Главная | Новости | Информация | Статьи | Программы Законы | Ссылки | О проекте | Off topic |
Ричард Форно | rforno@taoiw.org / www.infowarrior.org |
Очерк №2000-04 | 15 мая 2000 г. |
Мы живем в век объединенных информационных ресурсов. К сожалению, практически во всех наших основных правительственных и коммерческих организациях, продукты и операционные системы Microsoft управляют критическими системами и сетями. И, как вы вскоре увидите, я продолжаю поражаться почему, во имя Господа, мы, бывалые компьютерные профессионалы, продолжаем маршировать как лемминги по направлению к одной единственной информационной рабочей среде от Редмонда, которая вновь и вновь доказывает, что является нестабильной, незащищенной, и, как мы слишком часто видели, очень благоприятной для ее злонамеренного использования. Продолжение следования по компьютерному пути, выложенному перед нами Редмондом и Великим Гейтсом, непременно и в значительной степени увеличит число нарушений компьютерной безопасности, производимых против Microsoft-ориентированных программных продуктов, таких как Windows, Outlook, Office и Internet Explorer. В целях экономии времени, я не буду даже начинать дискуссию о серии средств Back Orifice для несанкционированного удаленного контроля над компьютерами на платформе Windows - для ее записи просто не хватит электронов!
Демонстрируемый Microsoft ответ на множество нарушений безопасности гласит: "пока это не прогремит по CNN, оно не имеет для нас важности". Очень часто они занижают известные уязвимости, заявляя, что это относится только к части установленных у пользователей программных продуктов, или используя "избирательные формулировки" в своих бюллетенях по безопасности. Иногда, это - просто типичное поведение корпоративного титана … никому не нравится слушать - а уж тем более признавать -, что у них есть недостатки. Это неудовлетворительно. Если бы Boeing в ответ на сообщения об обнаруженных уязвимостях конструкции ждал, пока самолеты не начнут падать с неба, прежде чем рассмотреть и подтвердить либо опровергнуть жалобы, как бы вы отнеслись к этой компании? Откройте Приложения 1 и 2 и посмотрите число подтвержденных уязвимостей, о которых корпорация Microsoft публично объявила в 1999 и 2000 гг. В 1999 было 61 предупреждение по безопасности; только за половину 2000 было уже 31 предупреждение. Это можно рассматривать как подтверждение того, что качество продуктов Microsoft за все эти годы не претерпело ощутимых улучшений.
Интересно так же отметить, что большинство уязвимостей, найденных в продуктах Microsoft, были обнаружены не фирмой Microsoft, а, напротив, третьими сторонами - L0PHT, @Stake, другими официальными группами и независимыми исследователями или, возможно, самым популярным (или "печально известным", по мнению Microsoft) программистом, ищущим слабые места в безопасности Internet Explorer, болгарином Георгием Гунским. Никому это не кажется проблемой? И сколько еще других уязвимостей, о которых корпорация Microsoft была извещена, было оставлено продавцом в секрете, по каким бы то ни было причинам?
Первое публичное заявление, поднявшее вопрос о программном обеспечении Microsoft, как касающийся национальной безопасности, было сделано Полом Стрессменом (Paul Strassman), из Университета Национальной Обороны (National Defense University) в Вашингтоне (округ Колумбия), написавшем в статье в журнале Computerworld за ноябрь 1998 года, что:
Господство Microsoft в области операционных систем представляет собой новую угрозу национальной безопасности нашего базированного на информации общества. Правительство отчаянно пытается сдержать растущую мощь Microsoft при помощи антимонопольного преследования, которое доказало бы существующий ущерб для потребителей. Этого недостаточно. Правительство должно так же рассматривать риск от информационных атак на, в значительной степени, однородную среду управления системами. Информационные террористы и преступники, неизбежно, воспользуются изъянами в гигантских операционных системах Microsoft, которые находятся на пути к тому, чтобы стать средствами управления для большей части нашей информационной инфраструктуры ...
...Всеохватывающая операционная система открывает себя для враждебного использования потрясающих изъянов в безопасности. Присутствие фатального дефекта неизбежно, так как сложность систем Microsoft возрастает в беспорядочных пропорциях с каждой новой версией. Поиск такой ошибки как раз и занимает умы некоторых из ярчайших компьютерных экспертов. Нахождение "дыры", посредством которой можно посеять хаос при помощи всего лишь нескольких нажатий клавиш, может стоить огромных денег, особенно при пособничестве террористическому акту...
...Ни один эксперт по сельскому хозяйству не предложит, чтобы только одна сельхозкультура с использованием идентичных семенных штаммов выращивалась в Канзасе, Огайо, Иллинойсе и Айове. "Монокультуры", как их называют биологи, слишком уж уязвимы для вредителей, болезней и непредвиденного сочетания экологических условий. Ирландская "картофельная катастрофа", например, была вызвана доверием к единственному штамму картофеля. ( http://www.computerworld.com/home/print.nsf/all/9811307DD2)
Таким образом, цель данной статьи - развить дальше тезис Стрессмена о Microsoft как об угрозе национальной безопасности и показать, что продолжающееся использование программного обеспечения Microsoft вкупе с известной деловой практикой Microsoft и продемонстрированным игнорированием фундаментальных соображений безопасности в их продуктах, составляют прямую и явную угрозу безопасности Соединённых Штатов. В поддержку этого заявления есть две ключевые проблемы, связанные с программным обеспечением Microsoft.
Первое обсуждение покажет, насколько легко можно использовать недостатки программного обеспечения Microsoft, чтобы парализовать большие корпоративные и государственные организации. Во-вторых, я продемонстрирую, насколько Microsoft боится любого детального и честного публичного анализа их программных продуктов и как использует недавно принятые законы, такие как UCITA и DMCA, которые разработаны, чтобы предотвратить объективные проверки качества программного обеспечения и освободить производителей программного обеспечения от ответственности за выпуск низкопробных программных продуктов. - то, чего корпорация Microsoft добивалась с самого первого дня своего существования.
В этой части будут обсуждаться уязвимости, связанные с программами производства Microsoft. В качестве исходной информации, двумя ключевыми проблемами с Операционным Окружением Microsoft (MOE) являются врожденные уязвимости безопасности в языке cценариев Visual Basic (.VBS) и в ActiveX (или "craptive-X" в кругах противников Microsoft). В то время как присутствие в Офисном пакете общего языка сценариев очень полезно - и, корректно выполненные, они ощутимо экономят время, - это кибернетическое самоубийство давать ему возможности, которые могут быть с такой легкостью злонамеренно использованы любым врагом или, непреднамеренно, сотрудником самой организации. Возьмём ActiveX, в отличие от языка Java фирмы Sun, Microsoft ActiveX может делать с системой Windows что угодно! Что угодно! Со сценариями Visual Basic всё почти так же плохо... Почему настолько сильно необходимо иметь возможность использовать функцию .VBS, чтобы послать электронное письмо каждому из адресной книги Outlook? Не за тем ли мы платим почтовым администраторам, чтобы они могли создать глобальный список типа L-Company-Fullstaff и контролировать, кто может посылать сообщения сразу всем сотрудникам предприятия?
(Да, "MOE" это "три веселых буквы", которые, после множества перенесённых проблем с безопасностью, вызванных программами Microsoft, заставляют меня удивляться, почему я до сих пор не бегаю кругами, колотя себя по лицу и выкрикивая что-то нечленораздельное!) На языке найденной в Базе Знаний Microsoft (Microsoft Knowledge Base) страницы под названием "Основная информация об использовании VBScript в Outlook",
VBScript разработан, чтобы быть безопасной средой программирования. В нем отсутствуют различные команды, которые могли бы быть потенциально разрушительными, в случае их злонамеренного использования. Эта повышенная безопасность является критической в корпоративных решениях.
