Начало журнала 15.01.02

Windows UPNP уязвимости

Crypto-Gram перепечатывает

Новости

Новости Conterpane

Сейф пароля 2.0

AGS шифрование

Конец журнала 15.01.02

На первую страницу

 

Windows UPNP уязвимость

 

 

Большой новостью в конце декабря стал дефект, обнаруженный в универсальной системе Plug and Play Microsoft, и в особенности в ряде разновидностей Windows. С одной стороны, это - "большое дело": уязвимость может позволить любому занимать целевой компьютер. С другой стороны, это только одна из многих подобных уязвимостей во всех видах программного обеспечения - Microsoft и не только Microsoft - и такая, которая имеет распространение при эксплуатации.

Имеются несколько выводов из всего этого.

Во-первых, количество публикаций не показательно для уровня серьезности, а печать - это единственный способ получить новости для публики. Эта вещь получила Nimda-подобную прессу, но не имелось данных от эксплуатации. В то время как это критичная доработка, она недостаточно серьезна, чтобы побудить "к необходимости быстрой доработки, и установки заплаты!". Рефлекс. К сожалению, публика имеет терпение ждать появления многих подобных историй. Норма на инсталляцию заплаты уменьшается, поскольку люди просто прекращают обращать внимание на данную уязвимость.

Во-вторых, Microsoft все еще недооценивает значение связи с широкой публикой. Имеется высказывание Скотта Кулпа (Scott Culp), менеджера центра безопасности Microsoft: "Это первая, связанная с сетью, компрометация, которую я знаю для системы Windows". Я было все подготовил, чтобы написать длинную напыщенную речь, называя это заявление ложью и, внося в список другие сетевые компрометации Windows - Back Orifice, Nimda, и т.д., и т.д., и т.д. - но Ричард Форно (Richard Forno) опередил меня. Читайте его превосходный комментарий относительно Microsoft и защиты.

Чтобы сражаться с этим, важно открытое и общественное обсуждение. В первых днях уязвимости, было много дебатов в прессе о том, что лучше: системы были бы уязвимы по умолчанию, как лучше всего установить проблему, и т.д. Даже ФБР пришло в действие, хотя с неправильной информацией, которую они позже корректировали. Важность здесь во множестве голосов и множестве представлений о то, что тайна не будет обеспечена. Поскольку Грэг Гуерин (Greg Guerin) прокомментировал, когда имеется пожар в операционной, Вы хотите того, чтобы многие члены аудитории насколько возможно кричали "Пожар!" быстрее, чем начнется сбор сотрудников операционной, чтобы сказать об этом. Если хирург собирается помещать это в новостях, что, вряд ли, будет объективным.

В-третьих, тайна жучка травмирует нас всех. Согласно сообщениям, eBye цифровая защита оказалась уязвима, но Microsoft сказал об этом почти двумя месяцами раньше, чем выпустила для него заплату. Что является с двух месячной задержкой? Это - простое буферное переполнение, и оно должно было бы быть исправлено в пределах нескольких дней. Задержки только увеличивают вероятность того, что кто - то эксплуатирует эту уязвимость. (Что думать, некоторое время назад я критиковал eBye за достаточно долгое ожидание выпуска заплаты для уязвимости. Показывает, как быстро они должны получить право равновесия.)

В-четвертых, Microsoft все еще платит за запудривание мозгов защите. Эта уязвимость - буферное переполнение, удобный в работе "низко висящий плод" вид, "для которого легко установить автоматические инструменты" для защиты от нее. Это не ново или тонко; буферные переполнения причиняли серьезные проблемы защите в течение десятилетий. Это - очевидная, даже глупым ослам ошибка программирования, которую любой разумный программист, осуществляя программу защиты, должен был поймать. Помните большую суету PR Microsoft относительно их безопасной инициативы Windows? Если он не может поймать этот простой материал, как он может гарантировать программное обеспечение против комплексных разъеданий и уязвимости? Это - качественно программная проблема, чиста и проста. И реальное решение - лучше программный проект, выполнение, и качественные процедуры, не больше заплат и предупреждений и официальных сообщений для печати.

