gatoazul (gatoazul) wrote,
gatoazul
gatoazul

Category:
Почему я ненавижу "Майкрософт"

2. Не очень хорошее, плохое и ужасное


Хороший пример – вирусы для Word; в своей основе это процедуры на Visual Basic Script, внедренные в документ Word как макросы. Создание относительно простого макроса требует более сильных навыков программиста, чем ожидается от среднего работника в офисе, но в то же время отсутствие даже основных мер безопасности делает пользователей Word уязвимыми для вредительского кода в документах. Из-за интегрированной природы программных компонентов макрос Word способен прочитать адресную книгу Outlook и затем распространиться через почтовые и сетевые компоненты системы. Если настройки безопасности Windows это запрещают, вредный вирусный код можно легко обойти средства защиты, просто изменив настройки безопасности. Так как там с безопасностью?

Точно также сценарии на VBS, вставленные в почтовые сообщения или на интернетовские страницы, могут использовать уязвимости в IE или в Outlook, nак что просмотра зараженной страницы или получения зараженного письма достаточно, чтобы испортить систему без дальнейших действий со стороны пользователя (например, ручной загрузки файлов или открытия прикрепленного файла). Через эти бреши вредительский код может получить доступ к данным, хранящимся где угодно в системе, изменить конфигурацию системы и даже запускать процессы. В марте 2000 г. хакер (конечно, анонимный) писал:

21.03.2000 г.: Нашел первую брешь: в Windows 2000 [...] есть служба Телнет, которая по умолчанию не запускается. Ее можно удаленно запустить, вставив объект COM в код HTML, который можно поместить на интернетовской странице или послать через Outlook. Следующий скрипт запустит службу Телнет:

<SCRIPT LANGUAGE=«VBScript»> CreateObject(«TlntSvr.EnumTelnetClientsSvr»)</SCRIPT>

Мы попробовали и все сработало. Единственная проблема... мы поместили на страницу HTML. При открытии страницы... наш лучший друг IE5 показывает предупреждающее сообщение «Вы собираетесь запускать команды, которые могут быть опасны для вашего ПК... Продолжать?» Мы должны это исправить! С Outlook проблем нет...

Интересно заметить, что после залатывания не менее семи различных дыр в безопасности в коде Телнета от Windows 2000 (да, семь брешей только в Телнете!), «Майкрософт» выпустила в феврале 2002 года еще одну заплатку, чтобы исправить восьмую дыру: еще одно переполнение буфера. Почему-то мне кажется, что эта заплатка не окажется последней. Если не получилось сразу, попробуйте еще семь раз, пробуйте, пробуйте (и пробуйте) снова. Неудивительно, что «J.S. Wurzler Underwriting Managers», одна из первых компаний, предлагающих страховку от хакеров, начала брать с клиентов на 5-15% больше, если они используют для работы с Интернетом Windows NT.

«Майкрософт» точно знает, насколько плоха безопасность в их продуктах. Однако они сочиняют лирику о новых функциях, вместо того, чтобы принять на себя ответственность за свои действия. Цитирую Тома Лерера:

...

«Майкрософт» не может ничего не знать о вызываемых их программами риске и ущербе. Сами они для защиты собственных почтовых серверов уже много лет полагаются на продукты сторонних производителей. Они всегда заявляли, что используют Exchange для собственной корпоративной почты, но забывали упомянуть, что применяют «Interscan Viruswall NT» (фирмы «Trend Micro, Inc.»), чтобы обеспечить базовую защиту, которой не хватает в собственных продуктах «Майкрософт». Другая интересная деталь: сервера «Майкрософт» использовали VirusWall версии 3.24 еще летом 2001 года. Это была версия для NT, «не готовая» для Windows 2000. Другими словами, тогда «Майкрософт» из осторожности не решилась запускать Windows и Exchange 2000 на своих собственных почтовых серверах. Только к концу 2001 году «Майкрософт» сама перешла на Windows и Exchange 2000.

