Mejore la seguridad de Windows 7: Microsoft debería hacer 5 cosas

Para eliminar completamente la sombra que Vista le brinda a Microsoft, y esforzarse para que Windows 7 sea un caso de negocio exitoso, Microsoft aún tiene muchas cosas por hacer. Microsoft les ha prometido a los usuarios que la seguridad de Windows 7 traerá una nueva experiencia para todos. Para hacer esto, Microsoft debe hacer más que solo una apelación verbal. Debe realizar cambios radicales en su nuevo sistema operativo en las estrategias de diseño, desarrollo y gestión. Tal vez, solo el tiempo dirá si Windows 7 de Microsoft cumplirá con estos requisitos. Sin embargo, creo que Microsoft debería hacer las siguientes cinco cosas:

1. Use herramientas y protocolos estándar revisados ​​por pares en todas las funciones relacionadas con la seguridad. En la industria del software, "no se ha inventado aquí" es una de las culturas corporativas más informadas de Microsoft. Si bien Microsoft ha utilizado una gran cantidad de código que no se crea por sí mismo, nunca se ha copiado de la misma manera y, si es posible, Microsoft es el primero en comprar los derechos de autor del creador del código, y luego integrar este software o código externo en su propio software. En productos comerciales. Incluso en casos muy raros, Microsoft usa código o software que no puede controlar para desarrollos posteriores. Una vez que Microsoft adopta el software o el código, no puede ser devuelto. Solo se puede desarrollar internamente y, a menudo, de acuerdo con algún tipo de La sorprendente forma de cambiar su funcionalidad generalmente rompe la interoperabilidad de otras sucursales con la misma base de código, como la pila de red BSD Unix y el código utilizado en MIT Kerberos. Esto ha traído muchas vulnerabilidades de seguridad a Microsoft, porque el código realmente no puede "disfrutar" de la sabiduría colectiva de los desarrolladores externos. Microsoft necesita mantener esta cantidad masiva de código, y antes de eso fueron mantenidos por un número de desarrolladores independientes externos. Debido a esto, las herramientas de inicio de sesión remoto, las funciones de cifrado y las características de seguridad de la implementación del protocolo de red de Microsoft se han cuestionado desde el principio. Aprovechar la amplitud y la profundidad de las herramientas revisadas por pares, las mejores en su clase y bien probadas es clave para desarrollar un sistema operativo en el que los usuarios puedan confiar.

2. Implemente una separación de privilegios de arquitectura de sistema verdadera e integral. El sistema operativo de Microsoft ha experimentado una importante evolución en los últimos años, desde principios de MS-DOS hasta MS Windows Vista. Cualquiera puede ver fácilmente que estos cambios importantes han sido cuidadosamente diseñados. Un cambio que parece ocurrir una y otra vez es la separación de los privilegios de la arquitectura del sistema, lo que protege a los componentes críticos del sistema operativo de los daños causados ​​por el acceso no autorizado de usuarios sin privilegios. Esta separación de privilegios "parece" se ha repetido porque en realidad no ha ocurrido; Microsoft solo ha realizado algunos cambios menores, parece resolver este problema de separación de privilegios, pero cuando la próxima versión de MS Windows Después de ingresar al mercado, la separación de privilegios nunca se ha completado realmente, y se ha convertido en un hecho bien conocido. Para este tipo de cambio, Microsoft tendrá que hacer sus propios intentos para frenar el uso de computadoras por parte de las personas que son más difíciles de detectar, y dejar de buscar formas de permitir que el software de Microsoft omita otras características de seguridad del software de Microsoft.