Имейте это ввиду, когда мы будем рассматривать связь .VBS с уязвимостями в безопасности, такими как ILOVEYOU. Корпорация Microsoft объявила о своей обеспокоенности появлением ILOVEYOU в сообщении, датированном 8 мая 2000 г. под названием "Специальный выпуск - Служба Новостей по пакету Office - Вирусное Предупреждение":
На прошлой неделе по электронной почте стал распространяться новый вирус, имеющий возможность затронуть широкий круг пользователей электронной почты, включая пользователей, работающих с Microsoft Outlook. При активации вирус может записываться поверх .jpg, .mp3 и других типов файлов, а так же произвести попытку переслать свою копию всем из адресной книги пострадавшего.
Никогда не упускающий возможности поймать Редмонд на слове, сетевой журналист Фил Агрэ (Phil Agre) (ведущий дискуссионного списка "Red Rock Eater" по адресу http://dlis.gseis.ucla.edu/people/pagre/rre.html) отмечает:
Стиль текста, здесь, направлен на разрушение любых мысленных ассоциаций между вирусной уязвимостью и Outlook. Нам говорят про вирус, "имеющий возможность затронуть широкий круг пользователей электронной почты, включая пользователей, работающих с Microsoft Outlook". У спешащего читателя создастся впечатление, что проблема не является специфичной для Outlook. Но секундное размышление посеет сомнения. Во-первых, вирус будет работать только на машинах, которые могут выполнять сценарии Visual Basic. Это сразу сужает круг до небольшого набора платформ Microsoft. Кто-то может спросить, а исполняют ли другие почтовые программы Microsoft присоединенные к письмам сценарии Visual Basic? Но это не то, о чем сказано в отрывке. Там сказано только, что у вируса есть "возможность затронуть широкий круг пользователей электронной почты". Кто-нибудь, использующий почтовый клиент Windows 98, отличный от Outlook, может по какой-либо причине сохранить присоединенный файл VBS и, затем, специально запустить его с рабочего стола. Это может "затронуть" машину пользователя (поврежденные файлы, модифицированная автозагрузка, измененная "домашняя страничка" в Explorer), но это действие не сможет распространить вирус, потому что механизм размножения вируса основывается на адресной книге Outlook. Это конкретное заявление выглядит корректным, но вы должны прочесть его внимательно. Во всяком случае, выделенные мной отрывки довольно уклончивы.
Основываясь на заявлениях и документации Microsoft, есть довольно много вирусов, которые могут затронуть пользователей Outlook, но нет никакой уязвимости в безопасности, связанной с этой программой, и пользователи не должны рассматривать Outlook или Сценарии Visual Basic как небезопасные. Это почти такая же правда, как и заявление, что Microsoft изобрел что-то новое кроме "Синего Экрана Смерти". Это значит, что увеличивающееся количество вирусов, написанных школьниками и парализующими весь мир за три дня, прямо используя возможности Outlook, не является главной заботой продавца программного обеспечения? Немного гласности лучше, чем отсутствие гласности вообще, скажет кто-то... во всяком случае, в суд не подашь!
В любом случае, благодаря антивирусному ресурсу F-Secure (www.datafellows.com), я смог провести небольшое исследование, чтобы составить список почтовых вирусов кроме ILOVEYOU, которые распространились по Интернет примерно за последние восемнадцать месяцев в результате уязвимостей в Microsoft Outlook. Ниже приведено несколько описаний вирусов, использующих Microsoft Outlook, для распространения своих копий по всему миру. При чтении этих описаний обратите внимание на общие особенности - все они используют сценарии Visual Basic для распространения по предприятию и по сети, многие из этих почтовых сценариев модифицируют системные файлы, такие как WIN.INI, и реестр Windows, и они работают только под Microsoft Outlook. (Обратите внимание, что некоторые из них не могут функционировать под Windows NT ввиду отличий в файловой структуре и архитектуре безопасности этой операционной системы). Я взял на себя смелость урезать длинные описания, которые дает F-Secure, чтобы показать суть вопроса. ВНИМАНИЕ: Если вы не специалист, можете пропустить эту секцию, так как в нескольких следующих параграфах будет присутствовать технический жаргон:
- IROK. Получив управление, червь копирует себя в папки C:\Windows\System\ и C:\Mirc\ под именем IROK.EXE и записывает WINRDE.DLL в папку \Windows\System\. Этот файл является не динамической библиотекой (DLL) Windows, а файлом данных. Червь так же заменяет файл SCRIPT.INI в папке C:\Mirc\ своим собственным сценарием, который рассылает IROK.EXE всем на канале IRC, к которому присоединяется объект заражения. Наконец, червь записывает файл сценария Visual Basic IROKRUN.VBS в директорию автозапуска Windows. Этот сценарий будет выполнен при следующем запуске системы. Когда сценарий IROKRUN.VBS запускается во время следующей загрузки Windows, он использует Microsoft Outlook для рассылки тела червя под именем IROK.EXE 60 получателям, адреса которых берутся из адресной книги Outlook.
- Melissa. Активируется при открытии зараженного файла. В этот момент он проверяет не инфицирован ли уже главный шаблон и, если нет, он копирует туда себя, модифицируя в ходе процесса свой код. После того как вирус инфицировал главный шаблон, он заражает все документы в момент их закрытия. Так же блокируется меню "Tools/Macros/Visual Basic Editor" (Инструменты/Макрос/Редактор Visual Basic). Этот вариант содержит блок массовой рассылки, заимствованный из W97M/Melissa и деструктивный механизм, который активируется 25 декабря. В этом случае вирус в первую очередь записывает в "C:\Autoexec.bat" код, который отформатирует диск "C:" сразу же после рестарта системы. Вирус производит массовую рассылку своих копий первым 50 получателям, занесенным в адресную книгу Outlook. Почтовое сообщение так же содержит копию зараженного активного документа. Вирус так же изменяет реестр Windows, чтобы отметить, что массовая рассылка уже произведена. Один раз, разослав по почте свои копии, вирус размножается при открытии и закрытии документов.
- ExploreZip. Это сходный с Melissa почтовый червь. Но, в отличие от Melissa, червь Zipped_Files использует другой механизм. Способ самораспространения через электронную почту так же отличен. Вирус анализирует принятые Microsoft Outlook сообщения и автоматически посылает ответы их отправителям. Он, так же, модифицирует WIN.INI, чтобы один из этих файлов запускался при каждом старте Windows. Если червь заразил одну машину в корпоративной сети, он начинает искать в сети другие рабочие станции Windows. Если на машине другого пользователя есть разделяемые (shared) директории для других пользователей, червь попытается заразить эту машину через сеть. Это значит, что ваш компьютер может быть поражен вирусом Zipped_Files, даже если вы очень осторожны с вашей электронной почтой, не открываете прикрепленные файлы или даже совсем перестали пользоваться электронной почтой. Вы не заметите заражения, а ваша машина после этого начнет автоматически отвечать на все полученные электронные письма. Ответы содержат зараженное вложение и распространят вирус дальше. Вдобавок, червь начнет перезаписывать файлы на локальных и сетевых дисках.