Это не единственный пример неверия «Майкрософт» в собственные продукты. SQL Labs, часть компании, работающая над сервером SQL, использует защитные приспособления NetScreen 500 для защиты своей сети от атак «Code Red», «Нимды» и прочих червей. Прекрасно видно, что выбор лаборатории был сделан, несмотря на тот факт, что «Майкрософт» уже продавала свой собственный продукт, расхваливаемый как защита от червей. ISA («Безопасность и ускорение Интернета») появился в начале 2001 года и рекламировался «Майкрософт» как первый продукт , нацеленный исключительно на рынок безопасности. Самая важная причина, по которой, согласно «Майкрософт» фирмы должны были перейти на сервер ISA, было то, что «Сервер ISA – это ... брандмауэр и шлюз для всего предприятия, разработанный, чтобы защитить внутреннюю сеть от вторжения хакеров и вредных червей». Но в SQL Labs благоразумно решили для обеспечения базовой безопасности пользоваться чужими продуктами.

Из-за халтурного кода многих продуктов «Майкрософт» все еще интереснее. Множественные уязвимости типа «переполнение буфера» сочетаются с брешами в исполнении сценариев. Вам не надо открывать прикрепленные к электронному письму файлы или даже читать пришедшее сообщение, чтобы оказаться под угрозой проникновения вредительского кода в вашу систему. Достаточно просто получить код (например, скачать почту с почтового сервера или просмотреть страницу). Да, я знаю, такие истории долгое время считались городскими легендами, но Outlook сделал их реальностью. «Майкрософт» объясняет: «Уязвимость происходит потому, что компонент, который используют как Outlook, так и Outlook Express, содержит буфер без проверки в модуле, интерпретирующем поля заголовка письма при использовании определенных почтовых протоколов. Это дает злоумышленнику возможность послать письмо так, что извлечение его с сервера одним из вышеупомянутых продуктов, может вызвать запуск произвольного кода на компьютере получателя». Эту уязвимость успешно использовали Нимда и другие вредные программы-черви. Другие черви (например, Code Red) дополнительно применяют творчески сконструированный адрес, чтобы вызвать переполнение буфера в IIS. Даже без установленных расширений FrontPage с сервера IIS относительно легко получить незашифрованные пароли для администрирования, личные файлы и документы. Более того, это «Решение для электронной коммерции будущего» содержит в секции кода шуточку (вставленный в программу пароль, называющий разработчиков Netscape сосунками), связанную с механизмом проверки доступа ко всей системе. И там есть еще немало подобных брешей. Список продолжается дальше и дальше.

Предполагается, что IIS будет обслуживать сайты электронной коммерции с многомиллионным оборотов, поэтому в нем есть немало специальных расширений в эту сторону. Но каждый раз, когда мы слышим, как с большого торгового или коммерческого сайта произошла утечка конфиденциальных пользовательских данных (включая номера кредитных карточек), оказывается, что на сайте работал IIS на Windows NT или 2000. (Это относится и к торговле в он-лайне товарами для взрослых. Я не знаю, что за штучка «Тарзан II многоскоростной шикарный», но я смогу вам сказать, кто ее купил и по какому адресу ее отправили. Многие коммерческие сайты обещают вам безопасность и конфиденциальность, но если на них работает IIS, вы можете расчитывать только на добрые намерения и ничего больше. Думайте, прежде чем заказывать...)

Черви Code Red и Нимда наглядно и хорошо показали, как легко заразить сервера с IIS и другими продуктами «Майкрософт», а потом использовать их во вредительских целях (например, распространять вредный код и проводить массовые распределенные атаки на отказ в обслуживании). Каждый, кто захочет использовать одну из многих документированных уязвимостей, может это сделать. Некоторые из уязвимостей, использованных Code Red и Нимдой были обнаружены месяцы назад, но многие администраторы просто не поспевают за смехотворным количеством заплаток, требуемых IIS. Да и латание не всегда помогает: заплатка, выпущенная «Майкрософт», содержала ошибки, из-за которых важные производственные серверы IIS переставали работать.

