БЕЗОПАСНОСТЬ
Корпорация Microsoft, известная жестким регулированием, если не сказать полной закрытостью внутренних процессов безопасности, наконец-то изменила отношение к этому вопросу. Недавно она пригласила небольшую группу хакеров в свой редмондский городок, чтобы те на виду у собравшихся специалистов совершили попытку взлома. Все это делалось на мероприятии под названием Blue Hat V2 ("Синяя шляпа, вариант 2"), где хакеры "в белых шляпах" вместе с сотрудниками корпорации старались найти уязвимые места различных систем. За ходом эксперимента наблюдало более тысячи разработчиков, менеджеров и экспертов безопасности Microsoft, включая руководителей высшего звена Джима Олчина и Кевина Джонсона, сопрезидентов подразделений платформенных продуктов и сервисов.
Такое мероприятие проводится уже второй раз; первое прошло в штаб-квартире Microsoft в марте. Как пояснил менеджер программ безопасности подразделения защиты бизнеса и технологий Стефен Тулуз, данная инициатива должна показать разработчикам, как видят плоды их труда хакеры, и помочь усовершенствовать процессы создания безопасных продуктов. По словам Тулуза, в Редмонд были приглашены шесть "этических" хакеров (их еще называют "белыми шляпами"), включая эксперта по безопасности Дэна Камински, главного инженера фирмы Security-Assessment.com Бретта Мура и исследователя фирмы Internet Security Systems Дэвида Мейнора, который ранее работал на команду ISS X-Force в Атланте.
Мейнор продемонстрировал разработчикам и руководству Microsoft, как взломщик может применять в своих целях USB-устройства. Оказывается, воспользовавшись правами на прямой доступ к памяти (DMA), которые предоставляет Windows, хакер вполне может загрузить с такого внешнего оборудования собственный код прямо в ОЗУ, а затем запустить его.
"Этот путь - самый опасный, потому что в одиночку Microsoft перекрыть его не в состоянии, - пояснил Мейнор. - Решить проблему можно только общими усилиями с производителями оборудования".
По словам Мейнора, корпорация уже работает над более безопасной моделью обращения с периферийными устройствами, а в последующем может даже включить в драйверы USB-элементы проверки безопасности.
Камински и его коллеги долгие годы били в набат, предупреждая о брешах в системе защиты программных продуктов Microsoft, и корпорация наконец-то их услышала. Об этом говорит хотя бы то, что вся группа хакеров была приглашена на ланч с бывшими шефами Windows Олчином и Джонсоном.
На встрече в узком кругу Мейнор смог обсудить с Олчином возможности обхода функций безопасности новейшего браузера корпорации Internet Explorer 7.0, способы сокращения времени рассылки программных заплат и даже технологии слежения за безопасностью Vista - следующей версии ОС Windows.
Полученную в ходе Blue Hat информацию Microsoft намерена использовать для обучения своих сотрудников. Кроме того, в ее планы входит обновление архитектуры SDL (Security Development Lifecycle - жизненный цикл разработки средств безопасности).