"Синие шляпы"
БЕЗОПАСНОСТЬ
Для повышения безопасности своих продуктов Microsoft сотрудничает с хакерскими сообществами
Год 2003-й был очень удачным для критиков программного обеспечения Microsoft. Появление червей Slammer и Blaster стало доказательством (если оно еще были кому-то нужно) того, что дела софтверного гиганта идут вкривь и вкось. В статьях, опубликованных в последовавшие дни и недели, эксперты по безопасности и клиенты обвиняли корпорацию в том, что она выпускает чересчур много исправлений и прилагает слишком мало усилий, чтобы облегчить их установку. По мнению экспертов, идея “надежного компьютера” (Trustworthy Computing), с которой годом раньше выступил председатель правления и главный архитектор ПО Билл Гейтс, провалилась.
Сегодня многие из этих экспертов сменили пластинку и теперь признают, что планы Microsoft по повышению безопасности, которые всерьез стали реализовываться после выдвижения инициативы “надежного компьютера”, начали приносить плоды. Компания, утверждают они на этот раз, превратилась из посмешища для индустрии информационной безопасности в лидера отрасли и сторонника надежного процесса разработки ПО.
Все началось с меморандума Гейтса,
составленного для Microsoft в 2002 г.
В Windows стало меньше “дыр”, и обнаружить их теперь гораздо труднее. Другие же производители ПО, такие как Oracle, посмеивавшаяся над Microsoft, сегодня сами стали мишенью для специалистов по безопасности. А Microsoft тем временем из парии отрасли превратилась в ее благодетеля. Она устроила несколько шикарных вечеринок во время ежегодной конференции хакеров “Черные шляпы” в Лас-Вегасе, организует встречи собственных исследователей под названием “Синяя шляпа” и стала главным работодателем для талантливых специалистов в области безопасности.
Появление положительных отзывов далеко не случайно. Спустя почти четыре года после того, как Гейтс положил начало работе в направлении к “надежному компьютеру”, привлечение специалистов по безопасности стало ключевым элементом стратегии Microsoft по повышению качества своих продуктов и полировке слегка потускневшего имиджа.
Джордж Стратакопулос, генеральный менеджер группы Microsoft Security Engineering and Communications, давно начал выступать за улучшение отношений с независимыми специалистами из данной сферы. Придя в корпорацию молодым инженером в начале 1990-х, он участвовал в создании Windows 3.1.1 и Windows for Workgroups, а в 1995-м стал одним из первых членов группы по разработке Internet Explorer. Он помнит сообщение о первой ошибке, обнаруженной в системе безопасности этого браузера, неловкую реакцию своей компании и последовавшую затем череду вирусов: BubbleBoy, Melissa, ILoveYou, Code Red, Nimda. В конце 1990-х, когда сведения о новых “дырах” в IE потекли рекой, и он, и другие его сотрудники часто мямлили в ответ что-то невнятное. “Мы не знали, что с этим делать, - вспоминает Стратакопулос. - Помню, как я смотрел на ошибку и всё повторял, что так должно было случиться, ведь это было заложено при разработке”.
Не помог и последующий визит к “черным шляпам”. “Это было очень неприятно, - продолжает он. - Тот парень высмеял Microsoft, а затем показал, какие проблемы существуют в наших продуктах. Я тогда был в бешенстве”.
Спустя три года Стратакопулос и другие сотрудники Microsoft не только вновь встретились с “черными шляпами”, но и угощали их выпивкой на организованной компанией вечеринке. За ней последовали другие. Но в тот раз, о котором говорил Стратакопулос, они не знали, придет ли кто-нибудь. Однако хакеры явились вовремя и в большом количестве. После первых минут неловкости, когда хозяева вечера и приглашенные держались порознь, обе группы постепенно начали перемешиваться. Майкрософтовские технари, рассказывает Стратакопулос, чокались со знаменитыми охотниками за ошибками, такими, как Девид Литчфилд из английской фирмы Next Generation Security Software (он обнаружил “дыру”, которую использовал червь Slammer), и Майкл Майфрет, один из основателей североамериканской Digital Security.
Новая серия конференций под названием “Синие шляпы” появилась в результате опыта, полученного компанией во время встреч с “Черными шляпами”. Они проходят не в злачном Лас-Вегасе, а буквально в нескольких шагах от штаб-квартиры Microsoft и дают возможность ее руководителям получить доступ к крупнейшим специалистам по безопасности, считает Дэвид Лебланк, который раньше работал архитектором системы безопасности в подразделении корпорации, занимающемся разработкой пакета Office, а теперь - главным архитектором ПО в компании Webroot Software (США), специализирующейся на борьбе со шпионским ПО.