20 июня 2001 года вице-президент и аналитик фирмы «Гартнер» Джон Пескаторе писал:

Уязвимости в безопасности IIS – уже даже не новинка, поскольку их открывают каждую неделю. Самая последняя ошибка напоминает самую первую – уязвимость в Службе индексирования, добавочном компоненте Windows NT Server, перешедшем в код Windows 2000. Как предупреждала «Гартнер» в 1999 году, перетягивание сложных прикладных программ в систему очень рискованно с точки зрения безопасности. Больше строк кода означает большую сложность, что означает больше ошибок в безопасности. Еще хуже, что при устранении одной ошибки нередко появляется несколько новых.

Тот факт, что бета-версия Windows XP также содержит уязвимые места, вызывает серьезные сомнения насчет того, что она будет более безопасна, чем Windows 2000.

19 сентября 2001 г. Пескароте продолжал:

Code Red также показал, насколько легко атаковать серверы IIS. Таким образом, использование веб-серверов IIS с выходом в Интернет сильно увеличивает стоимость владения. Предприятия, использующие веб-сервер IIS, должны обновлять каждый свой сервер каждой новой появляющейся заплаткой, - практически еженедельно. И все-таки Нимда (и в меньшей степени Code Blue) снова продемонстрировали высокий риск использования IIS и количество усилий, необходимых, чтобы не отставать от часто выходящих обновлений «Майкрософт».

«Гартнер» рекомендует предприятиям, пораженными Code Red, и Нимдой, немедленно изучить альтернативы IIS, в том числе перемещение веб-приложений на серверное ПО от других фирм, например iPlanet или Apache. Хотя эти сервера тоже требуют некоторых обновлений, они намного безопаснее, чем IIS и не служат основной мишенью огромного числа писателей вирусов и червей. «Гартнер» опасается, что вирусы и черви будут продолжать атаковать IIS, пока «Майкрософт» не выпустит полностью переписанную, тщательно проверенную общественностью новую версию IIS. Должно быть проведено достаточное тестирование, чтобы все бреши в безопасности, типичные для первой версии любого программного продукта, были обнаружены и исправлены. Сюда входят все службы .NET, требующие использования IIS. «Гартнер» полагает, что такое переписывание кода не будет проведено до конца 2002 года (вероятность 0,8).

Чтобы быть честным, надо сказать, что «Майкрософт» в общем-то хорошо научилась реагировать на дыры в безопасности. Хотя серьезность многих проблем безопасности часто преуменьшается, а их причины (плохая или отсутствующая модель безопасности) замалчиваются, информация и обновления обычно быстро становятся доступными для сообщества пользователей и за них не берется плата. Это достойно похвалы. Но сама процедура стала для «Майкрософт» рутиной, поскольку новые бреши находятся буквально несколько раз в неделю, а их латание стало частью основного бизнеса «Майкрософт». Поток заплаток настолько велик, что почти невозможно за ним следить. Это наглядно иллюстрируется тем фактом, что большинство сегодняшних вторжений успешно используют бреши, к которым уже выпущены заплатки. Собственно, количество заплат постепенно стало таким большим, что оказалось выгодным присылать их автоматически. В последних версиях Windows есть автоматическая служба, уведомляющая пользователя о требующихся «критически важных обновлениях» (читай: заплат), которые можно потом скачать, нажав на кнопку мыши. Эта служба (которая действительно неплохо работает) стала очень популярной.И по делу: только в 2000 году «Майкрософт» выпустила около 100 (да, ста) бюллетеней по безопасности – в среднем, это одна проблема с безопасностью в три-четыре дня! Количество дыр в продуктах «Майкрософт» способно устыдить даже швейцарский сыр. И скорость их появления увеличивается, а не уменьшается. Например, как только вы установите «рекомендуемое обновление» (допустим, для Media Player 7.1) с помощью службы «Обновление системы», вы тут же узнаете, что должны повторить процедуру еще раз, чтобы установить еще и «критическое обновление», чтобы залататать бреши в безопасности, добавленные при первой загрузке! Вряд ли разумно было бы ожидать, что пользователи смогут следить за этой возней, и неудивительно, что большинство пользователей следить не успевают. В результате многие почтовые вирусы и черви используют дыры в безопасности, открытые месяцы и годы назад. Червь MSBlaster, распространившийся летом 2003 года ухитрялся заражать Windows Server 2003, используя уязвимость, которая была еще в NT 4! В наше время, когда курильщики получают от табачных компаний иски в миллионы долларов, надо бы, чтобы все майкрософтовские продукты выходили с предупреждением, напечатанным на коробке: «Этот небезопасный продукт причинит дорогостоящий ущерб вашему компьютерному и коммуникационному оборудованию, если вы не будете часто его обновлять и каждый день уделять время поиску, скачиванию и установке ежедневных заплаток». К сожалению, такой надписи нет, и макровирусы для Windows в 2002 году появлялись с частотой от 200 до 300 в месяц.