- VBS/Bubbleboy. Это - самый первый вирус, способный распространяться по электронной почте без необходимости открытия вложения. Он выполняется сразу же, после того как пользователь открыл сообщение в Outlook. В Outlook Express даже просмотр сообщения в "Preview Panel" ("Панель предварительного просмотра") вызывает его выполнение. Получатель электронного письма заражается и распространяет червя, не "щелкая" ни по одному прикрепленному файлу. Сообщение даже не содержит ни одного вложения. Затем вирус использует возможности ActiveX, чтобы получить доступ к системному реестру. Он изменяет имя зарегистрированного владельца Windows на "BubbleBoy", а название организации на "Vandelay Industries". После этого червь использует возможности ActiveX, чтобы открыть Outlook и использовать его для рассылки своих копий всем получателям из всех адресных книг, как это делает Melissa. Массовая рассылка производится единожды для каждой зараженной машины. BubbleBoy использует известный изъян в безопасности Microsoft Outlook, чтобы создать локальный файл HTA. Если в Outlook отключено выполнение активных сценариев, червь не будет работать.
- VBS/Freelink. Это - почтовый червь, написанный на языке VBScript (сценариев Visual Basic). Программы на VBScript функционируют только под управлением Windows 98 и Windows 2000 (если только отдельно не была установлена Система Поддержки Сценариев Windows [Windows Scripting Host]). При получении червем управления он записывает зашифрованный файл сценария в "C:\Windows\System\Rundll.vbs". После этого VBS/Freelink изменяет реестр, чтобы "Rundll.vbs" выполнялся после каждого рестарта системы. Если пользователь нажимает кнопку "Yes", червь создает на рабочем столе ссылку Интернет под названием "FREE XXX LINKS". Ссылка указывает на сайт http://www.sublimedirectory.com. Червь так же ищет именованные разделяемые сетевые ресурсы. Если червь их находит, он копируется в корневой каталог каждого разделяемого ресурса. Червь использует приложение Outlook, чтобы разослать свои копии всем получателям из всех адресных книг. Блок массовой рассылки сходен с W97M/Melissa, но он не заражает документы Word и рассылает свои копии при каждом своем запуске.
- VBS/Monopoly. Это - червь, использующий Microsoft Outlook для массовой рассылки своих копий. Он был создан с использованием Сценариев Visual Basic и работает под управлением Системы Поддержки Сценариев Windows (WSH) версии 5.0 и выше. Когда сценарий получает управление, он, в первую очередь, создает три файла во временном каталоге Windows: "monopoly.jpg", "monopoly.whs" и "monopoly.vbe". После того как файлы были созданы, червь выводит окно с сообщением, говорящим, что Билл Гейтс играет в монополию, и показывает игровую доску игры Монополия.
- X97M/Papa. Это - червь, использующий макросы Excel 97. Он довольно похож на широко распространенный вирус W97M/Melissa, но, скорее всего, написан другим автором. При каждом открытии зараженного Papa файла XLS, он отсылает свою копию по электронной почте, используя Microsoft Outlook, первым 60 людям из адресной книги.
В идеальном мире и с качественно разработанной архитектурой безопасности программного обеспечения единственной областью диска или областью данных компьютера, к которой разрешен доступ офисной программе (такой как Outlook или Word), должна быть файловая система для создания и сохранения офисных файлов, созданных пользователями. В реальности же, НЕОБХОДИМО поинтересоваться, почему приложение "по автоматизации документооборота" обладает возможностью перезаписывать и модифицировать системные файлы, влияющие на весь компьютер или сеть? Какова может быть законная, полезная причина, чтобы иметь доступ - при помощи сценариев внутри текстового редактора - к основополагающим системным ресурсам и системным файлам, как это было показано выше?
Как давно существуют эти проблемы и сколько еще раз это должно произойти, пока кто-нибудь не попытается исправить эту проблему? После $5-миллионной цены Melissa и ILOVEYOU, оцениваемого в $8 миллиардов убытков по всему миру, чему еще нужно будет случиться, чтобы корпорация Microsoft предприняла хоть какие-то действия по предотвращению появления базированных на Outlook вирусов, многие из которых написаны и выпущены детьми, школьниками или студентами, не закончившими колледж? Пока не будут произведены фундаментальные изменения в программе Outlook и Операционном Окружении Microsoft (MOE), Интернет-сообщество, корпорации и правительственные организации Америки будут продолжать наблюдать события такого рода, с использованием недокументированных "возможностей" программного окружения Microsoft, вроде тех, которые нам в последние годы продемонстрировали ILOVEYOU и Melissa. Сеть была свидетелем появления слишком многих постовых вирусов, использующих известные изъяны и слабости в различных приложениях Microsoft Office, особенно Outlook.
Когда же Microsoft, наконец, выпускает "заплаты", чтобы убрать многие изъяны такого типа, часто после того как пользовательское сообщество довольно долго призывало к таким действиям - это не идеальное решение. Человеческой аналогией является доктор, постоянно прописывающий "Тайленол" при периодических головных болях пациента (чтобы убрать симптомы), но никогда не пытающийся устранить истинную причину болей (хронические мигрени).
Устранить истинную причину этой проблемы означает переписать некоторые части языка сценариев Visual Basic и принять ряд других мер, чтобы удостовериться, что такие сценарии "привязаны" (т.е. обезопашены, и/или не способны модифицировать системные файлы и т.п.) и, таким образом, предохранены от злоупотребления со стороны противника. Выделит ли корпорация разработчиков, чтобы это исправить? Или продолжит игнорировать свои обязанности по отношению к Интернет-сообществу в целом?
Недавно давая интервью о фиаско с ILOVEYOU, Скотт Калп (Scott Culp), Управляющий программой Центра Безопасности Microsoft (Microsoft Security Center), заявил агентству Рейтерс (Reuters), что "в данном случае автор вируса выбрал мишенью Outlook, скорее всего из-за того, что он дал ему больше возможностей. Здесь вообще нет никакой связи с уязвимостями в Outlook".
Гаявата Брэй (Hiawatha Bray) из Бостон Глоуб (Boston Globe) очень хорошо отметила в своей недавней заметке:
В моей беседе с представителем Microsoft Адамом Соном (Adam Sohn) на прошлой неделе, он описал свою идею о том, каким образом компании могут улучшить безопасность Outlook. "Они должны начать с порки своих служащих", заявил Сон. Он посмеивался, подтверждая, что шутит, но только относительно телесных наказаний. Сон был более чем серьезен относительно абсолютного отсутствия вины Microsoft в фиаско с "Love Bug". Напротив, он посчитал виновными глупых компьютерных пользователей, начавших открывать присоединенные к электронным письмам файлы. "Люди не должны их открывать", сказал Сон. "Вот в чем проблема." ( http://www.digitalmass.com/columns/software/0508.html)
Как бы не так. Вопреки мнению Microsoft, что "проблема - это пользователи", реальная проблема заключается во внутреннем устройстве Outlook, направленном на его интеграцию в окружение Windows, и в скрытых возможностях Visual Basic, при помощи которых можно использовать это приложение со злым умыслом. В завершение дискуссии об Outlook я задам риторический вопрос. На той же неделе, когда ILOVEYOU заполнил заголовки новостей, Эсошиэйтэд Пресс (Associated Press) объявило, что в Министерстве Обороны (Department of Defense - DoD) от ILOVEYOU пострадало несколько "закрытых" сетей. Это означает, что DoD использует продукты Microsoft внутри своих "закрытых" сетей - не очень-то светлая идея, принимая во внимание существующий уровень безопасности продуктов Microsoft, и приводит к мысли, что хваленые "секретные" сети DoD, вроде SIPRNET, не настолько изолированы, как это пытаются представить, а так же говорит о том, что DoD нарушает свои же собственные правила сетевой безопасности.
