Procedury bezpieczeństwa Microsoftu okiem zawodowego hakera

Procedury bezpieczeństwa Microsoftu okiem zawodowego hakera

Dominik Dałek
07.08.2011 12:58, aktualizacja: 07.08.2011 20:31

Zakończona w tym tygodniu konferencja Black Hat obfitowała w interesujące informacje. Dominowały tematy świeże, takie jak bezpieczeństwo Chrome OS czy nowy, proaktywny plan Microsoftu mający na celu poprawienie bezpieczeństwa Windows, ale wśród prezentacji znalazła się też jedna sięgająca blisko pięć lat w przeszłość.

Podczas swojego panelu, Chris Paget opisała swoje doświadczenia z testowania bezpieczeństwa Windows Vista tuż przed wydaniem systemu. Zajmująca się bezpieczeństwem firma Recursion Ventures, której Paget jest głównym hakerem, została zatrudniona przez Microsoft do testów penetracyjnych systemu. Chris przyznaje, że nie jest miłośniczką systemów operacyjnych z Redmond i podchodziła do pracy sceptycznie, mając niskie oczekiwania i nie najlepszą opinię na temat podejścia giganta do bezpieczeństwa.

Paget zaczęła od opisu dziwnych sytuacji z początku współpracy z Microsoftem, który po raz pierwszy zdecydował się na współpracę z zewnętrznymi firmami specjalizującymi się w testach bezpieczeństwa. Szybko jednak przekonała się, że podejście korporacji do bezpieczeństwa jest bardzo trzeźwe, a negatywna opinia zdecydowanie niezasłużona. Z jej relacji wynika, że przy tworzeniu Visty bezpieczeństwo było traktowane jak trwający proces, a nie jeden z podpunktów na pudełku z produktem.

Praca Chris Paget pozwalała na podejście do kwestii analizy bezpieczeństwa z dowolnego kierunku — od analizy kodu po wywiady z programistami — i korzystała z tych możliwości chętnie. Efektem jej pracy było nie tylko wykrycie (i naprawienie) wielu błędów, ale i opóźnienie startu systemu, którego koszt Microsoft szacował na ćwierć miliona dolarów. Jednakże jak mówi ekspertka, producent uznał tę opcję za zdecydowanie korzystniejszą od publikacji produktu z błędem.

Niestety nie wszystkie interakcje odbywały się bez tarć. Paget opisała m.in. sytuację, w której zdecydowała się opublikować informację o błędzie, na który nie było jeszcze łaty. Starała się w ten sposób uchronić produkt przed wydaniem z rażącą usterką. Choć sama bała się pozwu i wiedziała, że autor wadliwego kawałka kodu boi się o swoją pracę, cała przygoda zakończyła się szczęśliwie — nikt nie ucierpiał, a błąd naprawiono.

W związku z doświadczeniami całą sytuację nazwała ryzykowną dla wszystkich zaangażowanych stron, ale uważa, że było to znakomite posunięcie ze strony Microsoftu i przekonało ją, że do kwestii bezpieczeństwa podchodzi się w korporacji poważnie. Nic nie jest w pełni bezpieczne — powiedziała — ale Vista była krokiem we właściwym kierunku.

Podobną opinię podzielają organizatorzy Pwnie Awards, który w 2008 roku nominowali Vistę w kategorii Most Epic FAIL. Porażką, ich zdaniem, nie był sam system, a dowód, że bezpieczeństwo jest ciężko sprzedać. Setki milionów dolarów poświęcone na bezpieczeństwo nie przekonały konsumentów do Visty, która „uprzykrza” życie komunikatami UAC (tak chętnie wyłączanymi). W tej sytuacji eksperci bezpieczeństwa mają zapewnioną pracę na długie lata.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (91)