И в-пятых, сложность равняется ненадежности. UPnP - комплексный набор протоколов, чтобы поддержать моментальную одно-ранговую организацию сети. Даже в случае, если никто не использует его, он установлен в связке Microsoft OSs. Даже притом, что никто не нуждается в нем, иногда он включен по умолчанию. Это "особенность" менталитета, без отношения к защите, означает, что это будет происходить снова и снова. Пока программные компании не отвечают за код, который они производят, они продолжат упаковывать свое программное обеспечение бесполезными особенностями и забывают рассматривать связанные с ними вопросы защиты.

Эта уязвимость также иллюстрирует, почему Microsoft так сильно желает тайны жучка. Аналитики промышленности такие, как Gartner, выпустили предупреждение, компании убеждены, что задержка обновления Windows XP будет увеличена "с трех до шести месяцев", чтобы убрать большее количество такого вида уязвимостей. Если бы Microsoft узнал об этой уязвимости в тайне, и установил, это в тайне, Gartner не делал бы никаких таких заявлений. Никто не был бы более знающим. (Но, конечно, если бы Microsoft узнало об этой уязвимости в тайне, какой стимул были бы у них, чтобы устранить ее быстро? Разве не было бы легче, если бы они сделали это в следующей модификации программы?)

Честно, эксперты защиты не придираются к Microsoft, потому что мы имеем некоторую основу для недовольством компанией. Действительно, недостаточные программы Microsoft - одна из причин, что мы в этом участвуем. Мы придираемся к ним, потому что они сделали больше, чтобы вредить защите Internet, чем кто - либо еще, потому что они неоднократно обращались к публике относительно защиты их программ, и потому они делают все, что они могут, чтобы убедить людей, что проблемы лежат где-нибудь, но вне Microsoft. Microsoft обрабатывает уязвимость защиты как проблемы связей с широкой публикой. Пока это не изменится, можно ожидать большее количество такого вида ерунды от Microsoft и его изделий. (Примечание к Gartner: уязвимости появляются парами в неделю, в течение многих лет..., пока люди не прекращают искать их. Ожидание шести месяцев не сделает эту OS более безопасной.)

 

Новости

<http://www.zdnet.com/zdnn/stories/news/0,4586,5100941,00.html> <http://theregister.co.uk/content/55/23480.html> <http://www.wired.com/news/business/0,1367,49301,00.html> <http://www.msnbc.com/news/675850.asp?0dm=B13QT>

Статья новостей с кавычкой Culp:
<http://www.washingtonpost.com/wp-dyn/articles/A7050-2001Dec20.html>

 

Консультации:


<http://www.eeye.com/html/Research/Advisories/AD20011220.html>
<http://www.nipc.gov/warnings/advisories/2001/01-030-2.htm>
<http://www.cert.org/advisories/ca-2001-37.html>
<http://www.microsoft.com/technet/security/bullEtin/ms01-059.asp>

Инструкция ФБР:
<http://www.computerworld.com/storyba/
0,4125,NAV47_STO66939,00.html>

Уборка ФБР:
<http://www.nandotimes.com/technology/story/210127p-2028258c.html>
<http://www.computerworld.com/storyba/
0,4125,NAV47_STO67069,00.html>

Комментарий Gartner:
<http://news.cnet.com/news/0-1003-201-8254545-0.html?tag=prntfr>

Комментарий Форно:
<http://www.infowarrior.org/articles/2001-15. html>

Комментарий Гибсона:
<http://grc.com/UnPnP/UnPnP.htm>

Другой анализ:
<http://www.securityfocus.com/columnists/50>
<http://www.internetnews.com/dev-news/article/0,10_945371,00.html>

 

Авторское право © 2002 Counterpane Internet Security, Inc.

Русский материал Малютина А.

Следующая страница

Сайт управляется системой uCoz