БЕЗОПАСНОСТЬ
Гостайна обнародована на хакерских сайтах; Гостехкомиссия подтверждает безопасность Windows XP
12 февраля фрагменты исходного кода Windows NT 4.0 и Windows 2000 появились в Интернете. Два заархивированных файла размером 203 и 229 Мб, размещенные на хакерских сайтах, содержат, по утверждению Microsoft, не более 5% исходного кода. Однако в число открытых частей Windows попали такие ключевые модули, как WINSOCK (модуль работы с сетевыми ресурсами), популярный браузер Internet Explorer и почтовый клиент Outlook.
Ольга Дергунова: "Мы уверены, что утечка кода,
предоставляемого организациям в рамках
программы Government Security Program в России,
абсолютно исключена"
Представитель штаб-квартиры Microsoft опроверг слухи о взломе корпоративной сети как причине утечки и сообщил, что компания совместно с правоохранительными органами расследует, каким образом интеллектуальная собственность компании могла быть украдена. У экспертов появилось предположение о причастности к утечке фирмы Mainsoft, занимающейся портированием пакетов Microsoft Internet Explorer и Outlook на платформы Sun Solaris и HP-UX. Microsoft не комментирует это предположение, отмечая лишь, что расследование идет своим чередом.
По поводу факта утечки и ее последствий "Лаборатория Касперского" сообщила: "Исходный код многократно облегчает анализ программы для обнаружения неизвестных брешей в системе защиты, лазеек, через которые злоумышленник может проникнуть на компьютер. Кроме того, обладание этими кодами позволяет внедрять вредоносные программы на самый глубокий уровень ОС, по сути делая их частью Windows. В частности, становится возможным создание нового поколения вирусов-невидимок, контролирующих взаимодействие с антивирусами и межсетевыми экранами для сокрытия своего присутствия".
По мнению некоторых аналитиков, одним из последствий инцидента будет ускоренный переход на Linux. Но не российских чиновников.
В тот же день в Москве
Гостехкомиссия при Президенте РФ и московское представительство Microsoft сообщили о том, что операционная система Windows XP Professional (Service Pack 1a) сертифицирована по новым российским требованиям к защите информации, отвечающим международному стандарту ISO 15408, больше известному как "Общие критерии". С этой целью корпорацией Microsoft было разработано задание по безопасности, на соответствие которому испытательной лабораторией "Центр безопасности информации" и была проведена сертификация ОС. Совместная работа продолжалась 10 месяцев.
Испытания подтвердили, что реализованные в ОС функции защиты соответствуют задекларированным в задании по безопасности. И хотя уровень доверия к безопасности ОС не предполагал анализа исходных текстов программ, его достаточно для применения Windows XP Professional (Service Pack 1a) на автоматизированных рабочих местах для обработки конфиденциальной информации без применения дополнительных средств защиты от несанкционированного доступа к информации. "Единственным условием при этом является обеспечение доверенной загрузки ОС, что может быть сделано организационно", - сообщил начальник отдела лицензирования и сертификации Гостехкомиссии Юрий Попов.
Поскольку исходный код не анализировался, то обнаружено было именно то, что заявлено. При испытаниях были протестированы следующие функции безопасности ОС: аудит безопасности, защита данных пользователя, идентификация и аутентификация, управление безопасностью, использование ресурсов и блокирование сеанса.
Сертификат, выданный по результатам испытаний, подтверждает, что операционная система Microsoft Windows XP Professional (Service Pack 1a) соответствует заданию по безопасности MS.Win_XP_SP1a.ЗБ и имеет оценочный уровень доверия ОУД1, усиленный компонентом AVA_SOF.1 (оценка стойкости функции безопасности). Сертификат выдан на 300 экземпляров ОС.
На вопрос, много это или мало, глава московского представительства Microsoft Ольга Дергунова ответила так: "Для нас важно не зафиксировать процесс, а инициировать его. Если учесть, что у нас 80 министерств и ведомств, то все желающие попробовать ОС могут это сразу сделать".
Поскольку сертифицирована только ОС, а не офисный пакет, то попробовать можно в ограниченном диапазоне приложений, где ОС контролирует одну задачу на одном компьютере. Заплатка, устраняющая очередную уязвимость, обнаруженную за день до мероприятия, не может быть установлена на сертифицированную систему, и безопасность надо обеспечивать другими методами.
Заявителем сертификации выступило управление делами Президента РФ. В планах Microsoft стоит организация производства сертифицированных версий российскими компаниями. Решено также сделать задание по безопасности публичным. Компания продолжит работу с Гостехкомиссией России по сертификации других своих продуктов.
Чуть больше года назад Microsoft анонсировала программу Government Security Program (GSP), в рамках которой госструктурам предоставляется доступ к исходному коду Windows, с тем чтобы удостовериться в защищенности ОС и сертифицировать ее для работы в государственных организациях. Программа GSP распространяется на исходные коды операционных систем Windows 2000, Windows XP, Windows CE и Windows Server 2003. Россия стала первой страной, получившей доступ к исходным кодам.
Чрезвычайно маловероятно, что источником утечки исходного кода стали участники программы GSP. По некоторым (неподтвержденным) данным, исходный код, предоставляемый для сертификации в разные страны, может быть легко идентифицирован по незначительным уникальным отличиям. Кроме того, и охраняется он как государственная тайна.
