Категория: Microsoft, Open Source


Одним из главных аргументов, выдвигаемых сторонниками перехода на open-source, является более высокая степень безопасности данных решений. Исследования, посвященные этому вопросу, как подтверждают, так и опровергают этот тезис.


"Сегодня Microsoft делает для обеспечения защиты своего программного обеспечения больше, чем кто-либо другой". Именно так утверждает известный в прошлом хакер, а ныне эксперт по информационной безопасности Марк Майфретт. В данном CNet интервью Майфретт рассказал о своем опыте работы с продуктами Microsoft, изучением безопасности которых он занимался с конца 90-х годов прошлого века.


С Microsoft бояться нечего?

Как можно оценить, насколько безопасны были продукты Microsoft в конце прошлого века? По словам Майфретта, в то время Microsoft не имела отдельного подразделения, отвечавшего за безопасность. При этом недоработки в плане безопасности выпускаемых продуктов в Microsoft рассматривали как маркетинговую, а не как техническую проблему. Проще было "замолчать" имеющиеся уязвимости так, чтобы о них не было известно, чем исправить их.

С началом века ситуация стала меняться в лучшую сторону. В январе 2002 года президент Microsoft Билл Гейтс выпустил послание к сотрудникам своей компании, в котором объявил о смене приоритетов в разработке программного обеспечения. Он заявил, что главной целью компании должна стать безопасность ее продуктов. Это было связано с тем, что репутация Microsoft сильно пострадала после распространения большого количества компьютерных "червей", таких как Code Red и Slammer, активно эксплуатировавших уязвимости в серверных продуктах корпорации. Стало очевидно, что подорванное доверие пользователей необходимо восстанавливать.

"Сегодняшний подход Microsoft к безопасности ее продуктов кардинально изменился", - говорит Майфретт. Да, продукты корпорации все еще не совершенны, прорехи в безопасности остаются, и еще есть над чем работать. "Но они определенно делают больше [в плане повышения безопасности своих продуктов], чем кто-либо еще в данной отрасли".

Является ли путь Microsoft примером для других компаний? В вопросах, связанных с проверкой кода и защитой программного обеспечения, в корпорации сейчас одна из лучших моделей обеспечения безопасности. По словам Майфретта, у Microsoft все еще есть значительные проблемы со временем реакции. Зачастую с момента обнаружения уязвимости до выпуска соответствующих патчей все еще проходит слишком много времени (месяцы и даже годы).

Майфретт отмечает, что другие ведущие вендоры, такие как Adobe и Apple, стали уделять повышенное внимание проблемам безопасности совсем недавно. "Еще год назад они были примерно на той же позиции, что и Microsoft 10 лет назад. Они также рассматривали безопасность своих продуктов как маркетинговую проблему и не относились к ней всерьез". И только совсем недавно (в течение последнего года) их позиция изменилась, и проблема безопасности продуктов стала одним из основных приоритетов.

Майфретт также отметил тот факт, что Apple останется более безопасной платформой лишь до тех пор, пока злоумышленники не начнут более активно эксплуатировать существующие в ее решениях уязвимости. Это показало недавно прошедшее хакерское состязание, участникам которого понадобилось всего несколько часов для обнаружения серьезных уязвимостей в системе безопасности Apple. Однако и здесь ситуация меняется к лучшему. "Для Apple проблема с безопасностью действительно вышла на первое место, они всегда позиционировали свою платформу как более устойчивую к взлому, нежели PC".

Не только Microsoft и Apple, но и другим ведущим разработчикам ПО стоит больше внимания уделять безопасности своих продуктов. Хакеры уже не так активно эксплуатируют уязвимости в операционных системах, предпочитая сконцентрироваться на пользовательских приложениях. Например, в отличие от Microsoft, Adobe не так сильно заботится о регулярных обновлениях для своей технологии Flash, поэтому и использовать данные уязвимости проще. В настоящее время именно веб-приложения становятся главной целью злоумышленников, а активное распространение контента через социальные сети, такие как Facebook, представляет достаточно серьезную угрозу безопасности.

Теперь посмотрим, как обстоят дела с безопасностью в набирающих все большую популярность открытых продуктах.

Насколько надежнее open-source-решения?

Наиболее известные и широко используемые open-source-продукты (Apache, MySQL) обладают очень высоким качеством, низким числом ошибок и уязвимостей. В то же время, ряд проведенных исследований показал, что, например, Linux-серверы уязвимы не менее Windows-серверов, а зачастую и гораздо больше. Очень часто отмечается тот факт, что безопасность Linux-системы сильно зависит от выбора дистрибутива Linux, версии ядра и опыта ИТ-персонала, производящего развертывание и сопровождение системы. При этом главной причиной большего числа успешных атак на Linux-серверы аналитики называют не недостатки самой системы, а неправильную ее конфигурацию и ошибки администрирования.

Анализ безопасности Linux и Windows продолжает порождать многочисленные дискуссии о том, что же предпочтительнее – ОС с открытым или закрытым кодом. Логически, операционная система, основанная на открытых стандартах и открытом коде, делает доступным межсетевое взаимодействие, упрощает обнаружение и исправление уязвимостей, и такая система более предпочтительна, чем проприетарная модель. Принято считать, что если исходный код продукта открыт, сообщество может гораздо быстрее и эффективнее реагировать на найденные уязвимости. Можно вспомнить и слова Марка Майфретта о том, что некоторые уязвимости в продуктах Microsoft остаются не закрытыми на протяжении долгого времени, хотя представители компании обычно заявляют, что знают о данной проблеме и работают над ее устранением.

