Конец журнала 15.02.02

На первую страницу

В прошлом месяце Билл Гейтс издал по компании служебную записку, определяющую новое стратегическое направление для Microsoft. Сравнивая ее с изменениями, когда Компания захватила Internet, Гейтс определяет защиту, как высший приоритет Microsoft. Фокусируя на том, что он назвал "Вычисления, заслуживающие доверия", Гейтс планирует преобразовывать Microsoft в компанию, которая производит программное обеспечение, которое является доступным, надежным, и безопасным. "Мы должны перевести промышленность на новый уровень надежности в обработке" - написал Билл Гейтс в служебной записке 15 января 2002.

Доверие это не то, что может быть выдано; это должно быть заработано. И надежность является достойной целью при обработке. Но в отличие от выполнения цели или списка характеристик, прогресс в этом отношении трудно измерить. Как вы можете определить, что одна часть программного обеспечения более безопасная, чем другая? Или определить, что в одном случае целостность данных лучше, чем в другом? Или для данной задачи определить, что менее вероятно содержание в ней необнаруженных уязвимых мест? Как нам узнать это, что Microsoft действительно принял обязательство о безопасности, или это просто заявление для прессы и публика? Это не так же легко, как проверить точность часов; проблемы безопасности часто не проявляются в опытной эксплуатации.

Как давние эксперты безопасности, мы хотели бы посоветовать несколько конкретных путей, чтобы оценить прогресс Microsoft в обеспечении надежности. Эти специфические и измеримые изменения, которые мы могли бы делать подобно Microsoft. Это не представляет полный список; построение безопасного программного обеспечения требует большего, чем то, что мы рекомендуем здесь. Наша цель показать список проверяемых рекомендаций, чтобы общество могло обсудить искренность Microsoft.

Некоторые наши рекомендации должны осуществляться легче, чем другие, но если Microsoft серьезно заботится о безопасности и хочет руководствоваться истинной, он не может уклоняться от любой из них. Некоторые наши предложения легче для проверки, чем другие, но это наша цель, чтобы все они были независимо измеримы. В конце концов, заявления и сообщения для печати не означают ничего. Для безопасности, какие-то материалы являются необходимыми результатами.

Если мы можем превратить наши рекомендации в единственную парадигму, это дает нам простоту. Сложность - наихудший спутник безопасности, и системы, загруженные большим числом характеристик, возможностей, и вариантов выбора, значительно менее безопасны, чем простые системы, которые делают несколько вещей надежно. Ясно, Windows всегда была сложной операционной системой. Но есть вещи у Microsoft, которые сделаны так, что они просты и более безопасны. Microsoft должен направить своих программистов на проектирование сразу же безопасного программного обеспечения в новых продуктах.

1. Разделение пути Data/Control

Он прав. И одной из самых простых, прочных, и безопасных моделей является осуществление жесткого разделение данных и кода. Смешение данных и кода ответственно за очень многие проблемы безопасности, и Microsoft был самый злостный правонарушитель Internet. Имеется один пример: Первоначально, электронная почта была только текстовая, и вирусы в электронной почте были невозможны. Microsoft изменил это, при наличии клиентуры почта автоматически выполняет команды, внедренные в e-mail. Это проложило путь к электронной почте вирусам, подобным Melissa и LoveBug, и это автоматически распространялось людьми в записных книжках жертв. Microsoft должен полностью изменить ущерб защиты, удаляя эти функциональные возможности для клиентуры электронной почты и многое другое из программ. Это твердое разделение данных от кода должно примениться ко всем программам.

Microsoft создал проблему, размывая различие между рабочим столом и Internet. Это вело к многочисленным уязвимостям защиты, основанным на использовании по-разному различных частей операционной системы и системных ресурсов. Microsoft должен повторно проверить эти проектные решения.

Мы рекомендуем использовать такие модификации в следующем выпуске программ Microsoft. Короче: проиллюстрируйте воздействия, и обеспечьте среду. Это должен быть выпуск, сконцентрированный только на удалении опасных особенностей и добавлении защиты.

Офис: Макроопределения не должны хранится в документах Офиса. Макроопределения должны храниться отдельно, как шаблоны, которые не должны быть запускаемыми. Программы должны обеспечивать визуальный интерфейс, который используется потребителем, и который использует макроопределения. Но должны быть ограничения, которые не должны быть корпоративным макроопределениями.

Internet Explorer: IE должен поддерживать полное разделение данных и управления. Java и JavaScript должны быть модифицированы, так чтобы они не могли использовать внешние программы на произвольных путях. ActiveX должен устранить все элементы управления, которые выделены в "сейф для описания".

E-mail: приложения E-mail не должны поддерживать создание сценария. (По крайней мере, они должны прекратить поддерживать его по умолчанию). Сценарии E-mail должны быть приложены как отдельное добавление MIME (набор стандартов для передачи мультимедийной информации посредством электронной почты). Должны иметься ограничения на макрокоманды, которые допускаются общим отделом информации.