Гарри Мак-Гро:
“Microsoft охотится за талантами,
и некоторым это не нравится”
На последнюю по времени конференцию “Синяя шляпа”, состоявшуюся в октябре, в Редмонде собрались ветераны движения “Черная шляпа”, такие, как Дэн Камински, и сторонники “Белой шляпы” (эксперты по безопасности консервативного толка), чтобы обсудить свои методы обнаружения “дыр” в продуктах Microsoft. Со стороны корпорации в этой встрече участвовало более 1200 разработчиков. На следующий день “Белые шляпы” на устроенном для них завтраке кратко изложили суть своих выступлений. От Microsoft присутствовали Джим Олчин и Кевин Джонсон - президенты подразделения Platform Products & Services Division, а также Майк Неш, руководитель отдела Security Business & Technology Unit.
Камински упомянул о неизвестной “дыре” в системе безопасности продуктов компании. Вот что он написал в чате после конференции: “Я вошел в комнату, где находились руководитель подразделения Windows и трое людей, благодаря которым эта система появилась на свет. Я поинтересовался, действительно ли мне удалось обнаружить проблему. Было похоже, что да”.
“Сотрудничество с “Синей шляпой” представляет собой только часть более крупной картины. Речь идет о действительно широкомасштабной попытке сделать Microsoft компанией, доступной для других, - говорит Адам Шостак, независимый консультант по вопросам безопасности из Атланты, участвовавший в конференции “Синяя шляпа” в октябре. - Не случайно на встречах по проблемам безопасности часто присутствуют представители Microsoft”.
Такой поход улучшил отношение исследователей к Microsoft. Это коснулось даже так называемых “хакеров в серых шляпах”, которые не всегда придерживаются проводимой компанией политики в отношении обнародования уязвимостей. “Microsoft предстоит еще долгий путь. Но корпорация предпринимает попытки установить тесные связи со специалистами, в том числе и со мной”, - утверждает Том Феррис, независимый исследователь проблем безопасности из Калифорнии. Он поддерживает веб-сайт Security-Protocols.com и опубликовал подробные сведения о некоторых “дырах” в продуктах Microsoft.
Если Microsoft сравнивать с другими организациями, то ее представители, по мнению Ферриса, стараются продемонстрировать свое уважение к исследователям: “В электронных посланиях они не проявляют враждебности или агрессивности. Они всегда любезны и не стремятся устроить тебе нагоняй”. Это говорит о серьезных изменениях в компании, которая была известна своим холодным приемом по отношению к людям, сообщавшим о найденных ошибках.
Что касается безопасности, то “Синяя шляпа” не столько обнаруживает пробелы, сколько способствует расширению кругозора разработчиков Microsoft, считает Стивен Тулуз, менеджер программы безопасности из Microsoft Security Response Center: “Всё, чего мы добиваемся, - это взгляд “снаружи”, который позволяет понять, как можно использовать код не по назначению”.
Сотрудник Microsoft
Джордж Стратакопулос:
“Помню, я был в бешенстве”
Многие исследователи считают, что конференции “Синяя шляпа” являются не просто PR-акциями в пользу компании, широко известной своим небезопасным ПО. “Microsoft получила от червей массу неприятностей. Эта напасть вызвала всеобщее замешательство и сыграла роль негативной рекламы”, - считает Майфрет из eEye. Его компания обнаруживает серьезные ошибки в продуктах корпорации и сообщает о них. На протяжении многих лет у нее сохраняются довольно напряженные отношения с софтверным гигантом. Но сейчас Майфрет высоко оценивает предпринятые в последние годы усилия Microsoft по повышению качества своего программного кода, хотя и считает, что мероприятия типа “Синей шляпы” больше ориентированы на улучшение имиджа, чем на серьезную работу. Приглашаемые на конференцию эксперты - это не те исследователи, которые обнаруживают наиболее опасные “дыры” в продуктах компании, говорит он.
Но эксперты и сотрудники Microsoft и не отрицают, что установление теплых, неформальных отношений с независимыми специалистами по безопасности является лишь частью работы по плану “Надежный компьютер”, причем не самой важной.
Вся эта инициатива, в особенности “Синяя шляпа”, действительно преследует цель повысить уровень знаний наших разработчиков в области безопасности, говорит Майк Говард, старший менеджер программы безопасности Microsoft и автор проекта Security Development Lifecycle. По мнению многих экспертов, этот проект способствовал повышению качества создаваемого в компании кода.
Действуя в данном направлении, Microsoft также использует силу своего пухлого кошелька, чтобы покупать или привлекать на контрактной основе действительно талантливых специалистов. Компания NGSS, в которой работает Литчфилд, числит Microsoft среди своих клиентов. А Феррис утверждает, что корпорация предлагала ему должность в группе разработчиков ядра, но он отказался. “За последние годы Microsoft приняла на службу довольно много моих друзей, - говорит Шостак, который сам в Microsoft никогда не работал. - Это всё специалисты по безопасности, и все они в восторге от компании”.