Нижняя строка здесь говорит о том, что правительство Соединенных Штатов, а не только военные, и основные корпорации используют программное обеспечение Microsoft как стандарт. Продемонстрированные этой компанией-производителем ПО незащищенность, нестабильность и простота злонамеренного использования ее продуктов продолжают быть слагаемыми угрозы национальной безопасности при использовании программного обеспечения Microsoft в критических инфраструктурах. Слава Богу, на этой неделе Соединенные Штаты не участвовали ни в какой войне, но если бы участвовали, ILOVEYOU (или один из его существующих или будущих вариантов) мог бы значительно снизить возможности Пентагона по пересылке электронных сообщений для руководства операциями, как в открытых, так и в закрытых сетях. Страшно!
Но, чтобы читатели не подумали, что Outlook - единственный трудный программный ребенок в арсенале Microsoft, давайте рассмотрим части общего для всех продуктов Microsoft Office языка сценариев. 12 мая 2000г. L0PHT (www.l0pht.com), бывший ученик Dildog (сейчас работающего на консалтинговую фирму по вопросам безопасности @STAKE) опубликовал "сборник советов", содержащий следующие отрывки:
Microsoft Office 2000 поставляется с элементом управления ActiveX под названием "Microsoft Office UA Control". Он устанавливается по умолчанию и охарактеризован [со стороны Microsoft] как "безопасный для написания сценариев". Этот элемент недокументирован и его интерфейс, по видимому, был использован для написания демонстрационных роликов для системы помощи Office 2000 и обеспечения работы "помощника" (Office Assistant).
Анализ интерфейса элемента управления открывает его способность управлять практически любым действием в Office 2000, которое пользователь может произвести при помощи клавиатуры, включая, но не ограничиваясь только этим, снижение уровня безопасности макросов до самого низкого. Это действие может быть выполнено с любой страницы HTML, просматриваемой с включенной поддержкой активных сценариев, включая, как Internet Explorer, так и электронное письмо в Outlook в их конфигурации, установленной по умолчанию... .
...Элемент управления Microsoft Office UA предоставляет мощный интерфейс для автоматизации команд в рабочем окружении Office 2000. Проблема заключается в том, что этот элемент управления -не- должен квалифицироваться как безопасный для написания сценариев. Возможности этого элемента управления таковы, что его использование через удаленные страницы HTML и электронные письма делает его чрезвычайно опасным...
...Сам факт того, что этот элемент управления существует в данном конкретном виде, может позволить создание червя с не имеющими себе равных разрушительными способностями, так он будет способен отключать защиту от макро-вирусов и "создавать сценарии" своего проникновения ко всем людям в вашей адресной книге.
...Наихудший сценарий использования этой уязвимости с легкостью может включать в себя дополнительный вредоносный код для выполнения таких действий как модификация файлов, распространение червей и вирусов или обеспечения внешнего доступа ко внутренним сетевым ресурсам.
Ранее в 2000, Dildog публикует другой "сборник советов", на этот раз информирующий Интернет-сообщество о том, что злоумышленник может захватить контроль над машиной с Windows 95, 98, NT или 2000 при помощи любого ресурса HTML, включая электронное письмо Microsoft Outlook. Он отмечает:
Галерея Эскизов (ClipArt Gallery - CAG.EXE), которая идет вместе с Microsoft Office 2000, обрабатывает файлы ".CIL" для установки эскизов из Интернет. Формат CIL обрабатывается программой CAG.EXE некорректно и одно из внутренних полей в файле обладает возможностью для переполнения буфера, позволяя злоумышленнику выполнить произвольный программный код. Злоумышленник может поместить злонамеренно модифицированный файл CIL на сайт Интернет или в электронное письмо, вынуждая жертву атаки импортировать файл CIL. Файл будет открыт без запроса к пользователю, так как формат CIL не требует подтверждения на его открытие после копирования с удаленного ресурса. Этот случай НЕ требует использования уязвимости с активными сценариями и НЕ регулируется зонами безопасности Internet Explorer.
К сожалению, существующая "заплата" для этого случая является лишь "средством первой помощи" от проблемы того, что Internet Explorer сейчас используется для -всего, что только можно-, и, что в ряде случаев его подсистема обработки формата HTML позволяет файлам произвольных форматов быть скопированными и обработанными без подтверждения [их безопасности]. Можно ожидать похожих случаев и в будущем. (Внимание: Есть корректирующая "заплата" от Microsoft.)
Когда вы начнете смеяться над тем, насколько ненормальным должен быть "плохой парень", чтобы быть способным захватить ваш компьютер при помощи картинки с эскизом, задумайтесь, откуда все это взялось. Взгляните на подчеркнутые предложения выше. Встраивание Internet Explorer в операционную систему Windows и офисные продукты в попытке привязать пользователей к продуктам Microsoft создало большой потенциал для продолжающих появляться уязвимостей в безопасности вследствие взаимосвязанной природы нескольких незащищенных и слабо написанных приложений, что больше ориентировано на пользу бизнес-модели Microsoft чем покупателей.
Не концентрируясь только на приложениях Microsoft Office, нижеприведенный график (статистика собрана ATTRITION.ORG) показывает фантастическое увеличение веб-серверов, базированных на Microsoft Windows, которые были "взломаны" или каким-либо другим образом скомпрометированы по сравнению с другими серверами, работающими под управлением конкурирующих операционных систем в период с августа 1999 по май 2000гг.:
В терминах угрозы национальной безопасности мы уже продемонстрировали, в какой чрезвычайной степени продукты Microsoft уязвимы перед атаками и использованием "программных дыр", а так же то облако самообмана, окружающее ответы Microsoft на сообщения о проблемах безопасности в их продуктах. Приложения 1 и 2 являются списками объявленных уязвимостей в безопасности Программного Обеспечения Microsoft. Самообман Редмонда очевиден, так как их бюллетени по безопасности озаглавливаются не режущим глаз "Уязвимость в ...", а, напротив, позитивно воспринимаемой фразой "Исправление для ...". Таким образом, Microsoft избегает принятия ответственности за уязвимости в своем программном обеспечении. Ознакомьтесь с приложениями 1 и 2, чтобы увидеть количество уязвимостей, которые Microsoft публично признала в 1999-2000 гг. В 1999 было 61 объявление по безопасности; менее чем за половину 2000 было уже 31 объявление. Никому это не кажется проблемой?
