На главную

Библиотека Интернет Индустрии I2R.ru

Rambler's Top100

Малобюджетные сайты...

Продвижение веб-сайта...

Контент и авторское право...

Забобрить эту страницу! Забобрить! Блог Библиотека Сайтостроительства на toodoo
  Поиск:   
Рассылки для занятых...»
I2R » Хакеры и безопасность » Дыры в ПО

Слишком много "заплат", слишком мало времени

Обнаружив прошлым летом на своем сервере Internet Information Server (IIS) производства фирмы Microsoft быстро распространяющуюся программу-вирус Code Red, адвокатская контора Fenwick &

West из Силиконовой Долины решила, что на этот раз с нее, пожалуй, хватит. И, предупреждая очередную атаку, она просто отказалась от Web-архитектуры, основанной на ОС Windows NT и ПО IIS, и вместо них решила использовать ОС Linux и свободно распространяемый Web-сервер Apache соответственно.

"Нельзя сказать, чтобы сервер IIS был плохо разработан, - говорит Матт Кеснер, главный технолог компании Fenwick & West, - но нам стало ясно как день, что и он, и остальное ПО Microsoft являются огромными мишенями для атак вирусов и других враждебных программных кодов. А это подвергает нашу фирму большому риску".

Администраторы ИТ компании Integrated Architectures совсем не проявили беспокойства, когда осенью прошлого года появился самый свежий "червь", нацеленный на серверы Microsoft и получивший название Nimdia. А все потому, что девятью месяцами раньше эта компания - системный интегратор полностью отказалась от использования сервера IIS, заменив его сервером Apache под управлением ОС Linux, - "чисто из соображений безопасности", как говорит ее сетевой администратор Фрэнк Траскотт.

Насколько острой является эта проблема? Согласно данным компании Netcraft, отслеживающей использование ПО Web-серверов, с тех пор, как в середине июля прошлого года появилась новая версия "червя" - Code Red II, по меньшей мере 150 тыс. Интернет-узлов, основанных на ПО IIS (около 80 тыс. IP-адресов по всему миру), были демонтированы. Кроме того, опять же по данным все той же Netcraft, в 2 тыс. из этих Интернет-узлов используются сегодня конкурирующие с IIS продукты.

Похоже на то, что Microsoft хорошо осознает потенциальную угрозу потери и других своих пользователей и всеми силами старается повысить безопасность сервера IIS, расширяя возможности его технической поддержки. Осенью прошлого года компания обнародовала программу Strategic Technology Protection Program, в которой предусматривается непосредственное взаимодействие технического персонала Microsoft с корпоративными пользователями с целью корректной инсталляции и конфигурирования их систем.

Кроме того, компания Microsoft предоставляет инструментальный набор Security Tool Kit, позволяющий администраторам устанавливать более высокий уровень безопасности своих серверов Windows 2000 Server и IIS по умолчанию и "выключать" те функции, которые им не нужны, но могут снизить этот уровень. Компания также запускает новый онлайновый сервис, автоматически уведомляющий пользователей об очередных коррекциях ПО, касающихся безопасности, и доставляющий им соответствующие "заплаты".

Некоторые эксперты заявляют, что проблемы фирмы Microsoft являются естественным результатом повсеместного распространения ее продуктов на рынке.

"Кто сказал, что продукты Microsoft менее безопасны, чем продукты других поставщиков ПО? - говорит Роб Эндерл (Giga Information Group). - Просто ее продукция стала мишенью для гораздо большего числа взломщиков". Однако он же считает, что последние атаки вкупе с подорожанием лицензий на программное обеспечение Microsoft (см. http://www.internetweek.com/ reload01/reload100101.htm), как никогда прежде, стимулируют переход пользователей на другие Web-серверные платформы.

Тем не менее есть критики, которые утверждают, что в процессе разработки своего ПО Microsoft не уделяет должного внимания вопросам безопасности.

"Microsoft - это исключительно маркетинговая фирма. Она в принципе не является технологической компанией, заботящейся о безопасности своих продуктов, - говорит Стив Гибсон, президент фирмы Gibson Associates, занимающейся консалтингом в области сетевой безопасности. - Сервер IIS никогда и не был надежно защищенным". По мнению Гибсона, причина того, что на продукт Apache с открытым исходным кодом приходится 58% рынка Web-серверов (тогда как доля серверов IIS составляет только 26% этого рынка), состоит в том, что сообщество разработчиков Apache, движимое некоммерческими мотивами, не стремится наделять эти серверы новыми возможностями с одной лишь целью - увеличить объем сбыта этого ПО.

Компания Microsoft часто модернизирует свои продукты. Но все изменения, которые она, по сути, навязывает корпоративным пользователям, становятся дополнительным источником уязвимости их систем. "Червяк" Code Red, например, использует "дыру" в интерфейсе API сервера IIS, что позволяет злоумышленнику путем переполнения буфера поместить в оперативную память код, обеспечивающий ему полный контроль над сервером. Как отметил Гибсон, последнее "критическое" уязвимое место подобного типа было устранено в Apache еще в 1997 г.

Главного технолога компании Fenwick & West Матта Кеснера привлекает относительная простота работы с сервером Apache. Согласно его оценке, эксплуатация Apache и Linux обойдется его компании на 20-25% дешевле, чем заменяемых ими продуктов Microsoft (с точки зрения затрат на обеспечение безопасности и стоимости продуктов).

