Lue uutinen mobiilisivustolla

Microsoft: haavoittuvuuksista ei ikinä päästä eroon

Scott Charney piti Key note -puheen tiistaina Wienissä.

18.10.2005 16:54 Wien - Microsoftin Trustworthy Computing -ohjelman johtajan Scott Charneyn mukaan monimutkaisissa ympäristöissä ja ohjelmistoissa tulee aina olemaan haavoittuvuuksia. Charney puhui tiistaina Wienissä RSA Conference 2005 ?tapahtumassa.

- En kovin helpolla sanoisi, että joku päivä tulisi tuotteita, joissa ei ole haavoittuvuuksia. Tämä koskee kaikkia isoja valmistajia - meitä, Ciscoa, Applea, Charney sanoo.

- Lentokoneitakin edelleen tippuu, Charney huomauttaa.

- Koodissa tulee aina olemaan haavoittuvuuksia. Puskurinylivuodoista kyllä voidaan päästä eroon, mutta joistain riippuvuuksista monimutkaisissa ympäristöissä kehittäjät eivät välttämättä voi edes tietää tehdessään koodia. Tavoite on tietysti nollataso.

Charneyn mukaan suurin osa viime vuosien haavoittuvuuksista on ollut sellaisia, jotka olisi ollut helppo löytää ja jotka olisi pitänyt ilman muuta korjata ennen tuotteen julkaisua. Ne johtuvat hänen mukaansa yksinkertaisesti siitä, että tietoturva laiminlyötiin täysin tuotekehityksessä aiemmin.

- Monimutkaisten haavoittuvuuksien löytäminen on myös erittäin vaikeaa. Puskurinylivuotojen etsinnän taas voi aika pitkälti automatisoida.

Tietoturva mukana alusta asti

Bill Gates oli julkistanut Microsoftin Trustworthy Computing -tietoturvaohjelman muutama kuukausi ennen kuin Charney siirtyi yhtiön palvelukseen vuonna 2002. Charneyn mukaan yhtiö teki ensimmäiset konkreettiset ohjelman mukaiset toimet Windows Server 2003:n kehittämisessä. Tuotteen julkaisua lykättiin vuodella, tietoturvatestausta lisättiin ja kehittäjille järjestettiin tietoturvakoulutusta.

- Se oli hyvä juttu, mutta ei tietoturvaa pitäisi tehdä beetavaiheessa, sanoo Charney, jonka mukaan Microsoft on sittemmin ottanut sisäisesti käyttöön koko tuotekehitysprosessin kattavan Security Development Lifecycle –ohjelman.

Verkkorikollisuus on tullut jäädäkseen

Yhdysvaltain oikeusministeriössä ja muun muassa syyttäjänä Bronxissa työskennellyt Charney sanoo hänen aikaisempien tehtäviensä opettaneen, että kaikista ongelmista ei voi päästä eroon. Hänen mukaansa verkkorikollisuus on haavoittuvuuksien ohella yksi näistä.

– Internet kehittyy edelleen ja sen mukana myös rikollisuus.

Charneyn mukaan internet on rikollisille täydellinen ympäristö: lähes kaikkia vastaan voi hyökätä; se tarjoaa nimettömyyden ja jälkien peittäminen on helppoa.

Jaakko Kuivalainen toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Ampuja keskeytti opinnot ja armeijan

• Poliisi: Ajatus ampumisesta tuli vain hieman ennen veritekoa
• Pohjois-Korean Kim kävi huvipuistossa ja herkistyi
• Asiantuntija: Punkkipaniikki on jo ylimitoitettua
• Hyvinkään ampumisissa haavoittuneet leikattu – naispoliisi yhä kriittisessä tilassa