Смехотворная частота появления заплаток имеет интересный побочный эффект: некоторые пользователи начинают думать, что в «Майкрософте» очень серьезно подходят к поддержке ПО и постоянно работают над усовершенствованием своих продуктов. Это, конечно, весьма наивно. Если бы такие пользователи купили автомобиль, который требовал бы серьезного обслуживания или ремонта раз в две недели или около того, они, наверное, не подумали бы так хорошо о производителе их машины.

И, конечно же, никакое количество заплаток не может исправить структурные недостатки дизайна в модели безопасности продуктов «Майкрософт» (или ее отсутствие). Заплатка похожа на перевязку: она поможет вылечить простой порез или ссадину, но для переломанной ноги или генетических нарушений она бесполезна, даже если вы сделаете тысячи перевязок. Очевидное слабое место в системе – это, конечно, интеграция. «Майкрософт» любит называть Windows «богатой возможностями», но когда им пришлось разрабатывать указания по исправлению серьезной бреши, связанной с файлами в формате MIDI, стало очевидным, что набор возможностей, интегрированных в Windows давным-давно перешел точку максимальной полезности.

Недавно лоббисты «Майкрософт» пытались развивать идею, что свободный обмен информацией о недавно открытых дырах в безопасности – не в интересах сообщества пользователей, поскольку широкое знание множества слабых мест в их продуктах позволит злобным хакерам и даже поощрит их использовать эти дыры. Ответственный по связям с общественностью Центра реагирования на вызовы безопасности «Майкрософт» Скотт Кальп обвинил специалистов по безопасности в эпидемии червей типа Code Rеd и Nimda. В статье на сайте «Майкрософт» в октябре 2001 года он предложил ограничить распространение информации по безопасности «избранными кругами». И все это для нашей же пользы, конечно. В конце концов, цензура – такое неприятное слово.

В августе 2002 года во время слушаний в суде, когда обсуждалось соглашение между «Майкрософт» и Министерством юстиции, ответственный за ОС Windows Джим Аллчин дал показания, под какими предлогами обычно предпочитает (и рекомендует) действовать «Майкрософт»:

«Есть протокол, имеющий отношение к функциональности в Windows, под названием очередь сообщений, и есть ошибка в этом протоколе. И эта ошибка, если мы о ней сообщим, приведет, по моему мнению, к компрометации компании, которая использует этот конкретный протокол.»

Тем временем положение дел с отсутствием безопасности в продуктах «Майкрософт» только ухудшается. Последняя инкарнация Офиса (Офис XP) предоставляет полную поддержку VBA для Outlook, а CryptoAPI позволяет шифровать сообщения и документы, в том числе приложения и макросы на VBA. Другими словами, антивирусное ПО окажется не в состоянии обнаруживать и перехватывать вирусы, приходящие с письмами и документами Word, и компании окажутся полностью беззащитными перед вирусными атаками.

Определенно это путь к катастрофе. Все равно, что производитель автомобилей заполонил бы рынок машинами без тормозов.