Microsoft гордится тем, что предоставляет устойчивую и безопасную Интернет-платформу. За последние 10 месяцев в среднем 225 веб-серверов под управлением Windows NT было скомпрометировано по сравнению со в среднем 54 серверами под управлением Linux. Интересно, что серверы, МЕНЕЕ всех пострадавшие от атак, были UNIX-серверами, которые по самой своей природе позволяют легко настраивать такие серверы именно так, как вам нужно. Пример по теме: В 1999 Армия США перевела свой часто "взламываемый" Интернет-сервер с Microsoft NT под другую операционную систему и с тех пор он ни разу не был "взломан". Совпадение? Случайность? А может операционная система получше?
|
|
|
Windows-NT | 2252 | 59.50 |
Linux (неизвестный дистрибутив) | 544 | 14.37 |
Solaris | 411 | 10.86 |
BSDI | 126 | 3.33 |
FreeBSD | 117 | 3.09 |
Irix | 73 | 1.93 |
Linux (RedHat) | 72 | 1.90 |
Unknown | 67 | 1.77 |
Windows-95 | 21 | 0.55 |
Linux (ALZZA) | 19 | 0.50 |
Linux (Cobalt) | 19 | 0.50 |
SCO | 17 | 0.45 |
Windows 2000 | 7 | 0.18 |
MacOS | 7 | 0.18 |
Generic Unix | 5 | 0.13 |
Digital Unix | 5 | 0.13 |
HPUX | 4 | 0.11 |
Linux (Mandrake) | 3 | 0.08 |
OpenBSD | 3 | 0.08 |
AIX | 2 | 0.05 |
NetWare | 2 | 0.05 |
Linux (Debian) | 2 | 0.05 |
Linux (Slackware) | 2 | 0.05 |
NetBSD | 1 | 0.03 |
PowerBSD | 1 | 0.03 |
MacOSX | 1 | 0.03 |
Compaq True64 Unix | 1 | 0.03 |
Digital OSF1 | 1 | 0.03 |
Повреждений с августа 1999 | 3785 | 66.49 |
|
Специалисты по ИТ очень хорошо знают, что ПО Microsoft является причиной большинства связанных с безопасностью Интернет или основанных на электронной почте серьезных инцидентов с "отказом в обслуживании" (Denial of Service - DoS) в последние годы. Как читатели увидят в следующих параграфах, существующие и предлагаемые на будущее схемы лицензирования и законодательства в сфере ПО всегда будут надежно избавлять Microsoft и другие компании от принятия активных шагов с целью удостовериться, что в массы распространяется качественное и безопасное ПО, а так же освобождают их от судебных исков, возникающих из-за низкокачественного или содержащего "дыры" ПО. Мы совершенно сошли с ума (читайте "рехнулись"), если ведем с ними дела, и безумны, если базируем свои критические системы на их продуктах!
Сегодня, когда Microsoft мертвой хваткой держит большинство компьютерных платформ, компания будет бороться зубами и когтями, чтобы сохранить конкурентное преимущество. Для Microsoft нет большей радости, чем в манере, напоминающей Сталинский Советский Союз, быть в состоянии подвергать цензуре, подавлять и уничтожать публичное обсуждение и несогласие, относящееся к качеству ее расхваливаемых продуктов. Фактически, можно пойти дальше и сказать, что Microsoft пытается оказать правовое давление на Интернет-сообщество, чтобы подвергнуть цензуре дискуссии об их продуктах.
Как широко известно в технологических кругах, Microsoft печально известна добавлением собственнических вставок в код программных продуктов, способствующих их взаимодействию только с другими приложениями Microsoft. В мае 2000, в попытке показаться общественно-ориентированной (т.е., "частью движения за открытые исходные тексты", преимущественно, разработчиков под платформы Unix и Apple) относительно своего ПО, и надеясь выиграть несколько очков в свою пользу у Правительства США, Microsoft опубликовала свою спецификацию о том, каким образом она включает хорошо известную функцию безопасности UNIX Kerberos в состав Windows 2000. Известные как "компания за закрытыми дверями", Редмондчане решили выпустить эту спецификацию в Интернет как "конфиденциальный документ Microsoft", который был заключен в разрешенную для копирования, исполняемую программу. Читатели обязаны щелкнуть по кнопке, согласившись с лицензией на ПО Microsoft, обязывающей пользователей рассматривать этот материал как "коммерческую тайну Microsoft", до того как получить возможность прочесть документ, пестрящий на каждой странице напоминанием "Конфиденциальный Документ Microsoft". В итоге, в противоположность тому, чем на самом деле является ПО с открытыми исходными текстами, Microsoft поместила свое собственническое "клеймо" и условия на то, что подразумевается как ее информация "об открытых исходных текстах". В соответствии с правилами отрасли, чтобы действия Microsoft по выпуску Kerberos были посчитаны сообществом Сети действительно имеющими отношение к "открытым исходным текстам", необходимо соблюдение следующих двух (или еще нескольких) условий (основываясь на определении "открытых исходных текстов", данном Фондом Открытых Исходных Текстов [Open Source Foundation] - доступным по адресу http://www.opensource.org/osd.html):
1. Свободное Распространение
Лицензия не может ограничивать ни одну из сторон в продаже или передаче программного продукта в качестве компоненты обобщенного программного дистрибутива, содержащего программы из нескольких разных источников. Лицензия не может требовать авторского гонорара или другой платы при такой продаже.
2. Исходный Код
В программу должен быть включен исходный код, и должно быть разрешено ее распространение, как в форме исходных кодов, так и в скомпилированной форме. В случае, когда какая-либо форма продукта не распространяется с исходным кодом, должны существовать хорошо освещенные способы получения исходного кода по цене, не превышающей обоснованную стоимость тиражирования - предпочтительно, путем бесплатного копирования через Интернет. Исходный код должен иметь наиболее удобную форму, в которой программист мог бы модифицировать программу. Умышленно запутанный исходный код не допускается. Промежуточные формы, такие как результат работы препроцессора или транслятора не допускаются.
Однако, произошли две вещи. Во-первых, читатели извлекли файл формата Acrobat из программы Microsoft и распространили его по всему миру, включая посылку спецификации на Slashdot, очень популярный публичный форум для любителей технологии (Slashdot известен как новый в Интернете центр дискуссий о технологической политике, вопросах ПО с открытыми исходными текстами, Linux и новых технологиях, а так же других тем, с которыми можно ознакомиться на www.slashdot.org). Люди отовсюду стали посылать спецификацию Kerberos на веб-сайты и листы рассылки электронной почты. Во-вторых, люди стали рассказывать другим как обойти программу установки Microsoft, чтобы извлечь файл формата Acrobat из оставшейся части пакета, обходя, таким образом, юридические заявления Microsoft... не такая сложная вещь, учитывая бестолковый способ, которым он был упакован производителем.
На Slashdot диалог по этой теме очень быстро достиг критической массы. Несколько человек послали полную спецификацию Microsoft на веб-сайт и было более 1000 комментариев от читателей, обсуждающих плюсы и минусы Microsoft-овской реализации Kerberos, а так же глупость, с которой Microsoft выпустила свой "конфиденциальный" исходный код в мир. Когда дело взорвалось, отовсюду стали посылать спецификацию Kerberos на веб-сайты в протест против явной попытки Microsoft осуществить сетевую цензуру.
Вскоре после этого, Microsoft послала жестко сформулированное ультимативное письмо владельцу Slashdot, заявив, что некоторые из комментариев пользователей их публичной службы являются нарушением Цифрового Закона Тысячелетия об Авторских Правах (Digital Millennium Copyright Act - DMCA), нового закона, который значительно усиливает позиции владельца авторских прав в любом диспуте с людьми (или организациями), которые попытаются переиздать защищенный авторскими правами материал. По слухам, Microsoft послала похожее письмо поставщику Интернет для Slashdot с просьбой немедленно убрать страницы, которые доступны в сети до сих пор. С точки зрения исторического интереса, во многих публичных дебатах по этому предмету противники принятия DMCA предостерегали, что крупные корпорации будут использовать его как дубину против критики, как это сейчас пытается сделать Microsoft по отношению к Slashdot.