.NET: .NET должен иметь ясное указание на то, как он может действовать и как не может. Общество узнало много о мобильном Java коде, используемым для безопасности. Мобильный код очень опасен. Для мобильного кода, чтобы сохраняться, должна быть переработана безопасность, как первичная характеристика.

Реализация Microsoft SOAP (Sunflower Oil Assistance Program), протокола, просматривающего HTTP так, чтобы обойти брандмауэр (аппаратно-программные средства межсетевой защиты), должна быть убрана. Согласно документация Microsoft: "Поскольку SOAP используется HTTP как транспортный механизм, и наилучшие брандмауэре (firewall) позволяют HTTP передавать через них, Вы не будете иметь проблемы, вводящие конечные точки SOAP или стороны firewall". Это точно такая характеристика выше настроенной безопасности, которую нужно использовать. Это может быть, что SOAP предлагает механизмы достаточного обеспечения, соответствующего разделения кода и данных. Тем не менее, Microsoft продвигает это для своей исключительной безопасности.

II. Встроенные в конфигурации "Наши изделия должны подчеркнуть право защиты блока" - из записки Гейтса.

К тому же, характеристики должны быть устанавливаемыми поодиночке. В UNIX, например, сервер Web и ftp сервер разные, и должны быть установлены отдельно. С IIS, устанавливающим Web сервер, не только устанавливает Web сервер, но также и ftp сервер, и сервер, производящий бессистемную разведку, и Билл сам, вероятно, не знает, что еще.

Этого не достаточно, чтобы давать потребителям возможность выключать ненужные характеристики. Потребители даже не знают, какие характеристики включены, какие могут становиться ими, и характеристики могли случайно стать включенными. Наилучшее предотвращение для атаки против этих характеристик было бы, чтобы их там не было.

Мы рекомендуем, чтобы следующая версия всех продуктов Microsoft имела, по возможности, минимальное число установленных характеристик, а дополнительные характеристики устанавливались отдельно. Мы также рекомендуем, чтобы эта установка была видимой потребителю, и потребитель знал бы, что характеристики установлены. Мы рекомендуем Microsoft проверить, что все характеристики могут быть установлены и модифицироваться отдельно, так же, как в хороших общих пакетах. Мы рекомендуем, чтобы ненужные характеристики не были установлены, а установленные были выведены из строя. Должно быть реализовано дополнительное средство управления, чтобы дать возможность некоторым разделам не устанавливать общие характеристики.

III. Разделение протоколов и программ

"Поскольку программное обеспечение стало более комплексным, взаимозависимым и связанным, репутация нашей компании в свою очередь стала более уязвимой", отмечено в записке.

Сегодня Microsoft компонует больше комплексных услуг, которые смешиваются со многими другими услугами. Например, Microsoft совместно использует разделение протоколов, поддерживает совместное использование разделения файлов, совместное использование системного реестра, отдаленное редактирование, совместное использование принтера, управление паролем, и является хозяином других услуг. Если пользователь хочет одну из этих услуг, он должен осуществить их все. Эта потребность разбиения на отдельные услуги, отдельные файлы программного обеспечения так, чтобы пользователь мог выбирать, что и где установить. Отсутствие этого приводит к тому, что сложность программного обеспечения растет к очевидно опасным уровням.

Мы рекомендуем, чтобы Microsoft отделил функциональные возможности так, чтобы пользователь мог установить только определенные функции, в которых он нуждается. Мы также рекомендуем Microsoft обеспечивать это, и позволять другим обеспечивать, ряд "пред - связанных" функций. Большинство пользователей не хочет устанавливать индивидуальные функции, и будет полагаться на другие, чтобы сообщить им, в чем они нуждаются. Отсутствующие приводят к тому, что, сложность программного обеспечение растет до небезопасных уровней.

IV. Построение безопасного программного обеспечения

"Теперь, когда мы сталкиваемся с выбором между дополнением характеристик и разрешением безопасности, нам нужно выбирать безопасность". – Из записки Гейтса.

V. Прозрачность и возможность проверки

"Если есть разные пути, мы можем лучше защитить важные данные и минимизировать простые, мы должны сфокусироваться на этом". - Из записки Гейтса.

VI. Авансовая публикация протоколов и проектов

VII. Включение общества

Статья Гейтса, 15 января 2002.

Вывод

"В конечном счете, наше программное обеспечение должно быть коренным образом безопасным для клиентов, чтобы они никогда даже не заботились об этом". - Из записки Гейтса.

Наши рекомендации никоим образом не исчерпывающие. Они в значительной степени более вовлечены в строительство безопасного программного обеспечения, чем семь пунктов, которые мы здесь указываем. Эти пункты должны быть около этапов срока; это рекомендации более о реализации, чем об архитектуре. Буфер