КОНФЕРЕНЦИИ
10 апреля в Москве прошла организованная московским представительством Microsoft конференция “Государство в XXI веке”. На ней присутствовало очень много представителей администраций из регионов.
Владимир Мамыкин
На пленарном заседании, собравшем около пятисот человек, энергично и убедительно выступила глава московского представительства Microsoft Ольга Дергунова. После нее показались немного скучными доклады приглашенных уважаемых западных консультантов из Microsoft. Во всяком случае, чего-то нового я от них не услышал. Более того, дальнейшие пленарные сообщения (кроме выступления Александра Данилина, обрисовавшего “стандарты и архитектуру ИТ в государственных организациях”) как-то даже начали раздражать, поскольку в них выступавшие пропагандировали идею, что государство станет, как большая корпорация, заниматься предоставлением сервисов населению, а его роль как средства принуждения якобы отомрет. Вообще-то эта демагогия уже начинает надоедать. В век, когда через 20-30 лет истощатся все основные потребляемые человечеством ресурсы, когда питьевая вода, которую я, как и многие другие в Москве, уже вынужден покупать в магазине, станет сопоставима по стоимости с бензином, вопрос выживаемости народов, в том числе и россиян, встанет со всей бескопромиссностью. А это, в свою очередь, сильно изменит как приоритеты людей, так и саму общественную жизнь, а следовательно, и значение государства.
Болеслав Изотов
У человеческой психики есть удивительное свойство считать, что происходящее в данный момент будет длиться вечно. Молодые люди думают, что они так и останутся молодыми, а быстро летящие годы - не их удел. Люди постарше часто уверены в том, что среда, в которой они уже достаточно комфортно живут, такой и будет пару ближайших десятилетий. Но истинная мудрость - видеть и предвидеть течение и изменение.
Однако это - эмоции. На самом деле мне было интересно послушать доклады на секции, посвященной информационной безопасности (ИБ), и судя по числу присутствовавших на ней, такой интерес был всеобщим. Владимир Мамыкин, менеджер московского представительства Microsoft по системам безопасности продуктов, рассказал, что в соответствии с новым подходом корпорации к этой проблеме ею на несколько месяцев был задержан выпуск новых продуктов. Корпорация полностью пересмотрела свою позицию по подготовке продуктов с точки зрения ИБ. Например, теперь они изучаются на предмет уязвимости: для каждого моделируются потенциальные атаки, предусматриваются методы противодействия им, и продукт дорабатывается. Это резко снизило количество возможных уязвимостей.
Понятие защищенности во многом психологическое - оно определяется уровнем доверия к тем или иным техническим решениям. Это означает, что компьютерные технологии должны пройти тот же путь, что и другие области техники, выработавшие международные стандарты и правила. Таких общепринятых стандартов в области компьютерной безопасности пока нет, но необходимость их создания уже осознается. Недаром Россия одной из первых подписала с Microsoft соглашение GSP об анализе исходных текстов ОС Windows (см. PC Week/ RE, № 2/2003, с. 1). Г-н Мамыкин отметил составляющие безопасной инфраструктуры.
1. Безопасная архитектура. Теперь в продуктах многие функции отключены по умолчанию, если человек не знает, как ими пользоваться. Исходные тексты должны быть пересмотрены. В конце апреля в США состоится презентация ОС Windows Server 2003. В ней появилось более 40 новых функций, 20 из них отключены по умолчанию.
Безопасность нельзя обеспечить без сотрудничества между организациями: это и обратная связь, и совместные решения. Только за 2002 г. корпорацией было затрачено 200 млн. долл. на доработку архитектуры ПО. Все программисты Microsoft прошли тренинги по написанию безопасного кода. Основой для них послужила книга “Writing secure code”. Было привлечено большое количество известных зарубежных специалистов по ИБ. Сейчас организуются подобные тренинги и для ведущих партнеров. Московское представительство ведет работу по организации таких курсов в России.