Согласно Сетевому Институту Киберпространственного Права и Политики UCLA (UCLA Online Institute for Cyberspace Law and Policy), Цифровой Закон Тысячелетия об Авторских Правах (DMCA) по существу:
- Делает преступлением обход анти-пиратских мер (защит от копирования, НСД и т.п.), встроенных в большинство коммерческих программ.
- Ставит вне закона производство, продажу или распространение устройств для "взлома" программного кода, используемых для нелегального копирования ПО.
- Разрешает, все же, "взлом" устройств защиты авторских прав для проведения исследований в области шифрования, оценки способности продукта к взаимодействию с другими программами и тестирования систем компьютерной безопасности.
- Предусматривает освобождение от запретительных условий для некоммерческих библиотек, архивов и образовательных учреждений при определенных обстоятельствах.
- В целом, ограничивает ответственность поставщиков услуг Интернет за нарушение авторских прав при простой передаче информации через Интернет.
- Однако, поставщики услуг должны удалять материалы, составляющие нарушение авторских прав, с сайтов пользователей.
- Ограничивает ответственность бесприбыльных высших учебных заведений - когда они действуют как поставщики сетевых услуг, и при определенных условиях - при нарушении авторских прав сотрудниками факультетов или аспирантами.
- Явно гласит, что "ничто в этом параграфе не должно затронуть права, средства, ограничения, или оправдания для нарушения авторских прав, включая честное использование (fair use) ...".
Роб "Роблимо" Миллер (Rob "Roblimo" Miller), из группы управления Slashdot, немедленно ответил на ноту Microsoft, поместив письмо Microsoft и свой ответ на веб-сайт, осветив, таким образом, еще один спор Компьютерных Энтузиастов с Большим Бизнесом: "После небольшого размышления о природе свободы, вы, возможно, пожелаете отозвать ваше требование убрать комментарии читателей со Slashdot. Пожалуйста, поймите, что если мы станем подвергать цензуре письма читателей, потому что в них содержатся идеи, опубликования которых не хочет Microsoft, мы можем создать нездоровый прецедент для других сетевых центров новостей и поставщиков сетевых услуг, включая и те, которыми частично или полностью владеет Microsoft".
Будем, в данном случае, реалистами. Microsoft виновата во всем сама, но, как и большинство людей, они показывают пальцем на всех остальных. Если они хотели рассматривать их спецификацию Kerberos как коммерческую тайну и "Конфиденциальный Документ Microsoft", то, в первую очередь, не надо было ее публиковать. Кроме этого, метод, использованный для выпуска спецификации (вставка файла Acrobat вовнутрь пакета установки способом, позволяющим легко его извлечь, минуя, таким образом, процедуру подтверждения лицензии), показал свою полную несостоятельность. Наконец, жалкая попытка Microsoft "открыть" спецификацию без реального предоставления спецификации в форме "открытых исходных текстов" только сбивает публику с толку и лишь усиливает противоречивость ситуации. Проще говоря, Microsoft села в лужу, но, как обычно, не может этого признать.
Похоже, что Microsoft считает важными первые три пункта:
...но корпорацию не заботит, что материал, обсуждаемый в спецификации, является конфиденциальным; вместо этого, Microsoft использует DMCA, чтобы компенсировать провал их логики, когда они сперва опубликовали спецификацию, а теперь хотят сделать, чтобы "все было правильно". Вместо того, чтобы найти и исправить недостаток на техническом уровне, компания решает напрячь свои юридические мускулы и идет по этому пути, вызывая, таким образом (не в первый раз), глубокое возмущение и презрение сообщества Интернет (в частности, сторонников открытых исходных текстов).
Сейчас, во времена Интернет, большинство компьютерных пользователей, вероятно, столкнулись с изрядной частью программных продуктов, страдающих от плохо составленной или вообще отсутствующей документации, нездорового стремления к интеграции и общеизвестных ошибок, игнорируемых производителем (как упоминалось выше). В таком случае мир должен узнать про Единый Акт о Сделках с Компьютерной Информацией (Uniform Computer Information Transactions Act - UCITA), который проталкивается торговцами программным обеспечением с целью обезглавить судебные иски от недовольных потребителей.
Согласно Статье II-B UCITA, распространители программного обеспечения освобождаются от обязанности тестировать свои продукты на предмет наличия в них ошибок или вирусов. Более того, производители могут избежать возмещения ущерба, нанесенного вирусом, включив в продукт простое уведомление об отказе от связанных с этим гарантий, которое пользователи не увидят, пока не купят и не установят этот продукт. Так же, производители не несут ответственности за ущерб, понесенный в результате некачественной разработки программного продукта и ошибок в нем, как нет и юридических мер, принуждающих их эти ошибки исправлять. По имеющимся данным, ни одна другая промышленная отрасль США не дошла до применения послепродажных отказов от гарантий.
Тодд Паглия (Todd Paglia), бывший юрисконсульт Потребительского Технологического Проекта в Вашингтоне, демонстрирует еще одну шокирующую юридическую лазейку для промышленности программных средств, которая должна прозвучать сигналом тревоги и вселить страх в сердце любого, кто базировал на продуктах Microsoft свое предприятие, коммерческое, военное или правительственное:
Путешествуя по "паутине" вы находите программный пакет, который вам захотелось купить. Вы так и делаете и, до того как скопировать его, вы щелкаете по картинке "Я согласен", соглашаясь с условиями лицензии из 12 листов. Вы, общем-то, должны иметь возможность ознакомиться с лицензией до копирования программы, но практически никто этого не делает - обычно она довольно длинная и объемная, переполненная юридическими терминами. Даже многие юристы, участвующие в конференции по разработке UCC 2B подтверждают, что они не читают этих лицензий. По ходу, вы еще отвечаете на различные вопросы о вашей операционной системе, предполагаемом деловом или персональном характере использования продукта, домашнем и рабочем адресе и телефонных номерах, годовом доходе и т.п. С чем вы только что согласились? Продавец может навязать вам в лицензии любые условия, например:
- Программный продукт поставляется "как есть" без гарантий - это считается "ясным", даже если это указывается в "коробочной" лицензии,
- Продавец не несет ответственности за дефекты в программе, даже если производителю о них известно,
- Продавец не несет ответственности за вирусы, даже если не было предпринято никаких мер, чтобы их устранить,
- Продавец не несет ответственности за любой ущерб, включая случайные или логически вытекающие потери, среди которых звонки в службу поддержки пользователей, которые могут обойтись дороже чем сам программный продукт,
- Защита потребителя ограничена заменой продукта или частичным возвратом денег,
- Производитель может диктовать форму любых действий по устранению неполадок, имеется в виду, что вы должны идти к ним,
- Вся предоставленная вами персональная информация может быть использована с любой целью.
Автор Дилберта (Dilbert), Скотт Эдамс (Scott Adams), недавно написал комический рассказ по вопросу "коробочных лицензий" (см. очерк от 14 января 1997 на www.infowarrior.org). По рассказу, Дилберт не прочел "коробочной" лицензии в упаковке программного продукта и, в результате, он по договору нечаянно становится рабом основателя Microsoft, Билла Гейтса. Некоторые "коробочные" лицензии включают чуть ли не все любимые в этой отрасли оговорки, немного не доходя до рабства по контракту. Отказ от обязательств производится для всех возможных дефектов, вирусов или сбоев, и часто делаются заявления о том, что программный продукт поставляется "как есть". В то время как потребитель может ожидать, что подержанная машина может продаваться "как есть", и понимать, что это значит, когда на машине проставлен показывающий это знак, совершенно другое дело, когда "коробочная" лицензия содержит, внутри пакета, который может быть прочитан только после приобретения, условие типа "как есть" по отношению к абсолютно новой компьютерной программе. Это:
- Переопределяет "фактическое нарушение контракта", чтобы затруднить возврат дефектного продукта. Производителям программного обеспечения позволяется добавлять в контракт статью (которую вы никогда не видите до продажи, потому что она находится внутри упакованной коробки), говорящую, что вы не вправе расторгнуть контракт и потребовать возврата денег, даже если продукт абсолютно бесполезен.
