Проект 'ПОтребитель'
Главная | Новости | Информация | Статьи | Программы
Законы | Ссылки | О проекте | Off topic


Кому нужны хакеры? У нас ведь есть Микрософт!



Ричард Форно

20 Декабря 2001: Очерк #2001-15

rforno@infowarrior.org

(c) 2001 принадлежит Автору. Разрешено цитировать, перепечатывать или распространять, при условии, что текст не изменен, и сделано соответствующее упоминание об авторстве.


Перевод (c) 2002 Сергей Середа, общество "ПОтребитель" http://consumer.nm.ru



Коротко: Недавний дефект от Микрософт просто ошеломляет. Почему такие вещи продолжают происходить?

Мнения читателей - здесь.



Это придает "Plug and Pray"* совершенно новое значение... Подключите ваш компьютер с [Windows] XP к Интернет и молитесь, чтобы хакеры его не нашли. (Slashdot)

"Единственное безопасное программное обеспечение Микрософт - то, которое все еще лежит упакованным у них на складе..." (Форно)



Люди уже знают, что я не самый большой в мире поклонник Микрософт. Признаться честно, у меня нет абсолютного предубеждения против компании, и даже готов признать, что ей - в ряде случаев - были разработаны довольно сильные продукты. Кроме того, я "клеймлю позором" Микрософт не потому что это сейчас так принято, а поскольку с продуктами и услугами программной компании существуют серьезные проблемы, которые продолжают игнорироваться. На практике кто-то может возразить, что до них эта информация просто не доходит. Таким образом, подобные [моим] наблюдения должны быть озвучены.

Федеральное правительство и высокотехнологическая индустрия хотят заставить вас поверить, что угрозы для наших сетей исходят извне, а не изнутри, где кто-то должен нести ответственность, когда не всё идёт как надо. Таким образом, мы слышим риторику о "кибертеррористах", хакерах и, так называемом, 'Цифровом Пирл Харборе' - вещах, на которые тяжело указать пальцем и назвать кого-нибудь ответственным за подобные происшествия. Со стороны Белого Дома намного мудрее было бы приглядеться к нашим национальным доморощенным уязвимостям, чем с пеной у рта гоняться за зловещей внешней угрозой; в отсутствие богатейших возможностей, представленных практически во всех продуктах Микрософт, хакерам, крекерам, и электронным злоумышленникам было бы намного труднее нарушать информационные потоки каждую вторую неделю.

Windows XP была выдвинута Микрософт как, возможно, окончательная и наиболее защищенная операционная система Windows, когда-либо созданная фирмой, и одной из её ключевых характеристик была повышенная безопасность от электронных злодеев подобных хакерам, крекерам и, так называемым, кибертеррористам. Фактически, в последнем интервью с E-Week Вице-президент Микрософт Джим Олчин [Jim Allchin] сказал, что Windows XP - "...эффектно отличается высокой безопасностью от Windows 2000 или любой другой предыдущей системы". Выпущенная 25 октября [2001], она рассматривалась как стандартная встроенная операционная система для всех новых продаваемых персональных компьютеров, и время выпуска было подобрано, чтобы совпасть с новыми распродажами ПК в сезон праздников 2001.

К сожалению, Windows XP не защищает вас от Микрософт, объекта, который некоторые называют более опасным чем любой кибертеррорист или банда хакеров.

Выясняется, что Windows XP поставляется с новой возможностью, называющейся "Универсальная самоконфигурация" [Universal Plug and Play - UPnP], которая доступна (включена) по умолчанию, позволяя, таким образом, устройствам UPnP находить друг друга в локальной сети. Так что ваш домашний компьютер может пообщаться с вашим холодильником, вашим тостером, вашим стерео или послать сообщения на ваш PDA, и так далее. Однако, в результате такой оплошности, кто-нибудь может дистанционно этим воспользоваться, чтобы злонамеренно использовать, контролировать или нарушать работу системы из любой удалённой точки мира. Как будто компьютерные уязвимости и так недостаточно плохи, скоро вам придётся волноваться, чтобы кто-нибудь не отключил вашу морозильную камеру и не испортил остатки вашего праздничного угощения...

Пожалуйста, не путайте это с возможностью " дистанционной помощи Windows" [Windows Remote Assistance], продвигаемой как одно из основных преимуществ при использовании Windows XP, но, по существу, функционирующей точно также как и уязвимость UPnP. (Можно только гадать как скоро возможность "дистанционной помощи" будет также злонамеренно использована.)

