Спецпроекты

Microsoft и open-source сражаются за безопасность

ПО Свободное ПО
Одним из главных аргументов, выдвигаемых сторонниками перехода на open-source, является более высокая степень безопасности данных решений. Исследования, посвященные этому вопросу, как подтверждают, так и опровергают этот тезис.

Не только Microsoft и Apple, но и другим ведущим разработчикам ПО стоит больше внимания уделять безопасности своих продуктов. Хакеры уже не так активно эксплуатируют уязвимости в операционных системах, предпочитая сконцентрироваться на пользовательских приложениях. Например, в отличие от Microsoft, Adobe не так сильно заботится о регулярных обновлениях для своей технологии Flash, поэтому и использовать данные уязвимости проще. В настоящее время именно веб-приложения становятся главной целью злоумышленников, а активное распространение контента через социальные сети, такие как Facebook, представляет достаточно серьезную угрозу безопасности.


На очередном конкурсе "взломщиков" Pwn2Own 2010 в Ванкувере были успешно взломаны практически все ведущие браузеры

Теперь посмотрим, как обстоят дела с безопасностью в набирающих все большую популярность открытых продуктах.

Насколько надежнее open-source-решения?

Наиболее известные и широко используемые open-source-продукты (Apache, MySQL) обладают очень высоким качеством, низким числом ошибок и уязвимостей. В то же время, ряд проведенных исследований показал, что, например, Linux-серверы уязвимы не менее Windows-серверов, а зачастую и гораздо больше. Очень часто отмечается тот факт, что безопасность Linux-системы сильно зависит от выбора дистрибутива Linux, версии ядра и опыта ИТ-персонала, производящего развертывание и сопровождение системы. При этом главной причиной большего числа успешных атак на Linux-серверы аналитики называют не недостатки самой системы, а неправильную ее конфигурацию и ошибки администрирования.

Анализ безопасности Linux и Windows продолжает порождать многочисленные дискуссии о том, что же предпочтительнее – ОС с открытым или закрытым кодом. Логически, операционная система, основанная на открытых стандартах и открытом коде, делает доступным межсетевое взаимодействие, упрощает обнаружение и исправление уязвимостей, и такая система более предпочтительна, чем проприетарная модель. Принято считать, что если исходный код продукта открыт, сообщество может гораздо быстрее и эффективнее реагировать на найденные уязвимости. Можно вспомнить и слова Марка Майфретта о том, что некоторые уязвимости в продуктах Microsoft остаются не закрытыми на протяжении долгого времени, хотя представители компании обычно заявляют, что знают о данной проблеме и работают над ее устранением.

Число уязвимостей в разных типах ПО, 2010

Клиентские операционные системы Число уязвимостей
Apple Mac OS X 1261
Red Hat Linux Enterprise Desktop 5 1232
Ubuntu Linux 8.04 918
Microsoft XP Professional 351
Microsoft Windows 7 33
Серверные операционные системы
Red Hat Linux Enterprise Server 5 1150
Sun Solaris 10 905
Microsoft Windows Server 2008 157
Системы управления базами данных
Oracle Database 11 256
MySQL 5.x 45
Microsoft SQL Server 2005 18
Microsoft SQL Server 2008 0
Браузеры
Mozilla Firefox 3.5.x 79
Opera 9.x 56
Microsoft Internet Explorer 8.x 49

Источник: Secunia.com, 2010

Возможно благодаря этому, а также под влиянием пользователей и критиков, Microsoft пошла на некоторые уступки в плане доступности исходных кодов своих решений. В 2001 году была объявлена программа Shared Source Initiative, которая позволяет получить доступ к исходному коду продуктов корпорации как для изучения, так и для разработки. Доступ предоставляется в основном OEM-партнерам, интеграторам, учебным заведениям, а также государственным службам безопасности. Несмотря на то, что у данной программы достаточно жесткие критерии участия, она имеет большое число подписчиков. Однако по большей части в Shared Source Initiative применяется политика "смотри, но не трогай", что устраивает далеко не всех.

