasti alla, ulatudes üksikkasutajalt, kes ei soovi uut rakendust lisada, kuna see võib destabiliseerida nende süsteemi, korporatsioonile, mis liigub aeglaselt Võtke omaks e-äri, sest tänased platvormid ei anna hinnet.”
Nüüd lugege “tänaste platvormide” kohta “kümme aastat Windowsi, enamikul juhtudel” ja pidage meeles, et Microsoft ei kasuta oma turbetooted, kuid tuginevad selle asemel kolmandate osapoolte toodetele. Lisa et nuhkvara funktsioonide olemasolu Windows Media Playeris, Internetis Explorer 7 ja XP otsinguabiline (kõik need võtavad ühendust Microsoftiga serverid regulaarselt, kui sisule juurde pääsetakse), asjaolu, et Windows XP Home Edition loob regulaarselt ühenduse Microsofti serveriga, et pole selgelt selgitatud põhjust ja konksud Alexa andmete kogumiseks tarkvara IE funktsioonis “Tööriistad / näita seotud linke” … ja pilt on umbes täielik. Usaldusväärne? Kindel! Võib-olla Suur Vend ei jälgi sind ja võib-olla ei tehta kogutava teabega midagi selle kohta, mida otsite ja millisele sisule juurde pääsete … ja võib-olla sead võivad tõesti lennata. Neile, kes seda ikka veel ei saa: novembris 2002 Microsoft tegi kliendiandmed koos arvukate konfidentsiaalsetega sisedokumendid, mis on vabalt kättesaadavad väga ebaturvalisest FTP-serverist. See FTP-serveril oli palju teadaolevaid haavatavusi, mis muutsid juurdepääsu triviaalne harjutus. On selge, et Microsofti hiljutine privaatsusega seotud mure ja Kvaliteediga seotud müra kõlab parimal juhul üsna õõnsalt. Nad isegi ei tee seda austavad ise oma klientide privaatsust ja turvalisust.
Justkui selleks, et midagi öelda, paar nädalat pärast Gatesi memo Trustworthy kohta Andmetöötluses õnnestus Microsoftil saata Nimda uss oma korea keelde arendajad koos Visual Studio .NET koreakeelse versiooniga, seega levitada nakkust, mis oli pärit kolmanda osapoole korealaselt Tõlkijad. Kui “usaldusväärne” võime eeldada, et ettevõte on, kui nad seda ei ole isegi võimelised järgima põhilisi ettevaatusabinõusid, nagu piisav viirusekaitse nende oma organisatsioon?
Muidugi pole pärast seda, kui Gates ülaltoodud memo kirjutas, midagi muutunud. Turvalisus augud ja haavatavused kõigis MS-i toodetes, millest paljud võimaldavad blackhat’i häkkerid suvalise koodi täitmiseks mis tahes Interneti-ühendusega arvutis, jätkake avastada ja ära kasutada masendava regulaarsusega. Microsofti väited 11 000 inseneri läbinud turvakoolituse probleemi lahendamiseks, kuid kõiki Microsofti toodete kasutajaid vaevavad jätkuvalt turvavead. On ilmne, et tõeline paranemine ei tule niipea. Windows Server 2003 ws turustatakse kui “disainilt turvaline”, kuid välja arvatud paar täiustatud vaikesätet ja tarkvara piirangupoliitikad palju pole muutunud. Kohe pärast Windows Server 2003 väljaandmist esimene turvapaik (Interneti kaudu eksisteerinud haavatavuse ühendamiseks Explorer 6) tuli rakendada, mitte kellegi üllatuseks.
Huulte teenimine teeb
Pärast Gatesi memo usaldusväärse andmetöötluse kohta on Microsoft palju teinud mürast, et turvalisust väga tõsiselt võtta. Igatahes, Stuart Okin, MS Ühendkuningriigi julgeolekuametnik kirjeldas turvalisust kui “hiljutist probleemi”. 2002. aastal Microsofti Tech Ed üritusel antud intervjuus selgitas Okin, et hiljutised meediakajastused viiruste ja nendega seotud teemade kohta olid seadnud turvalisuse kõrgele kohale Microsofti päevakavas. Loe: see polnud kunagi suur probleem, kuid nüüd on aeg suhtuda silmakirjalikult julgeolekukaalutlustesse, et päästa avalikke suhteid.
