Новая "шляпа" Microsoft

БЕЗОПАСНОСТЬ

Скотт Питерсен

Никакая другая компания не понесла такого ущерба от атак хакеров, как Microsoft. Причины, по которым она стала "любимой" мишенью, не составляют секрета: это - принадлежащая Microsoft монопольно высокая доля рынка и ее собственное пренебрежительное отношение к созданию безопасного ПО.

Понеся такое наказание, Microsoft взяла правильный курс в вопросах безопасности. Ее активное участие в предстоящей 2-3 августа конференции "Черная шляпа" в Лас-Вегасе, посвященной безопасности, может служить примером, которому должны последовать все производители ПО.

Не так давно Microsoft служила предметом шуток, когда речь заходила о безопасности. Джордж Статакопоулос, главный менеджер группы по надежному инжинирингу и коммуникациям в Microsoft (Security Engineering and Communications), вспоминает, что присутствовать на конференции "Черная шляпа" в конце 90-х гг. "было неприятно. Выступавшие самоуверенно высказывались по поводу нашей компании, а затем указывали нам на проблемы, имевшиеся в наших продуктах. Помню, я был в бешенстве".

Спустя несколько лет Microsoft стала организовывать вечеринки для участников "Черной шляпы", чтобы лучше познакомиться с хакерами как "черной", так и "белой шляпы". В октябре прошлого года корпорация провела свою первую конференцию "Синей шляпы", пригласив ее участников в штаб-квартиру в Редмонде, шт. Вашингтон, для обсуждения способов взлома программных кодов Microsoft. В марте компания организовала вторую конференцию "Синей шляпы".

Несмотря на эти усилия, Microsoft пока не удалось решить всех проблем, касающихся безопасности. Windows Vista все еще находится в стадии бета-тестирования, а в системе безопасности этой ОС уже обнаружена ошибка, для которой выпущено исправление. А некоторые из широко разрекламированных средств безопасности Vista, например управление учетной записью пользователей (User Account Control), пришлось переработать.

Microsoft стремится учесть в работе над Vista уроки, полученные на конференции "Черной шляпы". Корпорация утверждает, что она является "первым производителем ПО, представившим полный отчет об обсуждении этого еще не выпущенного продукта на конференции "Черной шляпы", чтобы собрать отклики исследователей, работающих в области безопасности". Так говорится в блоге Центра реагирования на угрозы безопасности Microsoft (Security Response Center).

По нашему мнению, независимо от того, какие отклики получит компания на публикацию протокола, занявшего целый день обсуждения вопросов безопасности на конференции "Черной шляпы", и Microsoft, и пользователи Windows, и специалисты по безопасности окажутся в выигрыше. Справедливо утверждение, что, чем больше зловредные хакеры узнают о внутреннем устройстве Windows, тем более утонченные способы проникновения в систему они разрабатывают. И все же чем больше сведений о способах взлома Windows предоставят Microsoft добропорядочные хакеры, тем лучше.

Еженедельник eWeek неоднократно критиковал методы создания продуктов Microsoft. По различным причинам у этого разработчика не было выбора, ей оставалось только идти по проторенной дороге. Прежняя практика выпуска исправлений после взломов с использованием обнаруженных ошибок исчерпала свои возможности. Кроме того, было время, когда Microsoft считала себя огражденной от критики. Но недавняя публикация протокола обсуждения стала шагом к большей открытости для критики со стороны специалистов по безопасности и использованию их замечаний в целях создания более надежного ПО. Microsoft движется в правильном направлении и заслуживает всяческих похвал. Другим производителям коммерческого ПО также следовало бы встать на этот путь.