Марк Мейфрет [Mark Maiffret], талантливый синеволосый "Главный хакер" фирмы Eeye Security, вчера [19 Декабря 2001] продемонстрировал уязвимость UPnP группе шокированных репортеров. В результате, СМИ и эксперты по безопасности называют это "матерью всех уязвимостей" в Windows XP, торопясь сообщить публике о важности загрузки и установки исправления этой проблемы - проблемы безопасности, вызванной не хакером или крэкером, а разработанной и реализованной исключительно Микрософт для удобства вашей работы на ПК и расширения вашего пользовательского опыта при помощи этой "возможности" продукта.

Согласно репортажу Теда Бридиса [Ted Bridis], Менеджер Микрософт по безопасности Скотт Калп [Scott Culp], охарактеризовал эту недавнюю уязвимость как "первую удалённую угрозу сетевого базирования для настольных систем Windows, о которой я осведомлён" и "очень серьезную уязвимость".

Я полагаю, здесь всё зависит от определения "угрозы". Как это по-клинтоновски.

Несмотря на многократные за эти годы интервью в СМИ, посвящённые созданным Микрософт проблемам с безопасностью, г-н Калп, очевидно, не рассматривает ни одну из нижеследующих Микрософт-ориентированных уязвимостей как "удалённую угрозу сетевого базирования" для "настольных систем Windows", от серии программ "Back Orifice" от удивительного Культа Мертвой Коровы [Cult of the Dead Cow - CDC] до почтовых червей, троянских программ и вирусов (вспомните BadTrans), которые могут передавать важную информацию из заражённых ими систем. Неужто г-н Калп пропустил несколько учебных дней и забыл почитать SECHOLE.EXE (июль 1998), про разнообразные уязвимости в межкадровых сценариях [cross-frame scripting] Internet Explorer (сентябрь 1998) или обнаруженную в середине 2000 года возможность атаки ПК с Windows через переполнение буфера при использовании одной из возможностей Галереи шаблонов [Clip Art] Офиса Микрософт? А как насчет уязвимостей Windows в подсистемах разделения файлов и принтеров, обнаруженных в 1995? Как насчёт практически бесконечного числа уязвимостей при переполнении буфера (вспомните CodeRed, Lion и Nimda), которые не дают жизни Информационному Серверу Интернет [Internet Information Server - IIS]? Несмотря на то, что IIS выпускается не для "настольных систем Windows", он заслуживает упоминания ввиду практически идентичного программного кода в клиентских и серверных продуктах Микрософт.

Так как же именно Микрософт классифицирует подобные типы сетевых уязвимостей? Как неприятную, но неизбежную цену ведения бизнеса в сетевом мире?

Когда же это закончится? И что делать с этой недавней проблемой в системе безопасности, разработанной в Редмонде?

Микрософт, как самый крупный поставщик программного обеспечения для ПК в мире, с установившимся монопольным статусом, должна сделать ответственный поступок. Вместо того, чтобы продолжать проповедовать безопасность в качестве маркетингового инструмента для своего предприятия ".NET", благоустроенного пути развития бизнеса с новыми собственническими "стандартами" и платными, закрытыми механизмами "партнёрства" в области безопасности, или пересматривать свои меры реагирования , она должна вернуться к истокам и поискать там решение своих внутренних проблем, которые обычно развиваются во всемирные проблемы.

Проще говоря, Микрософт должна пересмотреть весь свой программный код строку за строкой и хорошо его подчистить. Годы выпусков сервисных пакетов, исправлений, повторных исправлений, обновлений, критических обновлений и "заплаток" для продуктов под Windows сделали этот код грязными и лёгким для взлома, как мы в этом и убеждаемся каждые несколько месяцев. А ещё лучше было бы, если бы Микрософт пересмотрела структуру Windows, а именно, убрала бы разделение программного кода между приложениями и ядром операционной системы Windows (как, например, повсеместная доступность Сети через Internet Explorer в любом приложении и системе Windows). Подобно автомобилю, пора отвезти код Windows в мастерскую для капитального ремонта. На самом деле, весь мир это понимает.

