На фоне всеобщей обеспокоенности, которую вызвал Code Red, один из руководителей Microsoft, корифей в области безопасности Стив Липнер пояснил инициативы корпорации, направленные на укрепление защиты

Стив Липнерстарший менеджер Microsoft по вопросам защиты программных продуктов семейства Windows. Он руководит центром Microsoft Security Response Center и возглавляет инициативу Secure Windows Initiative. Под его руководством Microsoft начала масштабную ревизию безопасности всех своих исходных текстов. Липнер встретился с редактором еженедельника Computerworld Робертом Митчеллом, чтобы поговорить о новом поколении вирусов, о состоянии исходных кодов Windows и об усилиях, предпринимаемых Microsoft для увеличения степени безопасности своих продуктов.

В чем смысл инициативы Microsoft Secure Windows Initiative? Secure Windows Initiative — это попытка повысить уровень защиты всех программных продуктов Microsoft. Программа охватывает все, что выпускает корпорация. Мы стремимся усилить защиту за счет совершенствования процессов, обучения, использования передовых инструментальных средств и улучшения качества проводимого в корпорации тестирования средств безопасности.

Судя по опубликованным статистическим данным о распространении Code Red и других вирусах последнего времени, создается впечатление, что Web-серверы Microsoft уязвимы в большей степени, чем другие продукты. Такое впечатление складывается в первую очередь потому, что повсюду используется огромное количество наших программных продуктов, и, кроме того, потому, что мы сразу же сообщаем о всех известных инцидентах. Мы знали о том, что Code Red представляет серьезную угрозу безопасности. Мы подготовили заплату для защиты от этого червя и широко распространили информацию о ней, чтобы предупредить мир о серьезности угрозы.

Я думаю, имеет значение и тот факт, что, поскольку чрезвычайно легко установить и использовать Microsoft Internet Information Server (IIS) и Windows, пользователи порой проделывают это, забывая о необходимой защите, не принимая мер по обеспечению безопасности и не заботясь об обязательном проведении тщательного конфигурирования средств защиты.

Установка IIS еще не предполагает автоматического обеспечения защиты. Почему бы в продуктах, которые предназначены для работы с Web, не предусмотреть по умолчанию всю необходимую настройку для поддержки безопасности? Если продукты имеют какие-то подразумеваемые настройки, приходится идти на компромисс в том, что касается доступных возможностей и их конфигурации.

Internet Information Server в ходе своей установки предлагает пользователю указать, какие именно службы ему нужны. Мы исходим из того, что это позволит выбрать корректную конфигурацию и позволит обеспечить защиту для большинства пользователей.

Кроме того, мы опубликовали в Web инструментальное средство конфигурирования защиты IIS Lockdown, а также памятки, помогающие создать защищенные Web-серверы.

Microsoft выпустила заплату для защиты от Code Red 18 июня, а месяцем позже этот червь инфицировал свыше 250 тыс. систем. Как подобное могло произойти? Заплату для Code Red загрузили, пожалуй, самое большое число пользователей за всю историю существования корпорации. Почему же ее не установили другие? Возможно, как мне кажется, потому, что они не были подписчиками нашей службы Security Notification Service. Они до сих пор не обратились и за Windows Update (http://windowsupdate.microsoft.com), и мы хотели бы еще раз напомнить о существовании таких служб.

Microsoft использует внутреннюю программу, называемую Prefix, для поиска потенциально уязвимых мест в своем коде. Каковы результаты такого анализа?

Prefix выполняет сканирование всех исходных текстов программного продукта для того, чтобы найти места, сопоставимые с шаблонами потенциальных ошибок кодирования, которые, судя по нашему опыту, могут составлять угрозу для безопасности программ. Когда такие места найдены, они помечаются, а затем их просматривают наши специалисты и при необходимости вносят коррективы.

Чтобы просканировать все исходные тексты Windows при помощи Prefix, требуется один-два дня. Такое тестирование проводилось каждые две недели во время цикла разработки Windows .Net Server. Оно началось после выпуска Windows 2000, и .Net Server станет первым продуктом, разработка которого велась под постоянным контролем Prefix.

Насколько успешно удается выявлять дефекты, приводящие к печально известному переполнению буфера? Мы нашли и устранили множество таких дефектов. Важно подчеркнуть, что программы имеют практически бесконечное число путей исполнения. И точно так же существует огромное количество способов добиться переполнения буфера. Prefix не гарантирует их полного выявления.

Только в прошлом году Microsoft выпустила 100 бюллетеней, посвященных проблемам защиты. Что вы делаете для того, чтобы пользователи могли ориентироваться во всех этих бюллетенях? Мы предлагаем жесткую рейтинговую систему, которая поможет пользователям понять, насколько серьезные вопросы там освещаются. С выпуском Windows XP и .Net Server мы переходим на новые методы работы, предусматривающие более активное использование Windows Update и технологии модернизации, которые обеспечат потребителям возможность устанавливать заплаты и получать автоматические уведомления с меньшими усилиями, чем сейчас.

HFNetChk — инструмент с интерфейсом командной строки. Он позволяет системному администратору понять, какие заплаты были установлены, и настраивать данную конфигурацию с набором заплат, выпущенных Microsoft для этой системы. Для этого в интерактивном режиме анализируется XML-файл, поддерживаемый на нашем Web-сайте. Мы также выпустили Microsoft Personal Security Advisor (www.microsoft.com/security/ mpsa). Он предназначен для индивидуальных пользователей Windows NT 4 или Windows 2000.

В конечном итоге многие системные администраторы хотели бы получать как можно меньше всяческих изменений и заплат, связанных с защитой. Когда, по-вашему, это станет возможным? Я думаю, что в 2001 году мы предложили уже меньше такого рода исправлений, чем в 2000-м, если считать по числу бюллетеней, так что есть позитивные сдвиги. Было бы неплохо и дальше сокращать их число.

Какие усовершенствования, касающиеся безопасности, мы увидим в будущих версиях Windows? Самое важное, что мы планируем предложить, — интеграция и достижение большего удобства использования технологий, основанных на смарт-картах, как в клиентских, так и в серверных продуктах.

Что в первую очередь следует сейчас делать системным администраторам, чтобы гарантировать безопасность своих Web-серверов? Мы убеждаем их использовать инструментарий HSNetChk или Windows Update и устанавливать заплаты. Мы также рекомендуем службу Security Notification Service. Что касается важных заплат и исправлений, то мы предлагаем свой последний пакет обновлений: SP 2 for Windows 2000, SP 6a for NT 4. Заплаты для IIS теперь выпускаются по накопительному принципу, то есть свежая заплата исправляет все дефекты, обнаруженные с момента выпуска продукта.


Взломанные Web-сайты
Распределение числа взломанных Web-сайтов по операционным системам, под управлением которых они работали

Web-серверы
Распределение Web-серверов по ОС, под управлением которых они работают