Очевидно и то, что сам по себе доступ к исходным кодам не делает систему более безопасной. Обеспечение безопасности конечного продукта представляет собой сложный и многогранный процесс, управление которым требует соответствующей методологии. Что касается качества программного обеспечения в плане его безопасности, то этот фактор мало зависит от принятой модели разработки. Код многих open-source-приложений, действительно более простой и оптимизированный, чем код коммерческих продуктов. Но в целом уровень функциональности и интегрированности коммерческих решений значительно выше, что не может не сказаться на сложности проектов. Большинство open-source-проектов не обладают такой высокой сложностью, и проблема качества у них не так обострена.

Также нельзя не отметить тот факт, что продукты Microsoft, в отличие от open-source-решений, в силу гораздо большей популярности, изначально представляли больший интерес для хакеров. Благодаря этому в Microsoft, так или иначе, научились справляться с данными проблемами, чего нельзя сказать о большинстве открытых продуктов. Постоянно сталкиваясь с массированными попытками злоумышленников эксплуатировать корректный, но небезопасный при злонамеренном использовании код, Microsoft пришлось выработать методологию разработки, позволяющую снизить риск подобных воздействий. Вполне вероятно, что рост популярности открытых решений также заставит open-source-сообщество пересмотреть подходы к разработке проектов в сторону повышения общего уровня их безопасности.

Основная проблема в браузерах

На прошедшем в марте очередном конкурсе "взломщиков" Pwn2Own 2010 в Ванкувере были успешно взломаны практически все ведущие браузеры. Устоять удалось лишь Google Chrome (справедливости ради отметим, что накануне была выпущена обновленная версия данного браузера, и у специалистов просто не было времени на поиск уязвимостей). По словам Чарли Миллера, двукратного победителя данного конкурса, большинство проблем с безопасностью связано именно с браузерами. И это мало зависит от того, какая операционная система используется. "Linux не сложнее, а фактически возможно и проще, хотя кое-что зависит от разновидности Linux, о которой вы говорите… Уязвимости – в браузерах, и большей частью те же браузеры, что работают под Linux, работают и под Windows"", - говорит Миллер. При этом наиболее безопасной связкой для работы в интернете он считает Chrome или IE8 на Windows 7. И добавляет: "Главное – не устанавливать Flash!"

Несмотря на то, что браузер Microsoft Internet Explorer постепенно сдает свои позиции, он продолжает оставаться самым востребованным на рынке. С выходом восьмой версии браузер был значительно улучшен в плане безопасности. По результатам исследования компании NSS Labs, Internet Explorer 8 стал самым безопасным браузером с точки зрения защиты от программ-шпионов и воровства личных данных с компьютеров пользователей. Этого удалось добиться благодаря новейшим технологиям безопасности, в том числе встроенному фильтру SmartScreen. По данным Microsoft, с марта 2009 года Internet Explorer 8 заблокировал действие более 350 млн вредоносных программ и предотвратил переходы на более 125 млн фишинговых сайтов.

Однако не стоит оценивать ситуацию столь однозначно. Проигрывая IE в плане безопасности, разработчики Firefox, Chrome и Opera активно исправляют бреши в системах безопасности своих браузеров и более оперативно выпускают обновления. Ряд экспертов считает, что в целом Chrome и Firefox все-таки превосходят IE в плане защищенности. В частности, в Firefox более полно реализованы механизмы защиты от переполнения буфера, что позволяет предотвращать связанные с этим популярные атаки, а в Chrome используется механизм "песочницы", благодаря которому выполняющиеся в браузере операции отделены от других процессов, операционной системы и пользовательских данных, что значительно усложняет процесс проникновения в систему.

В целом же уровень безопасности браузеров продолжает оставаться довольно низким. Это означает, что пользователям интернета не стоит пренебрегать специализированными программами для защиты, благо большинство из них представляет собой комплексные средства обеспечения информационной безопасности, защищая как от вирусов, так и от сетевых атак, спама, фишинга и шпионского ПО. Также не стоит забывать и о своевременной установке всех критических обновлений для всего спектра ПО, используемого в повседневной работе. Самим же пользователям стоит быть более внимательными и стараться избегать действий, которые могут представлять угрозу информационной безопасности.

Максим Никитин / CNews

Тема месяца

Обзор: Мобильность в бизнесе 2019

Рейтинг CNews Mobile

Крупнейшие разработчики мобильных приложений

Вгляд месяца

Уже сегодня можно перейти на онлайн-контроль бизнеса госорганами

Ольга Макрецкая

директор по учету и финконтролю «Газпром нефти»