Практики обеспечения безопасности Microsoft - лучшие в мире

Сегодня с легкостью можно оглянуться назад и поругать Microsoft за недостатки Windows Vista, но, однозначно, есть и то, за что ее можно похвалить - за безопасность. В ходе ежегодной секьюрити-конференции Black Hat главный специалист по безопасности в Recursion Ventures Крис Паже (Chris Paget) рассказала о своем опыте совместной работы с Microsoft над Vista перед ее релизом.

Паже, равно как и другие сотрудники Recursion, получив контракт, подписали соглашение о неразглашении на 5 лет. Теперь срок действия соглашения подошел к концу, и Паже рассказала о своем опыте.

Microsoft наняла ее команду на финальном этапе разработке ОС, чтобы убедиться, что система безопасна для работы. Такой шаг был крайне нетипичен для Microsoft, поэтому компания даже не знала, чего ждать от такой авантюры. "На самом деле, Microsoft, конечно же, надеялась, что мы ничего не найдем - это была финальная проверка" - говорит она.

Специалисты Recursion просмотрели код ядра и код пользовательского пространства, при этом Microsoft не требовала оценивать код, обеспечивающий обратную совместимость. Вплоть до Windows 7 в Windows не было предусмотрено контрольного просмотра устарешего кода, говорит Паже. "Была верификация, но контрольного просмотра не было". Она сказала, что ее команда была настолько хороша в обнаружении критических уязвимостей в коде Vista, которые фактически привели к задержке релиза Vista, что сотрудники Microsoft называли их действия "групповым изнасилованием".

Несмотря на проблемы с безопасностью, которые Паже сотоварищи обнаружили в Vista, она высоко оценивает усилия Microsoft в сфере безопасности. Она поведела о системе отслеживания багов и о том, как команда обеспечения безопасности в Microsoft сформировала обширный список функций, связанных с повышенным риском. Риск, по ее словам, определялся тем, требовала ли конкретная функция учетных данных пользователя. Если требуется ввести пароль, например, пароль администратора, возникает большой риск.

Опыт, говорит Паже, показал, что к тому времени Microsoft удалось значительно улучшить процедуру контрольной проверки безопасности. Однако, она отметила, что дома предпочитает работать с Unix, а Windows в основном использует для игр. "Я бы очень хотела увидеть Windows Lite без лишнего кода, обеспечивающего обратную совместимость".

"Определение "лучшие в мире" вполне уместно при обсуждении процедур Microsoft в области безопасности" - сказала она. "Если безопасность можно назвать процессом, а не продуктом, Microsoft в этом отношении заслуживает большого доверия. Vista была гигантским шагом в правильном направлении".


Источник: http://www.cnet.com
Перевод: Really Fenix