Microsoft делает ставку на безопасность Windows Vista

В эти дни разработчики Vista не знают отдыха. После многих лет предупреждений от секьюрити-специалистов о том, что старый код создает риски, Microsoft наконец-таки решила переписать ключевые области операционной системы...

А результат? На прошлой неделе компания Symantec опубликовала отчет, говорящий о том, что новый код принесет только новые проблемы с безопасностью.
"Сетевой стэк Windows Vista был переписан с нуля. Решив переделать стэк, Microsoft удалила огромную часть проверенного кода, заменив его на новый"- написано в отчете (PDF) Symantec, обнаружившей значительное число уязвимостей в сетевом ПО Windows Vista.
"Несмотря на заявления разработчиков Microsoft, сетевой стэк Windows Vista в том виде, в котором он существует сегодня, гораздо менее надежен по сравнению со стэком предыдущей версии Windows" – считает компания Symantec после тестирования бета-версии Windows Vista.

После долгих лет претензий за бесчисленное количество проблем, связанных с безопасностью, Microsoft опять оказалась в далеко невыигрышной ситуации.
"Вас ругают за то, что вы используете старый код; вас ругают, если вы создаете новый" - говорит Рас Купер, старший секьюрити-аналитик компании Cybertrust Inc. "Историческая неудовлетворенность творениями Microsoft заключалась в том, что используемый ей код был слишком отягощен традициями. Перепишите его и вот: 'Он слишком новый; он совсем не тестированный'".

«Тот факт, что Symantec удалось обнаружить бреши в системе безопасности бета-версии ПО не должен удивлять» - говорит Купер. "Именно по этой причине продукт получает статус «beta», а не ради того, чтобы увидели, как изменились цветовые схемы ОС" – добавляет он.
Если пользователи не будут рассматривать Vista как более безопасный и надежный программный продукт по сравнению с ее предшественником, это будет огромное разочарование для Microsoft. В течение последних лет компания буквально заново изобрела путь создания программного обеспечения, создав набор практик, предназначенных для разработчиков программного обеспечения и получивших название Security Development Lifecycle. С помощью этой программы разработчики заново обучаются принципам «безопасного» программирования, учатся создавать системы автоматической проверки безопасности, и что самое важное, используют достижения независимых разработчиков, чтобы получить беспрецедентный доступ к ранним версиям Vista.

"Vista – это, на самом деле, наш первый продукт, прошедший Security Development Lifecycle от самого начала и до конца" – говорит Бен Фэси, вице-президент подразделения секьюрити-технологий компании Microsoft. "Это в корне отличный взгляд на способ организации безопасности платформы".
Microsoft достигла небывалых высот, создав Security Development Lifecycle и задействовав его в Windows XP Service Pack 2 и SQL Server 2005. Руководство компании заявило, что жесткие рекомендации, сопутствовавшие разработке XP Service Pack 2, сыграли огромную роль в предотвращении распространения вспышек червей и вирусов, которые были так обычны около трех лет назад.
Акцент на безопасность, возможно, лучше всего иллюстрирован событием, которое руководство Microsoft отказывается обсуждать детально: недавняя задержка даты выхода Vista.

В марте сего года Microsoft заняла все заголовки крупных печатных и сетевых изданий сообщением о том, что компания, возможно, не успеет выпустить Vista к сезону рождественских покупок, то есть концу 2006 года, как ожидалось ранее. Microsoft никогда не называла причин, по которым это произошло, но это стало серьезным регрессом программного продукта, уже разрабатываемого в течение 5 лет. Руководство Microsoft незамедлительно провело кадровые перестановки в отделениях платформ и служб, которые якобы были ответственны за задержку, и назначило новым ответственным лицом за разработку Windows Стива Синофски.

Некоторые источники, близкие к разработке Vista, сообщили, что отчет Symantec об уязвимостях в Vista связан именно с широко освещенной в прессе информацией о задержке выхода ОС.
На самом деле, майки с надписью "I caused Vista to slip" (прим. Я стал причиной задержки Vista) станут привычной вещью в здании №27 компании Microsoft - вотчине Secure Windows Initiative group. Группа ответственна за обеспечение безопасности программного обеспечения Microsoft. К разочарованию руководства "такие футболки имеют успех у нас на кампусе" – как сообщает один из источник, имя которого мы не станем называть из-за щекотливости ситуации.
Фэси не говорил, сколько денег было потрачено компанией на обеспечение безопасности системы, но сообщил, что для проверки надежности были приглашены профессионалы в сфере секьюрити, в том числе известные хакеры, специализирующиеся на взломе различных систем, чтобы выявить уязвимости системы – это, стоит сказать, недешевое удовольствие.

И хотя Microsoft выступит одним из спонсоров на хакерской конференции Black Hat USA, многие из знаменитых секьюрити-экспертов Windows, которые примут участие в ней, находятся в условиях неразглашения, как сообщил Джефф Мосс, организатор конференции. "Они наняли очень многих талантливых специалистов" – добавляет Мосс. "Поэтому количество специалистов, которые могут открыто обсуждать безопасность Windows Vista заметно сократилось".

Для Фэси это хорошее известие.
"Мы верим, что нам удастся собрать самую большую группу экспертов в области выявления уязвимостей, которая когда-либо существовала" – говорит Фэси. "Мне это стоило огромных средств ... но, безусловно, оно того стоит". Это окажет огромное влияние на безопасность Vista.
Разработчики изменили способ, которым Vista запускает приложения, заметно сократив список возможностей пользователя в целях ограничения повреждений системе, наносимых вредоносным ПО. Также был изменен способ взаимодействия ОС с памятью с целью осложнения работы хакеров, пользующихся различными руткитами, бэкдорами и т.д..
"Когда все это объединено в одну систему, становится очень сложно создавать эксплойты" – говорит Алекс Стамос, секьюрити-специалист, работавший с Microsoft в прошлом, и один из основателей Information Security Partners LLC.

Это значительно осложняет жизнь хакерам, но также создает трудности рядовым пользователям и разработчикам программного обеспечения, у которых могут возникать проблемы с запуском их Windows XP кода на Vista.
"Они просто разрушили принцип бинарной совместимости " – говорит Стамос. "Это оставляет множество неразрешимых проблем. Хм, от совместимости к безопасности, как основополагающему компоненту системы".
Что касается отчета Symantec, Microsoft не оценила всю его важность. "Проблемы, обнаруженные Symantec, вызваны тем, что Vista находится в стадии Beta 2" - говорит Стефан Тулуз, программный менеджер в центре безопасности компании Microsoft.

Но получается, что и другие важные компоненты Windows были переписаны. На конференции Black Hat conference, которая пройдет на следующей неделе в Лас-Вегасе, Microsoft планирует также обсудить вопросы "наследования функциональности", как сообщил Тулуз.
Тем не менее, он отказался конкретнее сообщить, что же будет обсуждаться. "Не хочется похищать информацию наших докладчиков" – добавил Тулуз.

Источник: http://www.computerworld.com
Перевод: deeper2k