Число уязвимостей в разных типах ПО, 2010

Клиентские операционные системы Число уязвимостей
Apple Mac OS X 1261
Red Hat Linux Enterprise Desktop 5 1232
Ubuntu Linux 8.04 918
Microsoft XP Professional 351
Microsoft Windows 7 33
Серверные операционные системы
Red Hat Linux Enterprise Server 5 1150
Sun Solaris 10 905
Microsoft Windows Server 2008 157
Системы управления базами данных
Oracle Database 11 256
MySQL 5.x 45
Microsoft SQL Server 2005 18
Microsoft SQL Server 2008 0
Браузеры
Mozilla Firefox 3.5.x 79
Opera 9.x 56
Microsoft Internet Explorer 8.x 49

Источник: Secunia.com, 2010

Возможно благодаря этому, а также под влиянием пользователей и критиков, Microsoft пошла на некоторые уступки в плане доступности исходных кодов своих решений. В 2001 году была объявлена программа Shared Source Initiative, которая позволяет получить доступ к исходному коду продуктов корпорации как для изучения, так и для разработки. Доступ предоставляется в основном OEM-партнерам, интеграторам, учебным заведениям, а также государственным службам безопасности. Несмотря на то, что у данной программы достаточно жесткие критерии участия, она имеет большое число подписчиков. Однако по большей части в Shared Source Initiative применяется политика "смотри, но не трогай", что устраивает далеко не всех.

Очевидно и то, что сам по себе доступ к исходным кодам не делает систему более безопасной. Обеспечение безопасности конечного продукта представляет собой сложный и многогранный процесс, управление которым требует соответствующей методологии. Что касается качества программного обеспечения в плане его безопасности, то этот фактор мало зависит от принятой модели разработки. Код многих open-source-приложений, действительно более простой и оптимизированный, чем код коммерческих продуктов. Но в целом уровень функциональности и интегрированности коммерческих решений значительно выше, что не может не сказаться на сложности проектов. Большинство open-source-проектов не обладают такой высокой сложностью, и проблема качества у них не так обострена.

Также нельзя не отметить тот факт, что продукты Microsoft, в отличие от open-source-решений, в силу гораздо большей популярности, изначально представляли больший интерес для хакеров. Благодаря этому в Microsoft, так или иначе, научились справляться с данными проблемами, чего нельзя сказать о большинстве открытых продуктов. Постоянно сталкиваясь с массированными попытками злоумышленников эксплуатировать корректный, но небезопасный при злонамеренном использовании код, Microsoft пришлось выработать методологию разработки, позволяющую снизить риск подобных воздействий. Вполне вероятно, что рост популярности открытых решений также заставит open-source-сообщество пересмотреть подходы к разработке проектов в сторону повышения общего уровня их безопасности.

Основная проблема в браузерах

На прошедшем в марте очередном конкурсе "взломщиков" Pwn2Own 2010 в Ванкувере были успешно взломаны практически все ведущие браузеры. Устоять удалось лишь Google Chrome (справедливости ради отметим, что накануне была выпущена обновленная версия данного браузера, и у специалистов просто не было времени на поиск уязвимостей). По словам Чарли Миллера, двукратного победителя данного конкурса, большинство проблем с безопасностью связано именно с браузерами. И это мало зависит от того, какая операционная система используется. "Linux не сложнее, а фактически возможно и проще, хотя кое-что зависит от разновидности Linux, о которой вы говорите… Уязвимости – в браузерах, и большей частью те же браузеры, что работают под Linux, работают и под Windows"", - говорит Миллер. При этом наиболее безопасной связкой для работы в интернете он считает Chrome или IE8 на Windows 7. И добавляет: "Главное – не устанавливать Flash!"

Несмотря на то, что браузер Microsoft Internet Explorer постепенно сдает свои позиции, он продолжает оставаться самым востребованным на рынке. С выходом восьмой версии браузер был значительно улучшен в плане безопасности. По результатам исследования компании NSS Labs, Internet Explorer 8 стал самым безопасным браузером с точки зрения защиты от программ-шпионов и воровства личных данных с компьютеров пользователей. Этого удалось добиться благодаря новейшим технологиям безопасности, в том числе встроенному фильтру SmartScreen. По данным Microsoft, с марта 2009 года Internet Explorer 8 заблокировал действие более 350 млн вредоносных программ и предотвратил переходы на более 125 млн фишинговых сайтов.

Однако не стоит оценивать ситуацию столь однозначно. Проигрывая IE в плане безопасности, разработчики Firefox, Chrome и Opera активно исправляют бреши в системах безопасности своих браузеров и более оперативно выпускают обновления. Ряд экспертов считает, что в целом Chrome и Firefox все-таки превосходят IE в плане защищенности. В частности, в Firefox более полно реализованы механизмы защиты от переполнения буфера, что позволяет предотвращать связанные с этим популярные атаки, а в Chrome используется механизм "песочницы", благодаря которому выполняющиеся в браузере операции отделены от других процессов, операционной системы и пользовательских данных, что значительно усложняет процесс проникновения в систему.

В целом же уровень безопасности браузеров продолжает оставаться довольно низким. Это означает, что пользователям интернета не стоит пренебрегать специализированными программами для защиты, благо большинство из них представляет собой комплексные средства обеспечения информационной безопасности, защищая как от вирусов, так и от сетевых атак, спама, фишинга и шпионского ПО. Также не стоит забывать и о своевременной установке всех критических обновлений для всего спектра ПО, используемого в повседневной работе. Самим же пользователям стоит быть более внимательными и стараться избегать действий, которые могут представлять угрозу информационной безопасности.

Источник