2. Безопасность в работе. Microsoft как бизнес-компания покупает успешные софтверные фирмы и интегрирует их продукты в свои решения. В области ИБ примером служит компания, разработавшая пакет Secure Analizer - один из лучших на рынке продуктов по анализу безопасности сетей, построенных на базе Windows. Она была куплена Microsoft, а пакет теперь бесплатно доступен системным администраторам с сайта корпорации.
3. Сотрудничество. В ПО появилась функция отправки отчетов в корпорацию. Многих пользователей это пока пугает. Данная функция сохраняет дамп состояния вашего компьютера на момент зависания. Анализ предоставляемых отчетов позволяет выявить производителей оборудования, продукты которых плохо совместимы с Windows. Часто таким образом обнаруживается и несовместимость приложений. Об этом сообщается производителям, что побуждает их принять меры по доработкам продуктов и оборудования.
В Windows Server 2003 реализована общая защищенная среда CLR, которая перед запуском модуля проверяет его на неизмененность. Модули теперь имеют внутри цифровые подписи. Разработан также сервис управления правами. При посылке э-почты адресат уже не может поступить с нею по своему усмотрению, а только в соответствии с установленными для письма правилами, например, его нельзя будет перенаправить другому адресату или скопировать фрагмент текста. Данная технология будет доступна программистам любых компаний в виде SDK.
По словам г-на Мамыкина, предача на сертификацию Windows XP и Windows Server 2003 - только начало большого процесса. Microsoft намерена сертифицировать и все остальные свои продукты. В качестве примера организации, использующей технологии Microsoft, он назвал Удостоверяющий центр Аппарата Правительства РФ.
Сертификация Windows
Болеслав Сергеевич Изотов, первый заместитель генерального директора ФГУП НТЦ “Атлас”, рассказал о том, как продвигается работа по получению доступа к исходным текстам ОС Windows XP. По соглашению о сотрудничестве, подписанному Microsoft и НТЦ “Атлас” в декабре прошлого года при поддержке со стороны ФАПСИ, предполагается долгосрочное сотрудничество в области ИБ. Речь идет о последовательной передаче исходных текстов различных программных продуктов корпорации в целях повышения доверия к этим продуктам. В соглашении учтены все требования российской стороны по объему предоставляемой технической документации. Г-н Изотов отметил, что Microsoft затратила определенные средства на подготовку исходных текстов к передаче: их систематизацию и структурирование. Соглашение позволяет осуществлять технологическое сотрудничество при построении защищенных информационных систем, исследовать исходные тексты на наличие недекларированных возможностей. Эти тексты становятся доступными российским организациям, работающим над повышением защищенности государственных информационных систем (в их числе ФАПСИ, Минобороны, ГТК и ряд других). Доступ возможен только на территории НТЦ “Атлас”, который отвечает за сохранность данных текстов. Для этого в центре уже проведены все подготовительные работы, подготовлены и обустроены помещения. Необходимое оборудование было получено от корпорации Microsoft. Исходные тексты с его помощью будут пересылаться с серверов в Редмонде по Интернету. Данная схема начнет работать уже в ближайшие дни. По другой схеме исходные тексты будут установлены на сервере локальной сети, расположенной в одном из помещений НТЦ “Атлас”.
Наличие исходных кодов, по словам г-на Изотова, значительно экономит время при создании защищенных систем, а также позволяет повысить их функциональность.
Сейчас предоставляется доступ к текстам Windows XP и Windows Server 2003, но по отдельным соглашениям возможен доступ и к другим продуктам.
Просматривать тексты можно как с помощью отладчика, так и специализированного ПО. Кроме того, предусмотрены консультации специалистов Microsoft и посещение центра разработки в Редмонде. Предполагается сертификация ГТК обоих представленных продуктов.