Ja tõepoolest, Microsofti ainus tõeline “täiustus” on seni olnud reklaamikampaania, mis reklaamib Windows XP-d kui turvalist platvormi, mis kaitseb ärikasutajat viiruserünnakute eest. Ei, tõesti – see on see, mida ütlesid nad. Nad tegid ka palju lärmi selle kohta, et nad said “Valitsusel põhinev turvasertifikaat”. Tegelikult tähendab see ainult, et Windows 2000 SP3 vastas CCITSE ühistele kriteeriumidele, nii et see võib olla osa valitsussüsteemidest, ilma et ostjad peaksid saama spetsiaalseid erandeid riiklikule julgeolekuagentuurile või teha iga kord täiendavaid teste. CC-vastavus ei tähenda, et tarkvara on nüüd turvaline, vaid lihtsalt tähendab, et testimine on kinnitanud, et kood töötab vastavalt spetsifikatsioonidele. See on kõik — uute turvaaukude avastamine vähemalt kord nädalas sellega pole midagi pistmist. Kuid isegi nii oli Windows 2000 SP3 esimene Microsoft toode, mis töötas piisavalt hästi, et saada CC-sertifikaat. Mine joonisele.
Gatesi usaldusväärse andmetöötluse idee esialgne käivitamine sarnanes paljuski elevantide paaritumisele. Ümber oli palju trompetit ja tembeldamist põõsas, millele järgneb lühike tegevushetk kõrgetes kohtades ja seejärel Peaaegu kaks aastat ei juhtunud midagi. Lõpuks tegi Steve Ballmer vapustava teate, et suur julgeolekualgatus koosneb… palju väiksemaid tooteparandusi (jah, jälle), kasutajate koolitamine ja rullimine mitu väiksemat plaastrit suuremateks. Microsofti pressiteade tegelikult kasutas sõnu, tsiteerin, “plaastrikogemuse parandamine”, kinnitamata. Siiani on see “paranemine” koosnenud peamiselt igakuisest plaastrist paketid, mis tuli mitu korda kuus uuesti vabastada ja uuesti installida “muudetult” igakuises versioonis rohkem kui üks kord.
Teine kurb aspekt Microsofti tegelikust hoiakust turvalisuse suhtes kenasti võttis kokku Internet.com toimetaja Rebecca Lieb, kes uuris Microsofti pühendumisele võitlusele epideemilise rämpsposti tulvaga. Ta järeldab:
“[Microsofti] juhid on kindlasti pühendunud ütlema, et nad on [pühendunud rämpspostiepideemia lõpetamisele]. Tänapäeval on Bill Gates ees ja keskel: tunnistuste andmine senati ees; Wall Streeti penning Ajakirja juhtkiri; spämmijate vahistamiste eest miljonite eest pearaha andmine; veebilehe loomine tarbijatele; ja rämpspostivastase tehnoloogia moodustamine & Strateegiarühm, “võitlus rämpspostiga iga nurga alt — tehnoloogia, jõustamine, haridus, õigusaktid ja tööstuse iseregulatsioon.”
Kui ma kohtun selle rühma liikmetega, esitan ma alati sama küsimuse. enne igat XP väljalaset eelmisel aastal tarnitud Windowsi operatsioonisüsteemi versioon on konfigureeritud –vaikimisi– avatud releena. Miljonid on uuendatud lairibaga. Ergo, enamik arvuteid planeedil Maa väljastab spämmijatele sireenikõnet: “Kasuta mind! Kuritarvita mind!” Miks Microsoft ei ütle oma miljonitele Registreeritud klientidele, Kuidas sulgeda avatud relee?”
Tõsi küll, 2004. aastal levitatakse üle 75% kogu rämpspostist Windowsi arvutite kaudu (DSL- ja kaabel-Interneti-ühenduste puhul), mis on e-posti teel ohtu sattunud ussid ja Trooja hobuse infektsioonid. Kuid selle asemel, et parandada haavatavusi nende toodetel, Microsoft on seni keskendunud kõrgetasemelistele tegevustele, nagu koostööna New Yorgi osariigi peaprokuröriga ja avalikustatud ristisõda Interneti-reklaamifirmade vastu. Bill Gatesi” hoolimatu ennustus, et 2006. aastal lahendatakse rämpsposti probleem, on ainult näidanud Microsofti kvaliteedilubaduste väärtust ja turvalisus.