- Позволяет производителям программного обеспечения требовать с пользователей невозмещаемую поминутную оплату за техническую поддержку, даже в случае дефектов, о которых производителям было известно во время продажи.
- Узаконивает ограничения, делающие более сложным или невозможным для пользователей пользование услугами третьих сторон (например для исправления ошибок, связанных с 2000 годом, даже когда оригинальный производитель слишком занят, чтобы вовремя вам помочь) или передачу входящих в пакет программных средств (когда компания X приобретается компанией Y, Y может быть вынуждена внести новую лицензионную плату за каждую копию всех программных пакетов на компьютерах компании X).
- Узаконивает "бомбы с часовым механизмом", которые автоматически отключают программный продукт по наступлению указанной даты, пока не будет внесена и зарегистрирована плата за обновление лицензии. UCITA так же позволяет производителю послать на ваш компьютер сообщение, которое отключит вашу копию его программного продукта, заодно, возможно, "отключив" и ваш бизнес. Вы сможете получить возмещение убытков, если производитель пошлет это сообщение по ошибке, но только если вы ответите на предупреждающее сообщение от производителя единственно верным образом.
Если кто-то удивлен, почему мы делаем ударение на UCITA, подумайте, какой огромной базой установленного программного обеспечения обладает Microsoft в мире, и в скольких ключевых областях - правительственных, военных и коммерческих организациях. Как будет прекрасно, если компания-разработчик ПО будет обладать защитой от судебных исков в случае, если она отключит один из своих продуктов, лицензионный период которого "истек" - как раз (представим себе) когда военный корабль, оборудованный Microsoft Windows, наводил и запускал ракету "Томагавк"? Ой! Мы только что убили несколько сотен человек, потому что в ракету до запуска была заложена неполная информация о цели. По UCITA, у ВМФ или семей погибших нет возможности подать иск против Microsoft за их политику "помощи самим себе", предусматривающую отключение продуктов без соответствующего предупреждения. Таким образом, UCITA еще больше расширяет существующие схемы лицензирования ПО и продолжает страховать поставщиков. Давайте не будем забывать небольшую проблему, заставившую Военный корабль США "Йорктаун" вернуться в гавань Норфолка на буксире, после того как бортовая программа вызвала крах его серверов под Windows NT в 1997. Некоторые люди до сих пор расшифровывают Windows NT как "Needs Tweaking" (Требующая Доработки - прим. пер.) или, в случае с "Йорктауном", "Needs Towing" (Требующая Буксировки - прим. пер.).
Многие люди забывают, что в 1998 и 1999 корпорация Microsoft объявила о рассмотрении системы ежегодных платежей за их операционные системы и приложения. Это значит, что каждый год лицензированные пользователи продукта Microsoft (скажем, Windows) будут должны платить определенную сумму (скажем, 100 долларов США), чтобы продолжить использовать продукт и, таким образом, сохранить денежный поток, текущий в сундуки Microsoft.
В соответствии с UCITA, если потребитель не вносит плату за продление лицензии в течении данного срока в пятнадцать (15) дней, производитель ПО вправе, по своему усмотрению, дистанционно отключить компьютер потребителя с истекшим лицензионным сроком его программного продукта, эффективно удерживая данные потребителя в качестве заложника или произвольно закрывая бизнес любого размера. Какая власть для не избираемой негосударственной организации, чтобы овладеть миром!
Теперь, когда Microsoft объявляет о сотрудничестве с производителями биометрики, будет еще проще привязывать продукт к конкретной личности при помощи биометрического идентификатора и, таким образом, еще проще осуществлять это конкретное положение UCITA, не говоря о потенциальном открытии Шкатулки Пандоры в отношении неприкосновенности частной жизни и "Большого Брата".
Чтобы увидеть элементы UCITA в действии, посетите веб-сайт компании, занимающейся безопасностью, Network Associates (www.nai.com). При регистрации на получение ограниченной по времени копии программного продукта Network Associates, человек получает следующую информацию о лицензии ПОСЛЕ того, как его персональная информация уже получена компанией. Значит, в сущности, потребитель уже кое-что "заплатил" NAI в форме информации о потребителях, которая может быть использована в рыночных целях, и не имеет возможности отказаться от лицензии NAI, так как его информация уже взята на заметку компанией ДО ТОГО, как он увидел условия лицензионного соглашения. Помимо вопросов частной жизни, обратите внимание на выделенные строки в нижеприведенном лицензионном соглашении NAI. Прочтите пункт 102(a)(20) UCITA: " 'Договорное ограничение использования' означает имеющее исковую силу ограничение, создаваемое договором, которое относится к использованию или раскрытию или доступу к лицензируемой информации или правам на информацию, включая ограничение на область или способ использования".
|
Более того, Мировая Организация по Интеллектуальной Собственности (World Intellectual Property Organization - WIPO) быстро двигается к тому, чтобы ввести в действие законы и нормы, очень близкие к DMCA, которые запретят как незаконные независимые оценки программной безопасности и предотвратят публикацию результатов таких оценок без разрешения производителя, но эта дискуссия оставлена для другой статьи. Так как же журналисту, защитнику прав потребителей, специалисту по безопасности или специалисту по закупкам предполагается а) получить объективную информацию о продукте, б) объективно привести аргументы за и против таких продуктов, и в) в конце концов сделать обоснованный выбор, какой из конкурирующих продуктов приобрести?
Юрист из Калифорнии Кем Кэйнер (Cem Kaner) обсуждает случай из реальной жизни, касающийся этой формы ограничений на открытые и честные обзоры программного продукта компании. В статье "Тест, которого не было" в журнале PC Magazine за август 1999, Кэйнер рассказывает, как Oracle не дал журналу опубликовать сравнительные обзоры своих продуктов. Согласно этой статье,
Мы планировали сделать то, чего еще не делалось в новейшей истории - сравнение производительности баз данных на в точности одном и том же аппаратном обеспечении. Поскольку лицензия на программы СУБД запрещает публикацию результатов контрольного теста без письменного разрешения поставщика, переговоры о получении разрешения - всегда трудная задача... Oracle... формально отказался позволить нам опубликовать любые результаты контрольного теста.
В результате PC Magazine не опубликовал контрольные тесты. Свободный рынок требует свободного прохождения конкурентной информации. Как же еще покупатели смогут сделать информированный выбор, если производители ПО не разрешат объективных комментариев и критики по поводу их продуктов? В том виде, к которому ведет UCITA, все обзоры ПО будут приторно-сладкими, источающими мед, и не будут давать потребителям никакой полезной информации типа: "почему Продукт А лучше (или хуже) Продукта Б".
