Kormányoknak sem nyílt a Microsoft forráskódja

A Microsoft keddi bejelentése a kormányzati biztonsági programról (Government Security Program, GSP) a biztonsági szakértőket nem érte meglepetésként. A szoftvercég ugyanis tavaly áprilisban bejelentett egy hasonló programot, hogy a kormányzati ügyfelek beletekinthessenek néhány program forráskódjába. "A mostani lépés nem hozott túl sok újat. Ez a megfelelő irányba tett lépésnek számíthat, de előttünk van még vagy ezer mérföld" - jelentette ki a Wirednek Robert Ferrell, az amerikai kormányzat alkalmazásában álló informatikai biztonsági szakértő.

A kormányzati biztonsági program 30-ról csaknem 60-ra szélesíti ki azon cégek körét, akik részt vehetnek a Microsoft "megosztott forráskód" programjában. Emellett a hangsúlyt immár a Microsoft-alkalmazások biztonságának javítására, és nem pusztán a forráskódba tekintés lehetőségére helyezik.

Nem írhatnak bele

A kód megosztása ebben az esetben nem jelenti azt, hogy nincsenek megkötések. Míg a nyílt forráskódú programokat bárki ellenőrizheti és megváltoztathatja, a Microsoft forráskódok kezelése számos korlátba ütközik.

A GSP kétféle jogot biztosító változatban lesz elérhető. Az egyik a vizsgálódási jog (reference grants) a másik az ellenőrzési jog (validation grants), mondta el Salah Dandan. a GSP irányításával megbízott menedzser.

Az első változatban a kódot read-only (csak olvasható) formátumban lehet kezelni, biztonsági ellenőrzések lefolytatása céljából. A másik esetben a kormányhivatal informatikusai közösen dolgozhatnak a Microsoft fejlesztőivel, a kódot ellenőrizve és fejlesztve. A módosítások a különleges titkosítási alkalmazások integrálására szorítkoznak.

Titoktartási kötelezettség

Nyílt forráskódú fejlesztésekben részt vevő programozók elmondása szerint az ilyen munka legnagyobb előnye a megosztott tudás. Több ezer szakértő rágja át magát a programkódokon, és a tapasztalataikat és javításaikat weboldalakon és hírcsoportokban osztják meg egymással. A Microsoft GSP résztvevői viszont bármire bukkannak a vizsgálódásaik során, a szoftvercégen kívül senkivel nem oszthatják meg.

Salah Dandan szerint a kódba pillantás joga kizárólagos lesz az erre feljogosított kormányszerv részére, beleértve annak ugyancsak külön engedély alá eső alvállalkozóit és szakértőit.

Biztonsági szakértők szerint ilyen feltételek mellett nehéz lesz a GSP-ből bármilyen komoly eredményt kihozni. "Az egyetlen haszonélvezők esetleg azok a kományok lesznek, akik a GSP licenc útján feljavított terméket használják. A magánszektor továbbra is ugyanazokat a Microsoft termékeket használhatja" - jelentette ki Richard Forno, amerikai kormányzati biztonsági szakértő.

A Microsoft külön nyílt forráskódú programokat tart fent a vállalati és az oktatási ügyfelei részére. A GSP keretében a forráskódhoz a Microsoft fejlesztői hálózat révén lehet hozzájutni. Az erre felhatalmazott kormányzati alkalmazottak engedélyezett helyszínen felállított chipkártyás ellenőrző rendszer segítségével SSL kapcsolatot létesítenek a hálózattal.

Ellenőrzés kulcslyukon át

"Ez annyit tesz, hogy a forráskódot soha nem kapja kézhez a vizsgálódó, hanem csak egy böngészőablakon keresztül vizsgálhatja. Az XP operációs rendszer például sok millió sorból áll. Ebben a méretben az átfogó ellenőrzés elvégzése a teljes készlet egyidejű meglétét feltételezi" - mondta Robert Ferrell.

"A kódellenőrző programoknak le kell tudni nyomozni a műveletek kifutását, teljes könyvtárak adatait letölthetik, és számos hasonló ellenőrzést végezhetnek. Hasonló munka a Microsoft által kínált kukucskáló betekintéssel rendkívül nehézkes lehet" - mondta a szakértő.

Ferrell hangsúlyozta, hogy a véleménye nem a GSP teljes elemzésén alapult, és nem tükrözi sem a kormányzat sem a munkaadói hivatalos álláspontját. "Ezek csak egy zsémbes öreg hacker megjegyzései" - mondta.

A legtöbb fejlesztő azon a véleményen van, hogy a GSP-vel a Microsoft megpróbálja elterelni a kormányok figyelmét a Linuxról és más nyílt forráskódú termékekről.

"Kína nem is akar hallani a Windowsról, és sokkal inkább hajlik a Linux alkalmazására. Vagyis hatalmas piacot látszik elveszíteni a Microsoft. Ezért mutatkozhatnak most ennyire engedékenynek a nyílt forráskódhoz hasonló licencek bevezetésével" - jelentette ki Richard Forno.