Microsoft: оценивайте программные ошибки Vista не так серьезно
«Охотникам за программными ошибками» компании Microsoft необходимо устранить из Windows Vista ряд слабых мест и немного по-другому оценить уязвимые места в работе системы, поскольку задействованы новые параметры принудительной защиты ОС, соответствующие требованиям системы защиты развития жизненного цикла (SDL).
Майкл Говард, старший управляющий программы защиты, действующей в рамках группы разработок защиты Microsoft, сказал, что в рейтинговых планах уязвимости ОС Vista Центр ответственности за безопасность Microsoft (MSRC) является слишком консервативным. Дело в том, что Vista включает в себя технику и технологию безопасности, которая отсутствует в XP, и поэтому MSRC должен пересмотреть свою систему оценки Vista, поскольку уязвимость одинаково присуща и новой ОС Microsoft'а, и ее предшественнику Windows XP.
"Понятно, что сотрудники MSRC достаточно консервативны, и скорее будут искать ошибки у людей, пользующихся обновлением программного обеспечения, чем пытаться занизить зависимость от ошибок в программе," – заявил Говард на прошлой неделе на своем персональном блоге. "Не удивляйтесь, если вы обнаружите ошибку, которая, скажем, важна для XP и для Windows Vista, при всем при том, что Windows Vista имеет несколько больше возможностей защиты и подавления."
ОС, выпущенная в январе, включает в себя ряд новых особенностей системы защиты, в числе которых выбор памяти со случайным доступом, код проверки при переполнении буфера, а также разрешение пользователя проводить потенциально рискованные операции.
Неудивительно, что MSRC отвергает аргументы Говарда. "Windows Vista не будет оцениваться как-то иначе, и рейтинги строгости в оценке ошибок для любого элемента будут основываться на характере уязвимых мест и достоинствах, и одновременно факторах технического упрощения," – прокомментировал представитель MSRC. - "Данный процесс един для всей продукции компании Microsoft."
Хотя бюллетени MSRC по вопросам безопасности могут квалифицировать серьезность программных ошибок как характерных для специфических конфигураций, сообщает ComputerWorld, их рейтинговая система имеет достаточно ясные очертания. Если самотиражирующаяся вирусная Интернет-программа может распространяться без участия пользователя – в данном случае MSRC использует термин «критическая» – на Vista, то, несмотря на все характерные для Vista особые технологии безопасности, уязвимость будет весьма очевидна.
Аналитики и специалисты по вопросам безопасности, не работающие в Microsoft, придерживаются мнения MSR и критикуют высказывания Говарда.
"Использование удаленного кода запуска до сих пор остается использованием удаленного кода запуска," – говорит Йоханнес Ульрих, ведущий специалист в области исследований института SANS.
"[Windows] либо имеет уязвимые места, либо нет," – комментирует Марк Майффрет, старший технический специалист компании eEye Digital Security. "Vista имеет несколько временных решений, но большинство из них уже неэффективно. К счастью, [Microsoft] не будет поступать настолько беззаботно, чтобы занижать уязвимость Vista."
В отличие от Майффрета, другие специалисты и аналитики отдают должное Vista за ее повышенную безопасность. Однако многие из них делают примечание, что новые свойства безопасности не обязательно означают их применение. "Их можно включать, а можно и нет," – говорит Джон Пескатор, аналитик Gartner Inc. – "Пользователей можно попросту надуть, а хакеры обойдут систему защиты. Определенно, Microsoft не сможет изменить существующее положение дел."
Оливер Фридрихс, старший руководитель группы по вопросам безопасности Symantec Corp., соглашается с данным высказыванием. "Если история прошлого о чем и говорит, так это о том, что использование больше похоже на искусство, чем на науку," – говорит Фридрихс. "Хакеры в прошлом нашли способы обходить системы защиты и пользуются уязвимыми местами. [Контроль аккаунта пользователя (User Account Control)], к примеру, не представляет собой препятствия, как это могло бы кому-либо показаться. Даже Microsoft говорит об этом."
Microsoft также говорит о том, что Vista подтвердит свою безопасность в сравнении с любыми другими ранними версиями Windows, и тем самым разделяет мнение Говарда. "Помяните мое слово: в последующие 2 года мы увидим значительно меньшее количество критических мест в ОС, если будем делать сравнение с Windows XP, возможно даже на 50%, и на 30% снизится количество серьезных недостатков."
Прогнозы Говарда согласуются с последними оценками руководителей Microsoft, включая Бена Фази, бывшего руководителя группы безопасности Microsoft, а ныне – руководителя группы по развитию базы ОС Windows. В прошлом месяце Фази поставил цель устранить в течение первого года работы Vista наполовину меньше уязвимых мест, чем у XP за ее первые 12 месяцев.
"Почему я делаю такие заявления?" – спрашивает Говард. – "Я знаю, что SDL работает, и мы продолжим со временем развивать SDL, изучив новые виды недостатков и новые виды защиты."
Ульрих продолжает утверждать, что количество уязвимых мест в Vista значительно сократится, но по совершенно другим причинам. "Низкие сборы с продажи инсталляционных пакетов Vista [означает то, что] пока Vista не наберет популярность, ей придется довольствоваться тем же малым вниманием со стороны хакеров, как и OS X."
