Подход Microsoft к безопасности под огнём критики

ЗАЩИТА ДАННЫХ

В самом ли деле корпорация Microsoft привержена стратегии обеспечения безопасности и, в частности, своей инициативе Trustworthy Computing? По мнению специалистов, этот вопрос актуален, ибо компания проявила бездействие после двух новых сообщений о дырах в защите ее продуктов.

В августе эксперты дважды распространяли уведомления о дефектах защиты в ПО Microsoft, и оба раза компания попросту отмолчалась, не дав никаких публичных комментариев и не предложив средств для ликвидации уязвимых мест.

Ввиду отсутствия информации пользователи хотели бы знать, ведется ли работа над соответствующими заплатами и насколько серьезны выявленные проблемы.

Блейк: “Исправление дефекта

не решит проблемы в целом”

В последнем из сообщений, направленном исследователем Майком Бенхемом в список рассылки BugTraq сайта SecurityFocus, говорилось о дефекте Internet Explorer в способе обработки цифровых сертификатов, используемых при SSL-подключениях к удаленным Web-серверам. Такие сертификаты обычно выдаются и подписываются центрами сертификации (certificate authorities, CA), например фирмой VeriSign, которая регистрирует Web-сайт, владеющий сертификатом.

Бенхем обнаружил, что большинство ныне используемых версий Web-браузера Microsoft не умеет проверять подлинность сертификатов, выдаваемых посредническими CA. В результате злонамеренный оператор Web-сайта может сгенерировать и подписать поддельный сертификат для другого сайта, чтобы собирать информацию о кредитных карточках и другие данные.

Браузер Konqueror, созданный разработчиками KDE Project, в этом смысле тоже уязвим, однако они сумели выпустить заплату через считанные часы после обнаружения дыры. А Netscape Navigator фирмы AOL Time Warner и Opera компании Opera Software ASA вообще не знают этой проблемы.

Когда в KDE исправляли этот недочет, представители Microsoft лишь отговаривались, что компания его исследует. Через девять дней после публикации извещения Бенхема Microsoft направила на свой сайт TechNet статью, в которой объяснялась суть дефекта и говорилось, что сценарий и сама возможность злоумышленного использования этой уязвимости маловероятны.

Представители Microsoft объяснили задержку необходимостью исследования вопроса, так как Бенхем распространил свое сообщение, не уведомив предварительно Microsoft. Компания заявила, что выпустит заплату, но не обозначила конкретные сроки.

“Эти проблемы по своей природе требуют очень детальных исследований”, - сказал заведующий Microsoft Security Response Center Скотт Калп. Однако подобные отговорки уже начинают надоедать.

“Все это поистине разочаровывает. Я поклялся расстаться с любыми продуктами Microsoft, так как по горло сыт ее философией вроде “Примем стандарт и будем модифицировать его подход”, - заявил Джеймс Роум, старший научный сотрудник Oak Ridge National Laboratory. - Однако отказаться от IE невозможно. Его нити тянутся практически повсюду. Если вы, скажем, заблокируете в IE сценарии, то нарушится работа и других приложений”.

Другие отмечают, что даже когда Microsoft выпускает заплату, сами проблемы зачастую остаются.

“Трудно понять, почему Microsoft медлит с разрешением такого неотложного вопроса, - сказал Скотт Блейк, вице-президент по информационной безопасности корпорации BindView. - Однако это в целом не решит более серьезной проблемы, состоящей в том, что есть возможность обманным путем побудить пользователей предоставить через Web свою конфиденциальную информацию. Данный дефект упрощает обман, но его устранение не меняет сути проблемы”.

По словам Калпа, проблема SSL на самом деле коренится в коде Windows, а не IE, что осложняет процесс создания заплаты.

Аналогичная ситуация возникла в начале августа, когда один исследователь выпустил документ, сообщавший, что интерфейс Windows-программирования Win32 API уязвим и позволяет злоумышленнику расширять уровень своих привилегий после того, как он сумел получить доступ к ПК. Microsoft не ответила автору и не сделала по этому вопросу никаких публичных заявлений.

“Конечно, им трудно сказать что-либо определенное, пока они не разберутся в сути дела, однако Microsoft следовало как-то отреагировать, - считает Крис Висопал, директор по исследованиям и разработкам фирмы @Stake, занимающейся консалтингом и изучением проблем безопасности. - Проблема SSL вовсе не проста. Но когда люди молчат, начинает казаться, будто их ничто не волнует”.

Висопал также оспорил заявления Microsoft о малой вероятности атаки с использованием SSL-уязвимости. Ведь злоумышленник воспользуется не своим, а краденым SSL-сертификатом, а это крайне затруднит его идентификацию.