Samuti ei ole Microsofti enda saatjapoliitika raamistiku rakendamine isegi mitte eemalt efektiivne. Microsoft reklaamis SPF-i kasutamist olulise sammuna rämpsposti vähendamine ja tutvustas seda nii suure fanfaariga, et arvate, et nad seda teeksid arendamaks seda ise. Kuid turvaseadmete firma CipherTrust varsti leidis, et spämmijad võtsid e-posti autentimise uue standardi palju kasutusele kiiremini kui seaduslikud e-posti saatjad ja varsti pärast selle kasutuselevõttu rohkem rämpsposti kui seaduslikud meilid saadeti saatjapoliitika raamistiku abil. Kuigi see jätkub, rakendajad pallivad MS-i saatjad ID litsentsimispoliitika üle süsteem, mis tähendab suure sõltuvuse loomist Microsofti loast saatja ID (jätkamiseks) kasutamiseks.
Samal ajal hargneb Microsoft uutele turgudele ja on siiani truuks jäänud vorm. Nad on juba saatnud oma esimesed mobiiltelefonitooted. Oranž, esimene mobiilsideoperaator, kes käitab oma SPV-s Microsofti nutitelefoni tarkvara telefonid, on juba pidanud uurima mitmeid turvalekkeid. Lisaks sellele on teatatud, et telefonid jooksevad kokku ja nende saamiseks on vaja kolme järgnevat sisselülitamist uuesti minnes helistage aadressiraamatust juhuslikele numbritele ja laske helvestel toitehaldust. Ma värisen, et mõelda, mis juhtub, kui nende plaanid autotööstuse tarkvaraturul hakkab realiseeruma.
Alumine rida: asjad on halvad
Hoolimata sellest, mida Microsofti müügidroidid meid uskuma paneksid, faktid räägivad enda eest: Microsofti arenguid juhib ainult äri eesmärgid, mitte kvaliteedieesmärgid. Niikaua kui nad suudavad oma sammu pidada 30 miljardit dollarit pluss aastakäive, pole kellegi tagumine osa liinil, kui halb on nende tarkvara.
Microsofti tooted on ebaküpsed ja madalama kvaliteediga. Nad raiskavad ressursse, ei paku nõuetekohaseid haldus- ja hooldusvõimalusi ning on haprad ja kergesti kahjustatavad. Mis veelgi hullem, nende toodete uued versioonid ei paku struktuurilisi parandusmeetmeid, kuid on tegelikult veaparandustega punktivabastused, väikesed uuendused ja vähe muud kui kosmeetiline paranemine. Viimased versioonid Microsofti toodetel on vaid marginaalselt turvalisemad kui need, mis vabastati aastaid tagasi. Tegelikult, kui see poleks täiendavate turvatoodete jaoks näiteks riistvarapõhised või Unixi-põhised filtrid ja tulemüürid, Windowsiga ei ole võimalik käivitada isegi kaugturvalist keskkonda.
MS-i tooted on ülespuhutud peaaegu barokse liigse funktsiooniga, kuid see on mitte mõte. Asi on selles, et neid tuleb pidada kahjulikeks, puuduvad töökindlus ja turvalisus, mis tulenevad otseselt põhilistest disainivigadest, mis on paljud juhtumid üle kümne aasta vanad. Nad lubavad teha palju, kuid praktikas ära tee seda väga hästi. Kui vajate midagi jõulist, mis on mõeldud missioonikriitilised rakendused, võiksite otsida mujalt. Microsofti omade vajadus ühilduvuse järele varasemate vigadega teeb struktuurilisi parandusi võimatu. Päeval, mil Microsoft teeb midagi, mis ei ime, on need tolmuimejate valmistamine.
Pealegi peaks 63 000 teadaolevat Windowsi defekti olema kõigile piisav.
Järgneb 30.septembril…