Другая разработка, вызывающая беспокойство, - дырявый код таких продуктов, как IIS, часто устанавливается вместе с другим ПО (и даже вместе с Windows XP), причем системные администраторы ничего об этом не знают. Например: в SQL Server 2000 добавлена поддержка «супер-сокетов» для доступа к данным через динамическую библиотеку Dnetlib. Библиотека обеспечивает связь через несколько протоколов, шифрование и аутентификацию; иными словами, она заменяет несколько различных реализаций этих технологий, существовавших в прошлой версии продукта. Эта библиотека есть в системе только, если на машине были установлен SQL Server 2000, инструменты администрирования для клиентов, MSDE или какая-либо фирменная реализация. Однако, в XP эта динамическая библиотека устанавливается по умолчанию – даже в домашней версии. Остается только удивляться, как этот компонент из «устанавливаемого только на специализированных машинах на конкретной платформе» превратился в «инсталлируемого по умолчанию на всех разновидностях ОС». Какие еще компоненты и уязвимости, о которых мы ничего не знаем, устанавливаются теперь автоматически?

И набор файлов Windows постоянно замусоривается подобным образом. Заглянув в каталог WINNT на системе Windows 2000 или XP, вы найдете кучу древних исполняемых файлов, устаревших и никогда не используемых: Media Player 5, старый 16-битовый код от предыдущих версий Windows вплоть до версии 3.10 (собственно, там можно найти основную массу исполняемых файлов Windows 3.10), файлы, обеспечивающие функциональность, которая почти никогда не используется (например, поддержка RAS), или возможности для инвалидов, которые, к счастью, не нужны большинству пользователей (Чтец, Клавиатура на экране и т.д.). Запрятанный код означает возможные скрытые проблемы безопасности. Никому не нужная установка такой кучи отражает только лень разработчиков «Майкрософт»: если вы просто поставите все подряд, ну разве кроме кухонной раковины, то потом можно просто считать, что все уже есть и не беспокоить себя дополнительными проверками. Естественно, на деле такая практика качества не улучшает, просто вносит свою лепту в раздувание Windows, от чего она страдала с самого первого дня.

Будущее обещает нам то же самое, только в больших масштабах. Поскольку «Майкрософт» уже работает над следующими версиями Windows, которые могут быть выпущены в 2003 году, кажется надежным предположить, что мы опять застрянем с имеющейся глючной архитектурой Windows и структурных улучшений ожидать не следует. Пока что «Майкрософт» ни разу не выказывала интереса в подчистке своей архитектуры. Вместо этого они концентрировались на поисках обходных путей.

Хороший пример: «Майкрософт» порекомендовала, чтобы ПК, «разработанные для Windows XP», больше не поддерживали карты расширений, а работали только с периферией USB. Это ясно показывает, что Windows XP по-прежнему страдает от вытекающих из архитектуры проблем с драйверами, вызывавшими в прошлом немало зависаний. Чтобы избавиться от этих проблем, «Майкрософт» попыталась убедить производителей ПК отказаться от шины расширения PCI. И неважно, что промышленность тут же выкинула это предложение; важно, что «Майкрософт» попыталась избавиться от шины расширений, а не улучшить надежность архитектуры XP.

Ничего хорошего в будущем это не сулит.

Если внимательно посмотреть на Windows и ее приложения, можно увидеть, что «Майкрософт» практически невозможно исправить основные проблемы своего ПО. Для этого им пришлось бы с нуля перепроектировать весь набор своих продуктов. Поскольку в предвидимом будущем надежный дизайн и совместимость с Windows – вещи взаимоисключающие, такая перепроектировка означала бы отказ от всех ограничений, привязывающих конечного пользователя к платформе «Майкрософт». Для «Майкрософт» это коммерчески неприемлемо. Чтобы поддержать доходность, они должны придерживаться текущей программной архитектуры, ее изъянов и всего остального. Недавно «Майкрософт» произвела громко шумела о том, как они собираются всерьез заняться безопасностью, но общее низкое качество кода их продуктов делает выполнение этого обещания невозможным. Их Базовый анализатор безопасности (выпущенный в качестве одной из попыток улучшить собственный имидж) наглядно это показывает: он ищет не уязвимости, а просто отсутствующие заплатки, да и то неуклюже, не показывая все ошибки.