Кроме того, Микрософт должна не только проверять, как хорошо её продукты работают вместе, но также проводить более агрессивное тестирование на предмет злоупотреблений с её программными продуктами (например, XP) до того, как они выпускаются в Реальный Мир. Такое тестирование должно производиться независимыми третьими сторонами и проводиться "прозрачным", публичным способом, чтобы предотвратить любые претензии относительно пристрастности результатов такого тестирования. В общем, Микрософт должна проводить то, что остальная часть компьютерного сообщества считает реальными "бета тестами" - а именно: убеждаться, что предположительно готовое приложение работает как должно, использовать опытных пользователей для проверки функциональности, надёжности и безопасности продукта в реальной жизни, при реальном использовании, в жестких условиях... не использовать свои шарлатанские периоды 'бета тестирования' как возможность авансом реализовать копии своих продуктов, многие из которых так, кажется, никогда и не выходили из стадии "бета", даже когда они официально выпускались для продажи!

Ни в одном из интервью относительно ситуации с UPnP Калп не признал, что Eeye поступила ответственно, проинформировав Микрософт и дождавшись доступности исправления от Микрософт, до того как передать информацию об этой критической уязвимости сообществу Интернет, то что многие люди, занимающиеся проблемами безопасности (все не из Микрософт), считают "ответственным [корректным] раскрытием информации". Судя по сообщениям, Микрософт понадобилось почти два месяца, чтобы выпустить "заплату" после получения информации об уязвимости. Хотя действия Eeye были похвальны, я бы не стал ждать так долго, чтобы поставить сообщество в известность о такой критической проблеме в безопасности. Реально, поставщик должен быть способен изучить и проверить заявленную уязвимость - особенно такую критическую как эта - и выпустить "заплату" или опубликовать справочное пособие по исправлению ошибки примерно через две недели. В данном случае, Микрософт - если бы она решила, что в её интересах так сделать - могла бы легко привлечь четырнадцать тысяч человека-дней программиста (1000 программистов x 14 дней), чтобы решить проблему в течение двух недель. Eeye была очень великодушна, предоставив Микрософт столько времени на исправление проблемы, хотя загадка почему Микрософт потребовалось почти два месяца на разрешение проблемы поднимает ряд беспокоящих вопросов.

Возможно признание этого противоречило тону и содержанию послания Калпа в октябре 2001, призывающему Ватикан Уязвимостей от Микрософт пресекать публичное раскрытие уязвимых мест в безопасности и реализовывать программную безопасность через замалчивание и общественное неведение. Что ещё интереснее, Eeye сообщила Микрософт про уязвимость UPnP в октябре (согласно источникам в EEye, через день после выхода Windows XP). Не было ли двухмесячное молчание Микрософт об этой критической уязвимости предпринимательским [деловым] решением избежать общественного позора с новым продуктом так незадолго до праздничного сезона (т.е. "продаж новых ПК")? Мы можем только задаваться этим вопросом.

На настоящий момент Микрософт наиболее известна своими объявленими об уязвимостях и прикрывающими собственные хвосты предупреждениями по безопасности, что член CDC Твити Фиш (Tweety Fish) отмечал в интервью в 1999, обсуждая растущее число созданных Микрософт проблем с безопасностью. Он отметил, что Микрософт "не будет рассматривать никакой риск в системах безопасности как проблему, пока он не станет проблемой в прессе." Или, другими словами, это не является реальной проблемой, пока так не скажет Микрософт.

Дела говорят громче слов. Микрософт посвящает безопасности много работы языком для маркетинга и контроля за отношениями с общественностью, но история фирмы по разрешению проблем безопасности лежит довольно далеко от того, что профессионалы в области безопасности назвали бы чётким, долгосрочным подходом по эффективной работе над проблемой. Таким образом, всё зависит от третьих сторон типа Eeye и других научно-исследовательских фирм, продолжающих работать как "противовес" против будущего с созданными поставщиками безопасностью-через-замалчивание и общественным неведением.

Благодаря ответственному раскрытию Eeye этой катастрофической уязвимости в Windows XP, не только Интернет стал немного безопасней, но их действия снова доказали, что добровольное раскрытие информации об уязвимостях возможно и без платных субсидированных поставщиками клубов.



Использованные материалы:



Article Copyright © 2002 Richard F. Forno. All Rights Reserved. For additional information please visit www.infowarrior.org



Авторские Права на Перевод © 2002 Сергей А. Середа, © 2002 Движение ПОтребитель. Все права защищены. За дополнительной информацией обращайтесь на consumer.cjb.net



Наверх Письмо Web-мастеру