На мой вопрос по поводу возможных закладок при взаимодействии Windows с аппаратной платформой г-н Изотов признал, что такая проблема есть и 100%-ной гарантии отсутствия недекларированных возможностей при сертификации дать нельзя. Далее он указал, что имеются методики исследования кристаллов процессора. (Замечу, что здесь у меня масса скепсиса: существовавшие ранее способы шлифовки кристалла на схемах с интеграцией свыше 100 тыс. вентилей уже не работают. Кроме того, разработчики научились вставлять в кристалл сотни ложных вентилей. Анализ процессорных закладок на внутрисхемных эмуляторах равносилен вскрытию очень стойкого шифра.)
На вопрос, какими силами будут исследованы 30 млн. строк исходного текста, последовал ответ, что роль НТЦ “Атлас” - в организации доступа к исходным текстам, а бороться с этими объемами придется тем разработчикам, которые будут создавать соответствующие защищенные системы. По его мнению, можно локализовать определенные угрозы и анализировать только тот объем кода, который влияет на выполнение защищенной системой ее функций. Опять же не могу с этим согласиться, так как в данном случае у зловредного программиста масса разнообразных возможностей: ОС работает в ОЗУ, в едином адресном пространстве и в одном кольце защиты.
Коллега г-на Изотова добавил, что Microsoft согласилась передать не только тексты ОС, но и исходные тексты отладчика и компилятора. Это очень логично, поскольку нельзя исключить вставки нежелательных фрагментов кода во время компиляции и маскировки истинного кода фирменным отладчиком.
Интересно, что проблем с данной сертификацией более чем достаточно. Начнем с простых. Что делать, если в сертифицированном тексте найдена ошибка и Microsoft выпустила патч для ее устранения? Это означает, что сертификацию нужно проводить заново. А в связи с тем, что такие патчи появляются постоянно, может возникнуть ситуация, когда обновления будут приходить чаще, чем выдаваться очередные сертификаты. Получится что-то вроде госприемки кодов Windows. Дешевле, наверное, будет сразу заменить разработчиков Microsoft, например, офицерами Гостехкомиссии :).
Второе. По определению, сертификация - это удостоверение соответствия продукта некоторой спецификации. Насколько я понял, специфицироваться Windows XP будет на соответствие общим профилям безопасности. Но последние задают только общие требования. Что там конкретно с чем будет сравниваться, пока совершенно непонятно. Кроме того, в системах такой сложности технические подходы, возможно, уже не совсем применимы: исследователь ОС, как абсолютно справедливо заметил ведущий одной из секций Игорь Агамерзян, находится в положении естествоиспытателя.
Третье. Хочется напомнить, что хотя чтение чужих текстов на определенном этапе развития программиста вполне полезно, но при увлечении им можно начать терять квалификацию. Это как с редактированием: чем больше читаешь чужие тексты, тем меньше и скучнее пишешь сам. Вспомним, скольких сильных программистов в СССР погубила ОС ЕС. Система-то была объемом всего в один миллион строк. Однако масса людей “утонула”, разбираясь с нею. Перед тем как заключить договор с НТЦ “Атлас”, Microsoft предоставила исходники своей ОС ста западным университетам в надежде, что те разберутся с ними и предложат что-то интересное. В результате это в какой-то степени смог сделать всего только один университет.
Информационная безопасность в государственных структурах является составной частью более общей дисциплины, называющейся “противодействие иностранным техническим разведкам” (ПДИТР). Задачи ПДИТР далеко не тривиальны - это работа для ряда серьезных институтов. После двенадцати лет недофинансирования и общего потрясающего роста технологических возможностей очень сомневаюсь, что ситуация у нынешних стражей российских гостайн заметно улучшилась, а с появлением микророботов - я им просто не завидую.
Сказанное не означает, что автор выступает против работы, проводимой НТЦ “Атлас”. Она заведомо полезна. Более того, во времена своей молодости я бы оценил исследование подобной сложной системы как интеллектуальный вызов и по меньшей мере как тему для докторской диссертации. Стоило бы попытаться построить экспертную систему, автоматически формально доказывающую безопасность текста предьявленной ей программы. Ну а сейчас, в отсутствие гербовой бумаги, просто хочется, чтобы всеми более четко понималось существо проблемы.
