Защита от хакеров корпоративных сетей

Приоткрывая завесу

Фирма Microsoft против полного раскрытия

В последнем квартале 2001 года после сообщения группы Gartner, предостерегающего против использования серверов Microsoft IIS из-за наличия многочисленных уязвимых мест, фирма Microsoft выразила свое недоверие концепции полного раскрытия. Прежде всего менеджер по безопасности фирмы Microsoft Скотт Капп (Scott Culp) написал едкую статью (www.microsoft.com/technet/treeview/default.asp?url=/ technet/columns/security/noarch.asp), в которой сравнил ее с криками «Пожар!» на театральной сцене (забыв, впрочем, указать, что в данном случае действительно происходит пожар).

Фирма Microsoft вступила в сговор с такими специализирующимися на безопасности компаниями, как Bindview, Foundstone, Guardent, @Stake и Internet Security Systems. Их объединяла общая цель – дискредитировать концепцию полного раскрытия. Вместо полного раскрытия они предложили действовать следующего образом: ввести 30-дневный буферный период, в течение которой обычные пользователи будут получать весьма неопределенную информацию о возможном возникновении проблем безопасности, в то время как члены коалиции (а также те, кто подписал соглашение об отказе от полного раскрытия) будут получать всю информацию о вновь обнаруженных уязвимостях. По истечении этого срока пользователи должны были получить более детальные сведения, но при этом предполагается, что публикация кода, использующего уязвимость, будет строго запрещена, чтобы исключить возможность его применения для атаки.

Объединение фирм планирует выпустить документ RFC с описанием нового порядка действий, согласно которому полное раскрытие будет запрещено, а сообщение о найденных уязвимостях следует направлять непосредственно производителю, не делая его достоянием широкой публики. Если этот документ будет одобрен проблемной группой проектирования Internet (Internet Engineering Task Force, IETF), с его помощью можно будет принудить независимых исследователей компьютерной безопасности следовать предписанной процедуре.

Так как в последние годы фирма Microsoft получила многочисленные негативные отзывы о безопасности разрабатываемых ими систем, которые закономерно последовали в результате успешной деятельности бесчисленных червей и компьютерных вирусов, вряд ли стоит удивляться, что они предлагают принять такой стандарт. В конце концов, если затруднить публикацию сведений об уязвимостях, количество негативных отзывов о фирме в прессе уменьшится, даже если она ничего не будет делать для повышения степени надежности производимых ею систем. Предлагаемый новый стандарт выгоден фирме Microsoft более чем кому бы то ни было из производителей, потому что информация об уязвимости будет публиковаться в соответствии с установленными ею правилами. Кроме того, опираясь на него, можно будет оказывать давление на остальных членов организации. Если созданное объединение фирм решит брать за членство в своей организации вступительные взносы, многочисленные разработчики программных продуктов с открытым исходным кодом останутся за бортом.

Справедливости ради стоит заметить, что выдвинутое фирмой Microsoft требование стандартизации процедуры отправки сообщений и ограничения немедленного распространения сведений о найденной уязвимости содержит рациональное зерно. Однако запрет на распространение определенной информации (например, кода, использующего уязвимость) и создание «закрытого общества» для обсуждения проблем компьютерной безопасности не служат интересам сообщества пользователей.