3. Comience a tomar en serio los parches de vulnerabilidad. Siete años han descubierto graves vulnerabilidades, como las vulnerabilidades de las PYMES (descubiertas por primera vez al menos en marzo de 2001), y el proceso es un poco más largo. Para todas las vulnerabilidades de seguridad de Microsoft, el ciclo de parcheo más rápido es MS06-001. Microsoft lanzó oficialmente el parche 10 días después de que descubriera oficialmente la vulnerabilidad. El gusano SQL Slammer, que devastó la mayor parte de Internet en 2003, ha sido "resuelto" por Microsoft durante mucho tiempo antes de que realmente se convirtiera en una amenaza, pero si la cantidad de parches instalados no cumple A solicitud de Microsoft, luego el parche posterior al estudio desinstalará el parche previamente instalado, lo que hará que la computadora del usuario sea muy vulnerable (Microsoft acusa al administrador de no parchear efectivamente su sistema). Al mismo tiempo, Microsoft debería aprender de los proyectos de código abierto. Este último publica regularmente parches de seguridad efectivos y estables, y en el caso de una emergencia, generalmente no libera correcciones de errores durante más de una semana, a veces incluso en horas. Antes de que la seguridad de MS Windows 7 fuera tomada en serio por la mayoría de los profesionales de la seguridad, se trataba de un problema serio que debía abordarse. Antes del lanzamiento de la versión beta de Windows 7, Microsoft ha lanzado un parche recientemente, que parece una buena señal, pero puede ser solo un destello en la bandeja. Solo el tiempo y el rendimiento de Microsoft en un futuro cercano realmente nos pueden decir la respuesta.

4. No permita que la compatibilidad con versiones anteriores supere la seguridad predeterminada. Esto es comprensible. Con el fin de mantener la base de clientes, Microsoft espera apoyar la compatibilidad con versiones anteriores. También estoy de acuerdo con los esfuerzos de Microsoft en este sentido. Sin embargo, esto no significa que las características que comprometen la seguridad permitan una seguridad mejor que la predeterminada. Si tiene que incluir una característica crítica de seguridad, debe diseñarse como una opción configurable en lugar de la predeterminada. Y en cualquier caso, debería o no, a expensas de la seguridad básica del nivel de la arquitectura del sistema. Un problema relacionado es la configuración de seguridad general predeterminada; por ejemplo, el servicio innecesario del servicio que se ejecuta de forma predeterminada en el sistema operativo MS Windows recién instalado es inaceptablemente alto.

5. Cambia el modelo de negocio. De hecho, este es un problema de seguridad. El modelo de seguridad de Microsoft es esencialmente un desempeño económico del antiguo modelo de seguridad que consiste en paradojas incomprensibles. No es solo un modelo tan "morboso", sino también los llamados ingresos de seguridad que persiguen el espejismo, lo que crea un conflicto de intereses entre la fuente de ingresos "seguridad" y la seguridad real del sistema, que daña gravemente a los clientes de Microsoft. Grupo A medida que la industria de TI y el mercado de software continúen cambiando en los próximos años, los conflictos de interés serán cada vez más imparables, ya que el modelo de negocio "tradicional" será cada vez más inviable. Es hora de hacer un cambio. Windows 7 puede no ser un punto de partida para un nuevo modelo de negocio, pero Microsoft al menos necesita tomar algunas decisiones audaces en esta dirección. Muchos expertos y analistas de TI de alto nivel han advertido a Microsoft que Windows 7 debería ser la última versión de Microsoft del sistema operativo. Otra opción es continuar socavando la reputación de Microsoft entre consumidores y clientes comerciales de computadoras domésticas.

Por supuesto, si en la última década se ha demostrado que algo es bueno para el marketing y la seguridad del software, entonces la respuesta es un buen diseño de software de seguridad, una política de administración de vulnerabilidades y otras inquietudes de los proveedores de software. Los problemas de seguridad a menudo no desempeñan un papel importante en la determinación de la cuota de mercado. Una imagen de seguridad aceptable parece ser más fácil de implementar que el producto de seguridad de producción real, y Microsoft ha logrado crear dicha imagen.

Sin embargo, todavía hay algunas personas que están buscando la esencia del problema a través de la fascinante superficie de marketing de Microsoft, y no simplemente aceptan la declaración de egoísmo de Microsoft. Para realizar realmente el deseo de seguridad, Microsoft tendrá que adoptar un enfoque de Windows 7 diferente al anterior.