Письмо Билла Гейтса о безопасности в мире интернета

В наше время общение и бизнес все больше и больше зависят от интернета, поэтому все острее становится потребность в безопасной компьютерной платформе. Вместе с огромными преимуществами, которые несет повышение взаимосвязности мира, растет и угроза безопасности, причем масштабы этой угрозы мало кто предвидел в полной мере.

Каждый, кто пользуется компьютером, знает, что конфиденциальности, целостности и доступности данных и систем угрожает множество опасностей, начиная с атак хакеров и кончая сетевыми вирусами-червями. Причем нарушение безопасности чревато серьезными потерями. Хотя многие компании не сообщают об атаках, которым они подвергаются, а иногда и не замечают их, в последнем обзоре Института компьютерной безопасности и Федерального бюро расследований, посвященном компьютерной преступности и безопасности, отмечено, что финансовый ущерб от них в 2001 г. только в США составил более 455 млн долларов. 74% обследованных компаний указали, что атаки были направлены в основном на подключение к интернету.

Как лидер компьютерной отрасли, корпорация Microsoft обязана помочь своим клиентам в решении этих проблем, чтобы им не приходилось выбирать между безопасностью и удобством. Но эту задачу не решить в одночасье. Поскольку атаки на компьютерные сети становятся все более изощренными, нам приходится вносить усовершенствования в различных областях, включая управление правами, шифрование с открытыми ключами, аутентификацию и улучшение защиты сетей и компьютеров, чтобы пользователи могли спокойно работать со своей информацией.

Год назад я поставил перед 50 000 сотрудников Microsoft задачу предоставить потребителям «защищенные информационные системы» (Trustworthy Computing), в которых компьютерные технологии были бы так же надежны, как электрические устройства, которые обслуживают нас дома и на работе. Стремясь к основной цели — созданию продуктов, сочетающих в себе новейшие достижения с гарантированной предсказуемостью, — мы сосредоточили основные усилия на четырех направлениях: безопасности, конфиденциальности и надежности поставляемых нами систем. За прошлый год нам удалось существенно продвинуться на всех этих фронтах. В частности, я хотел бы сообщить о достигнутых нами успехах и еще не решенных проблемах в области безопасности. Надеюсь, что эта информация окажется полезной для подписчиков рассылки Microsoft Executive Emails.

Для реализации всего потенциала компьютеров в области развития электронной коммерции, внедрения новых видов связи и повышения производительности необходимо резко усилить компьютерную безопасность. В результате общения с потребителями и наших собственных исследований мы поняли, что нужна базовая структура для поддержки всех тех новшеств, наиболее современных процессов и перемен в мировоззрении, которые необходимы для принципиального повышения безопасности наших программных продуктов. В прошлом году мы разработали новые методики проектирования продуктов, приемы написания кода, процедуры тестирования и технологии борьбы с нарушениями безопасности и поддержки продуктов, которые обеспечивают такую базовую структуру.

Безопасность в архитектуре. В начале 2002 г. мы пошли на беспрецедентную меру: на 10 недель приостановили работы над Windows, в которых участвовало 8500 программистов, и провели интенсивные учебные занятия по компьютерной безопасности, а также проанализировали базу кодов Windows. Хотя формально программистов учат разработке средств безопасности, умению писать безопасный код уделяется очень мало внимания. Поэтому все разработчики Windows, а также несколько тысяч разработчиков программного обеспечения в других подразделениях компании прошли специальное обучение, в программу которого входили программирование программ с повышенным уровнем безопасности, методы тестирования и моделирование атак. В процессе моделирования атак, которое редко используется в нашей отрасли, руководители проектов, программисты и тестеры учились ставить себя на место «противника». Добрая половина всех дефектов, обнаруженных в ходе проверки безопасности Windows, была найдена при анализе атак.

Нам также удалось добиться значительного прогресса в уменьшении объема кода, обеспечивающего безопасность продуктов, и в совершенствовании методов проверки больших массивов кода. Поскольку тестирование отнимает много времени и средств, важно, чтобы программные дефекты выявлялись на самом раннем этапе разработки. Для определения оптимального порядка и объема тестирования в цикле разработки корпорация Microsoft разработала систему, в которой заданный набор операций тестирования программы сортируется по важности в зависимости от того, какие изменения были внесены в эту программу. Система может обрабатывать большие программы, содержащие миллионы строк исходного кода, и выдавать результаты за считанные минуты, тогда как раньше для этого требовалось несколько часов или даже дней.

Мы провели небывало интенсивные исследования в области безопасности, и это начало приносить свои плоды: уязвимые места в наших продуктах постепенно устраняются с помощью таких дополнений, как Windows XP Service Pack 1. Кроме того, мы подвергли пакет Visual Studio .NET крайне придирчивой проверке с точки зрения безопасности, включая моделирование атак, и в ближайшие месяцы — в соответствии с концепцией «защищенных информационных систем» — проведем такой же анализ безопасности других важнейших продуктов: Windows Server 2003, следующих версий SQL Server и Exchange Server, а также Office 11.