Еще одно практически пустое обещание – это так называемый .Net Framework. Это среда разработки для новой линии продуктов .Net. Его наиболее захваленное «новшество» - это «Установка с нулевым влиянием», согласно которой предполагается отойти от тесной интеграции приложения и операционной системы. Вместо теперешней путаницы DLL, вставленных прямо в ОС, и настроек, размазанных по небезопасной базе данных – реестру, приложения теперь будут жить в своих собственных подкаталогах и станут самодостаточными. Код будет поставляться в кроссплатформенном формате и компилироваться на лету (JIT) для конкретной платформы. И хотя это означает серьезное улучшение современного положения дел, новизна всего дела, конечно же, приближается к нулю: потребность в соответствующем разделении системного и прикладного кода заставляла грамотных компьютерных профессионалов стремиться к Юниксу, большим машинам и даже к ДОСу. Компиляция на лету тоже представляет собой ничего нового (она не была новой идей, даже в середине 90-х, когда Sun Microsystems предложила Яву). Но более важно другое: остается совершенно непонятно, как «Майкрософт» все это реализует. Чтобы создать действительно хорошую и надежную платформу, надо заменить Windows (а следовательно, и всю линейку продуктов) чем-то с совершенно другой архитектурой. Но .Net не станет полностью переписанной с нуля линией ОС «Майкрософт» Такое обновление лишит «Майкрософт» их инсталляционной базы, так что совместимость с существующими версиями Windows (а следовательно, продолжение всех их недостатков) кажется неизбежной.

Давайте посмотрим правде в глаза: обещания «Майкрософт» резко улучшить качество в лучшем случае нереалистичны, если не сказать, вводящие в заблуждение. Их невозможно выполнить в обозримом будущем и все в «Майкрософте» это знают. Для иллюстрации: в январе 2002 года Билл Гейтс написал в своей записке «Надежная работа», предназначенной всем своим служащим:

«Сегодня в развитом мире мы не беспокоимся о доступности электричества и воды. Мы полагаемся на доступность и безопасность телефонной связи, чтобы проводить очень секретные деловые операции и не беспокоимся, что информация, кому мы звоним, или что мы говорим, обернется против нас. Вычислительная техника далека от такого положения дел: ее разброс – от индивидуального пользователя, не желающего добавлять новое приложение, потому что оно может сделать нестабильной систему, до корпорации, медленно переходящей к электронному бизнесу, потому что сегодняшние платформы для этого не приспособлены.»

А теперь вместо «сегодняшних платформ» прочитайте «десять лет Windows в большинстве случаев» и припомните, что «Майкрософт» не использует свои собственные продукты, относящиеся к безопасности, а полагается на программы третьих фирм. Добавьте к этому шпионские функции в Windows Media Player, тот факт, что домашняя версия Windows XP соединяется с сервером wustat.microsoft.com, привязки к шпионской программе Alexa в пункте меню «Сервис/Показать связанные ссылки» в IE, и тот факт, что Помощник поиска в XP вызывает sa.windows.com при поиске информации... и картина ясна. Может быть, Старший брат и не смотрит за вами, и информация о том, что вы ищете и на какие сайты заходите, никуда не идет... но на это не рассчитывайте. Повторим для тех, кто не понял: в ноябре 2002 года «Майкрософт» сделала свободно доступной информацию о заказчиках вместе со множеством секретных внутренних документов, использовав очень небезопасный сервер FTP. В сервере было немало хорошо известных уязвимостей, из-за чего доступ к нему стал простым упражнением. Ясно, что недавний шум «Майкрософт» об уважении к безопасности и к качеству в лучшем случае ничего не содержит. Сами они не оказывают уважения безопасности своих собственных клиентов.