Руководители Microsoft, курирующие вопросы сетевой безопасности, со своей стороны утверждают, что всеми силами стремятся достичь разумного баланса между функциональностью производимого фирмой ПО и его безопасностью. Стратегия безопасности, которой компания Microsoft придерживается последние год-полтора, включает в себя борьбу с враждебными кодами, инициативу Secure Windows Initiative и Security Response Center.

Война враждебным кодам была объявлена более года назад, сразу же после массовых "почтовых" атак вирусов, таких, как Melissa и I Love You. Компания модифицировала код почтового клиента Outlook в той его части, которая касается безопасности, заблокировав доставку электронной почтой исполняемых файлов-вложений. В настоящее время эта возможность реализована (и задействована по умолчанию) в пакете Outlook 10, поставляемом в комплекте с ПО Office XP.

Что же касается пользователей, то для них эти "антивирусные" меры Microsoft стали источником новых проблем. "Пользователи просто-напросто предпочли отказаться от фирменных нововведений, поскольку они влекли за собой трудности при получении и открывании вложений, - говорит Матт Кеснер. - В качестве альтернативы наша компания установила антивирусные сканеры на шлюзовом сервере, сервере Exchange и настольных ПК".

Стив Липнер, ведущий менеджер компании Microsoft по программному обеспечению, который отвечает за безопасность ОС Windows, отметил, что его фирма стремится предоставить системным администраторам и разработчикам больший контроль над безопасностью их систем. В ПО Windows XP и Windows .Net компания предусмотрела политику программных ограничений, обеспечивающую более высокий уровень административного контроля над любыми выполняемыми в этих средах кодами или сценариями.

"Вряд ли пользователи придут от этого в восторг, зато администраторы уже сейчас прыгают от радости, предвкушая получение почти полной власти над программами", - говорит Джон Пескейтор, аналитик из Gartner Group.

Инициатива Secure Windows Initiative, объявленная в позапрошлом году одновременно с выпуском ОС Windows 2000, предусматривает обучение разработчиков ПО Microsoft, менеджеров по программным продуктам, их испытателей и предоставление им автоматизированных инструментальных средств, необходимых для обнаружения ошибок на этапе разработки приложений.

Джон Пескейтор считает, что это поможет выловить "такие глупые ошибки программирования, как переполнение буфера, но все равно никто и никогда не сможет обнаружить абсолютно все ошибки", неизбежно возникающие при написании программ.

О том, какую пользу принесет инициатива Secure Windows Initiative, мы узнаем, скорее всего, только тогда, когда Microsoft выпустит новые версии серверов IIS и Exchange, в которых будет не просто установлен по умолчанию минимальный набор опций безопасности, а изначально будут сконфигурированы все параметры безопасности, добавляет Пескейтор.

Security Response Center - это последняя линия обороны Microsoft. Центр ведет борьбу с уязвимостями сразу же по мере их выявления, рассылая предупреждающие сообщения пользователям и выпуская "заплаты" в ответ на "дыры", обнаруженные в системе безопасности ПО.

Если Microsoft хочет, чтобы все денежные средства, которые она вкладывает в безопасность своих продуктов, помогли ей удержать пользователей, то все перечисленные выше составляющие ее стратегии должны применяться одновременно. Главным показателем здесь является число "заплат", которые администраторы должны регулярно загружать и инсталлировать, чтобы поддерживать безопасность своих систем на должном уровне.

Карлтон Келли, директор по развитию технологий компании Ripple Effects, разрабатывающей ПО для Web-серверов, жалуется на большой объем инвестиций и значительные трудозатраты, связанные с установкой всех "свежих заплат". Он говорит, что большинство их специалистов по системной безопасности были здорово перегружены даже до экономического спада и вызванного им сокращения штата.

Компания Ripple Effects, использующая системы Microsoft и Unix, пока не собирается отказываться от сервера IIS.

"Microsoft, получающая миллиарды долларов дохода, тратит сотни миллионов из них на исследования, - говорит Келли. - В безопасность своих продуктов она могла бы вкладывать куда более значительные суммы".

Как утверждает один из руководителей компании Microsoft, за три прошедших года она потратила около 50 млн долл. на инструментальные средства и обучение. Это та сумма, которая необходима для того, чтобы тысячи разработчиков могли быстро решать проблемы, связанные с безопасностью программных продуктов. Еще 25 млн долл. компания планирует затратить в течение полугода на реализацию Strategic Technology Protection Program.

Рут Ясин
Сети и системы связи

Рассылки Subscribe.Ru
Все о защите данных на Идваре
Другие разделы
Прочие опасности
Вирусы
Хакеры
Киберпреступность
Уязвимость ПО
Новое в разделе
Защита данных
I2R-Журналы
I2R Business
I2R Web Creation
I2R Computer
рассылки библиотеки +
И2Р Программы
Всё о Windows
Программирование
Софт
Мир Linux
Галерея Попова
Каталог I2R
Партнеры
Amicus Studio
NunDesign
Горящие путевки, идеи путешествийMegaTIS.Ru

2000-2008 г.   
Все авторские права соблюдены.
Rambler's Top100