В перспективной разработке у нас находится новая аппаратная и программная архитектура для платформы Windows PC (первоначальное наименование «Palladium»), которая позволит существенно повысить степень целостности, конфиденциальности и безопасности компьютерных систем за счет устранения многих «слабых звеньев». Например, в настоящее время любой может просмотреть содержимое памяти графической карты, что, разумеется, нежелательно, если эта память содержит сведения о банковских операциях пользователя или другую секретную информацию. Одной из особенностей новой системы должна стать «зашторенная» память — страницы памяти, отгороженные от других приложений и даже от операционной системы во избежание тайной слежки. Кроме того, должна быть обеспечена безопасность на всем пути от клавиатуры до монитора. Данная технология также будет удостоверять надежность данных и «герметично» сохранять их, так что ценная информация будет доступна только уполномоченным программным компонентам.

Безопасность по умолчанию

В прошлом функции программных продуктов обычно бывали по умолчанию включены, если существовала хоть какая-то вероятность, что пользователь захочет применить эту функцию. В настоящее время мы изучаем, в каких случаях начальные параметры продуктов лучше заблокировать, так чтобы по умолчанию были установлены наиболее безопасные режимы. Например, в будущей версии Windows Server 2003 службы индексации содержимого (Content Indexing Service), доставки сообщений (Messenger) и NetDDE будут по умолчанию отключены. В Office XP по умолчанию запрещены макросы. В Office XP SP1 по умолчанию отключено выполнение VBScript. Кроме того, в Internet Explorer запрещено отображение фреймов для зоны ограниченных сайтов, благодаря чему уменьшаются возможности использования для атак механизма фреймов в электронных сообщениях формата HTML.

Безопасность при работе

Чтобы облегчить пользователям безопасное использование наших продуктов, в прошлом году мы обновили и значительно расширили наш набор средств обеспечения безопасности. Индивидуальные пользователи и представители малого бизнеса всегда могут получить самые свежие исправления в области безопасности с помощью функции автоматического обновления программы Windows Update. В прошлом году мы представили службу Software Update Services (SUS) и продукт Systems Management Server 2.0 SUS Feature Pack, облегчающие работу с исправления в области безопасности для крупных организаций. Выпущена также бесплатная программа Microsoft Baseline Security Analyzer, которая проверяет наличие всех обновлений безопасности, ищет в конфигурации системы неправильные или неудачные настройки безопасности и сообщает пользователям, как устранить обнаруженные дефекты. Опубликованы директивные документы для Windows 2000 и Exchange, благодаря которым потребители смогут настраивать и развертывать эти продукты с большей степенью безопасности. Кроме того, вместе с рядом наших крупных клиентов мы работаем над внедрением смарт-карт как одного из средств устранения слабого звена, связанного с паролями. В корпорации Microsoft удаленный доступ уже осуществляется с помощью смарт-карт, и мы надеемся, что через некоторое время большинство организаций перейдет на систему идентификации с помощью смарт-карт.

Связь с потребителями

Чтобы лучше информировать наших клиентов о проблемах безопасности, мы произвели в прошлом году несколько важных изменений. Отзывы клиентов показали, что наши бюллетени безопасности были рассчитаны на специалистов по информационным технологиям, а рядовым пользователям казались излишне подробными. Кроме того, клиенты считают, что описания проблем безопасности должны быть более дифференцированными, чтобы можно было быстро выбрать наиболее важные. В ответ на эти пожелания корпорация Microsoft в сотрудничестве со специалистами в данной отрасли разработала новую систему классификации важности проблем безопасности и начала выпускать бюллетени для потребителей. Разрабатывается и система рассылки информации по электронной почте, в результате чего клиенты смогут подписываться на те бюллетени, которые им необходимы.

Что будет дальше

В прошлом десятилетии компьютеры и сети стали неотъемлемой частью деловой и повседневной жизни. В цифровом десятилетии, в которое мы вступаем сейчас, к Интернету будут подключены миллиарды интеллектуальных устройств. И это фундаментальное изменение принесет с собой не только огромные возможности, но и новые постоянно растущие опасности.

Хотя в прошлом году было сделано много, осталось сделать еще больше — и в Microsoft, и во всей нашей отрасли. В 2002 г. мы вложили более 200 миллионов долларов в совершенствование безопасности Windows и гораздо больше — в работы над безопасностью других продуктов. В новом году мы продолжим сотрудничество с клиентами, государственными учреждениями и партнерами по отрасли для выпуска более безопасных продуктов и распространения нашего опыта и знаний в области безопасности. Вместе с тем наши клиенты могут помочь себе сами. Для этого необходимо:

использовать обновление программ по мере их выхода;
использовать антивирусное программное обеспечение и постоянно обновлять его;
применять брандмауэры.

Это далеко не все, что я хотел бы рассказать о наших инициативах в области безопасности. Если вы стремитесь узнать больше, ниже вы найдете дополнительную информацию и ссылки, которые помогут вам сделать свои компьютерные системы более безопасными.

Источник: Компания Майкрософт