“Microsoft использует свое монопольное положение. Это не всегда плохо, но нравится далеко не всем”, - считает Гарри Мак-Гро, главный технолог фирмы Cigital. Он отказался сообщить, заключила ли контракт с Microsoft его компания, которая помогает производителям ПО создавать безопасные приложения, но признался, что прежде работал с Microsoft.
Между тем эксперты согласны, что накопление ноу-хау в области безопасности в сочетании с более тщательным программированием и использованием автоматических сканеров “дыр” позволили ликвидировать множество ошибок, связанных с переполнением буфера и копированием строк, которыми можно было легко воспользоваться. “Лучше всего эту проблему иллюстрирует айсберг, дрейфующий к югу. Постепенно он тает, и охотникам за ошибками остается все меньше места”, - сказал Литчфилд.
Хроника создания “надежного компьютера”
Декабрь 2000 г.
Создается программа партнерства для оказания услуг в области безопасности (Security Services Partner Program) - база данных на основе Web-технологий с возможностью поиска. С ее помощью клиенты могут немедленно получить консультацию по вопросам безопасности, возникшим в их собственных системах или при работе с Интернетом.
2001 г. - февраль
Начинаются продажи ПО ISA Server.
ноябрь
Microsoft проводит конференцию по “надежному компьютеру”, положившую начало дискуссиям о необходимости более безопасного ПО.
декабрь
Выходит книга Майкла Говарда и Дэвида Лебланка “Написание безопасного кода” (Илл. слева).
2002 г. - январь
Билл Гейтс рассылает всем сотрудникам Microsoft записку о “надежном компьютере”; начинается планирование и создание учебного курса для переработки Windows с учетом требований безопасности (ныне эта инициатива называется security push - “внедрение безопасности).
февраль
Более 70 команд программистов снято с работы над проектами и направлено на повышение квалификации в области безопасности.
март
Microsoft откладывает выпуск семейства продуктов .Net Server, чтобы оценить его с точки зрения безопасности.
апрель
Скотт Чарни (фото справа) назначен главным специалистом по стратегии в области безопасности и куратором программы “Надежный компьютер”; создается подразделение Security Business Unit (ныне - Security Business & Technology Unit), вице-президентом которого становится Майк Неш; выпущен продукт MBSA (Microsoft Baseline Security Analyzer).
май - июнь
Системы SQL Server, Exchange, Office проходят процедуру “внедрения безопасности”.
июнь
Выходит инструмент установки важнейших исправлений SUS (Software Update Services) для малого и среднего бизнеса.
декабрь
Появляется MBSA v.1.1; выходит второе издание книги “Написание безопасного кода” в котором учтен опыт “внедрения безопасности” на протяжении года
2003 г. - февраль
Microsoft создает научный консультативный совет по проблемам безопасности.
апрель
Выходит Windows Server 2003 - первый продукт, созданный с нуля после объявления программы “Надежный компьютер”.
май
Объявлено о создании организации для обмена информацией о вирусах (Virus Information Alliance, VIA).
июль
Microsoft покупает компанию GeCAD Software.
октябрь
Начинается ежемесячный выпускать исправлений; эту новость объявляет Стив Балмер на конференции Worldwide Partner Conference; Майк Неш (фото справа) начинает ежемесячные выступления в Интернете.
ноябрь
Анонсирована программа Microsoft Anti-Virus Reward Program.
2004 г. - январь
Одобрен проект Security Development Lifecycle; использование таких инструментов, как PREfix и PREfast в процессе разработки становится обязательным для создания более безопасного и надежного ПО.
февраль
Гейтс анонсирует технологии активной защиты и инициативу “Координированное сокращение спама” (Coordinated Spam Reduction Initiative); создается подразделение для разработки технологии идентификации отправителя электронной почты (Caller ID for E-mail); формируется организация, призванная обеспечить безопасность Интернета - Global Infrastructure Alliance for Internet Safety.
апрель
Начинается серия встреч по вопросам безопасности на уровне руководителей компаний, которые проводятся в крупнейших городах США и продолжаются до июля.
август
Выходит пакет исправлений Windows XP SP2, затрагивающий некоторые проблемы безопасности. Например, запуск межсетевого экрана по умолчанию.
ноябрь
Анонсирована программа Advance Notification Program.
декабрь
Объявлено о предстоящем приобретении компании Giant Company Software.
2005 г. - январь
Microsoft выпускает первый ежемесячно обновляемый инструмент для удаления вредоносного кода Malicious Software Removal Tools; появляется бета-версия антишпионского ПО Microsoft AntiSpyware.
февраль
Объявлено о предстоящем приобретении компании Sybari.
март
Microsoft проводит первые встречи с “Синими шляпами” в своей штаб-квартире.
май
Анонсирован продукт Windows OneCare; начинается действие программы Security Advisories.
октябрь
Стив Балмер излагает стратегию и план работ Microsoft в области безопасности, анонсирует продукты Client Protection и Antigen; встречи с “Синими шляпами” продолжаются.
Источник: Microsoft.