Microsoft: новый уровень безопасности достигнут, но успокаиваться рано
В январе 2002 председатель совета директоров Microsoft Билл Гейтс (Bill Gates) дал старт инициативе «Trustworthy Computing», выпустив обращенный ко всем сотрудникам компании меморандум со словами: «чтобы оправдать и сохранить доверие наших клиентов, Microsoft предстоит реализовать немало изменений на всех уровнях – от разработки программного обеспечения до технической поддержки, операционных и деловых практик».
Потребители и корпоративные пользователи по-прежнему сталкиваются с проблемами безопасности программного обеспечения в целом, но Microsoft приложил немало усилий к их устранению и во многих отношениях задал новые стандарты разработки, защиты и технической поддержки ПО.
На этот путь компания вступила не по собственному желанию. Софтверного гиганта вынудили к этому хакеры, аналитики проблем безопасности и создатели вирусов. Двойной удар со стороны червя Code Red и Nimda в 2001 году убедил Microsoft, что меры, которые до сих пор принимались для обеспечения безопасности программных продуктов, оказались не эффективны.
«К сожалению, производители задумываются об укреплении безопасности только после того, как набьют себе шишек, – что произошло и с Microsoft», – комментирует Марк Мейфрет (Marc Maiffret), главный технический директор eEye Digital Security и один из аналитиков, сумевших расшифровать червь Code Red.
Вскоре после запуска инициативы «Trustworthy Computing» произошла атака червя Slammer, в ходе которой, как тогда сообщалось, менее чем за 10 минут было заражено 90% уязвимых серверов под управлением Microsoft SQL Server. В том же году червь MSBlast (Blaster) снова напомнил компании об актуальности проблемы безопасности, заразив более 25 миллионов компьютеров.
«Для нас это был переломный момент, – вспоминает Тим Рейнс (Tim Rains), директор Microsoft по инициативе «Trustworthy Computing». – Мы уже приступили к достаточно серьезной работе из-за SQL Slammer, но Blaster буквально поставил на уши всю компанию».
Жизненные циклы безопасной разработки, своевременный выпуск исправлений и обновлений, широкое распространение программных функций безопасности, включая предотвращение выполнения данных и технологию Address Space Layout Randomization (ASLR), – сегодня это актуально для всех современных операционных систем, во многом благодаря тем усилиям, которые Microsoft прикладывает для обеспечения безопасности Windows и других своих программных продуктов. Компания не является изобретателем большинства перечисленных технологий, но сумела усовершенствовать самые важные принципы и сделать их стандартной практикой.
О результатах этих усилий можно судить по последней статистике. В декабре, к примеру, Microsoft опубликовал сведения о количестве уязвимостей, выявленных с 2004 года, когда компания начала оценивать степень опасности ошибок, допущенных в ее программном обеспечении. С 2006 года количество критических уязвимостей в программных продуктах вендора неуклонно снижалось, за исключением одного года. В прошлом году был зафиксирован самый низкий с 2005 года уровень критических уязвимостей.
Microsoft предстоит еще много работы в этом направлении, отчасти из-за сохранения обратной совместимости с более старыми – и менее безопасными – программными продуктами и стандартами. Вирусы, троянцы и шпионское ПО по-прежнему остаются актуальной проблемой, но главным образом потому, что злоумышленники тоже не стоят на месте и придумывают все новые способы, позволяющие им обманом вынуждать некоторое количество пользователей добровольно запускать вредоносные программы.
На фоне программной отрасли в целом, за прошедшее десятилетие Microsoft удалось завоевать огромное доверие пользователей. По этому показателю инициатива, несомненно, оказалась успешной.