В декабре 1999 Ребекка Гулд (Rebecca Gould), Вице-президент по Общественной Политике базирующегося в Вашингтоне Альянса Делового ПО (Business Software Alliance) (анти-пиратской и лоббистской группы от ведущих компаний-разработчиков ПО) отметила перед Объединенной Комиссией по Науке и Технологии Генеральной Ассамблеи Вирджинии (Joint Commission on Technology and Science of the Virginia General Assembly), что среди ведущих компаний, поддерживающих принятие UCITA всеми 50 штатами, есть и Microsoft. UCITA очень поддерживается Microsoft, и не без причины. Как только UCITA станет законом, Microsoft, поставщик печально известного "дырявого" и незащищенного ПО, будет полностью защищен и изолирован от принятия любой ответственности за качество и надежность своих продуктов.
Недавнее сообщение L0PHT в "soapbox" лучше всего суммирует преимущества
объективных независимых дискуссий и анализа безопасности программных продуктов
(курсив добавлен):
(
http://www.l0pht.com/~oblivion/soapbox/index.html):
Когда проблемы безопасности существуют на промышленных серверах доступных из Интернет, время - очень критично. Каждый проходящий день - это еще один день, в течение которого сервер незащищен. Сколько людей знает об этой проблеме? Кто активно этим пользуется? Это сказать невозможно. Этичная практика в отношении безопасности - как можно быстрее предупредить могущих пострадать людей, особенно если существуют шаги, которые они могут предпринять, чтобы самостоятельно снизить или устранить риск.
L0pht недавно нашел проблему с Интернет-сервером Microsoft's IIS 4.0, проблему "showcode". Она позволяла пользователям глобальной сети читать файлы по всему серверу, если режим доступа к файлам был установлен в "общедоступно". Похоже, что эта проблема существует на многих сетевых серверах, которые слабо закрыты. L0pht был удивлен тем, насколько широко распространенной оказалась проблема. Были затронуты многие серверы электронной коммерции высокого уровня. Были затронуты многие и многие корпоративные серверы.
Исследование проблемы, занявшее меньше дня, завершилось простым решением. Стереть файлы примеров, которые делали систему уязвимой. Им в любом случае не место на промышленных серверах. Мы разработали сборник советов и дали решение проблемы.
Когда мы сообщили об этом Microsoft, они сказали, что уже знали о проблеме в течение "нескольких недель". Они были информированы WebTrends об этой проблеме, исследовали ее, и выпустят Бюллетень Безопасности. Вопрос не кажется таким уж сложным, чтобы его исследование заняло несколько недель. И исправление было простым. Просто удалить файлы. Нет необходимости загружать программное исправление или даже настраивать реестр. Что же заняло столько времени?
L0pht выслал полное описание "showcode" на Bugtraq, репортерам компьютерной индустрии, и Microsoft 7 мая 1999, 9:30am EST. Позже в этот же день, примерно в 1:40 p.m. EST, WebTrends выпустил пресс-релиз по этой же проблеме. Он говорил о том, как WebTrends открыл проблему. Пресс-релиз WebTrends не говорил, как обнаружить проблему, и не содержал ее решения - две вещи, которые присутствовали в описании L0pht. Все говорило о том, что вы должны загрузить и запустить их продукт, если хотите получить эту информацию.
Это заставляет задуматься, а не был ли выпущен пресс-релиз именно в это время, потому что L0pht уже проинформировал общественность первым. Это заставляет задуматься, почему Microsoft держал при себе эту проблему и ее простое решение в течение нескольких недель.
Многие взломщики держат уязвимости безопасности в секрете, чтобы они могли их использовать, не беспокоясь о "заплатах" от производителей или администраторских исправлениях. Это рассматривается общественностью, связанной с безопасностью, как полностью неэтичное поведение. Зачем держать уязвимости в секрете, если вы не собираетесь ими воспользоваться или, возможно, получить что-то за них взамен? Теперь мы имеем производителей ПО, держащих вещи в секрете. Во всяком случае, в секрете в течение значительного периода времени. То ли это поведение, которого мы желали бы от индустрии?
Вот почему листы рассылки с полным раскрытием фактов, как Bugtraq, и веб-сайты, как Packet Storm Security, столь важны. Они позволяют потребителям получать отчеты о уязвимостях и, надо надеяться, исправления в своевременном режиме. Не существует централизованной расчетной палаты, вроде агентства производителей ПО или государственного агентства, чтобы все до конца замедлить.
Информация об уязвимостях чрезвычайно ценна как для злоумышленников, так и для потребителей. Компании и организации, открыто и максимально оперативно публикующие информацию, делают общественности, связанной с безопасностью, большую услугу. Те, кто выбирает использование информации в первую очередь в своих личных целях [включая цели производителя], подвергают потребителей риску.
UCITA, DMCA и связанные с ними предложения будут только препятствовать и стремиться предотвратить правдивое общественное оглашение уязвимостей в безопасности. Без L0PHT-ов в мире мы никогда не будем до конца знать, насколько же в действительности защищено наше компьютерное программное обеспечение. Для Microsoft, компании, контролирующей основную часть операционных систем и пакетов автоматизации документооборота, UCITA будет окончательным выигрышем, так как его принятие будет означать, что для поставщиков программных средств нет стимула производить качественное программное обеспечение и корректировать публично описанные недостатки, таким образом, Интернтет-сообщество будет продолжать подвергаться риску.
Основываясь на вышеописанных соображениях и огромном количестве уязвимых и подверженных злонамеренному использованию продуктов Microsoft, установленных в ключевых организациях по всему миру, и подтвержденном факте, что многие продукты Microsoft являются либо причиной, либо легкой мишенью для значительных инцидентов с безопасностью Интернет, профессионалы в сфере информационных технологий просто обязаны найти время и серьезно рассмотреть потенциал для будущих проблем с безопасностью, если они продолжат строить и устанавливать информационные инфраструктуры наиболее критичных для нации организаций на таком шатком и ненадежном основании. Мир информационных технологий должен послать общее послание Клану Гейтса в Редмонд и четко сказать им, что если они не являются частью решения, они определенно (как показано выше) являются частью проблемы.
Приложение 1 |
Приложение 2 |
Ричард Форно Директор по Безопасности в ведущей Интернет-компании Северной Вирджинии, где он отвечает за разработку и исполнение всех программ и инициатив по обеспечению безопасности корпоративных и информационных систем.
Г-н Форно выпускник Военного Колледжа Вэлли Форж
(Valley Forge Military College), Американской Университетской Школы
Международного Обслуживания (American University School of International
Service), и признан самым молодым зарегистрированным выпускником
Военно-Морского Колледжа Соединенных Штатов
(United States Naval War
College). В настоящее время он работает над получением кандидатской степени по
Международным Отношениям.
Опыт прошлой работы г-на Форно включает помощь в создании Управления Информационной Безопасности (Information Security Office) для Палаты Представителей США и предоставление консультативных услуг по безопасности Агентству США по Международному Развитию (US Agency for International Development). Г-н Форно так же был консультантом армии США по вопросам исследования информационного противостояния. Кроме этого, он помогал внедрить несколько прогрессивных инициатив по информации с отрытыми исходными текстами в частном секторе, которые в настоящее время обслуживают национальную безопасность и органы борьбы с чрезвычайными происшествиями.
Г-н Форно - частый докладчик на семинарах сообщества по информационной безопасности и промышленных конференциях. Кроме соавторства в 1999 The Art of Information Warfare (Искусство Информационного Противостояния), он написал множество статей по информационному противостоянию и управлению безопасностью. Его статьи и комментарии так же появлялись в сетевых и печатных изданиях, таких как Forbes, US News & World Report, CNET, Security Focus, Federal Computer Week, Technology Week, the Journal of Operations Security и других.
Наверх | Письмо Web-мастеру |