Но это и неудивительно. Стюарт Окин, директор по безопасности британского отделения «Майкрософт», назвал безопасность «недавней проблемой». Давая интервью на майкрософтовском собрании Tech Ed в 2002 году, Окин объяснил, что недавние статьи в прессе по вирусам и тому подобным вещам поставили вопросы безопасности в повестке дня «Майкрософт» на первое место. Читай: проблемой это никогда не было, но сейчас самое время подольститься к публике, вспомнив о вопросах безопасности. И действительно: пока что единственное реальное «усовершенствование» выразилось в рекламной кампании, превозносящей Windows XP как единственную безопасную платформу, защищающую корпоративных пользователей от вирусных атак. Правда, правда – так они говорят. Они еще много шумят по поводу получения «Правительственного сертификата безопасности». На деле это означает, что Windows 2000 SP3 выполнила Общие условия CCITSE, поэтому теперь она может быть частью правительственных систем без экспертизы Национального агенства безопасности или дополнительных тестирований. Выполнение этих требований не означает, что ПО теперь безопасно, а просто показывает, что тестирование подтвердило соответствие работы кода спецификациям. Вот и все – обнаружение новых дыр в безопасности хотя бы раз в неделю с этим никак не связано. И если даже так, то Windows 2000 SP3 – первый продукт «Майкрософт», работающий достаточно хорошо, чтобы получить сертификат. Выводы делайте сами.

И как бы для иллюстрации несколько недель спустя после записки Гейтса по надежной работе «Майкрософт» ухитрилась послать червя Нимду своим собственным корейским разработчикам вместе с корейской версией Visual Studio.net, распространив таким образом инфекцию, начавшуюся среди корейских переводчиков-контрактников. Какой «надежности» мы можем ожидать от компании, неспособной соблюдать даже азы безопасности, хотя бы проверяться на вирусы?

И конечно же, с тех пор, как Гейтс написал свою записку, ничего не изменилось. Дыры в безопасности и уязвимости во всех продуктах «Майкрософт», многие из которых позволяют злым хакерам выполнять произвольный код на любом ПК, подсоединенном к Интернету, по-прежнему обнаруживаются и используются с угнетающей частотой. «Майкрософт» объявила, что для решения проблемы послала на курсы по безопасности 11000 инженеров, но изъяны в безопасности продолжают мучать всех пользователей майкрософтовских продуктов. Очевидно, что настоящего улучшения скоро ждать не приходится. Windows Server 2003 рекламировался как «безопасно спроектированный», но кроме пары улучшенных настроек по умолчанию и Политики ограничения запуска изменилось не очень-то много. Сразу после выпуска Windows Server 2003 к нему уже надо было ставить заплатку (чтобы исправить уязвимость в Internet Explorer 6). Никто и не удивился.

С момента запуска Гейтсом идеи надежной работы планы «Майкрософт» по безопасности включали много риторики и мало дел. В течение 18 месяцев ничего реального не происходило, а потом Баллмер сделал поразительное заявление, что большая инициатива по безопасности будет состоять из ... множества мелких исправлений (да, снова), обучения пользователей и соединения нескольких мелких заплаток в одну большую. В пресс-релизе «Майкрософт» действительно стояли слова «улучшение впечатлений от заплаток», конец цитаты. Пока что все это «улучшение» состоит главным образом из ежемесячных пакетов с заплатками, которые надо переставлять несколько раз в месяц в виде «переработанных» ежемесячных версий. Все правильно...

Другая грустная сторона отношения «Майкрософт» к безопасности четко сформулирована редактором internet.com Ребеккой Либ, исследовавшей участие «Майкрософт» в борьбе с эпидемией спама. Она сделала такой вывод:

«Ответственные лица [«Майкрософт»] определенно привержены к заявлениям, что они [собираются покончить с эпидемией спама]. Сегодня Билл Гейтс в самом центре: дает показания Сенату, сочиняет передовицу для «Wall Street Journal», щедро выделяет миллионы на арест спамеров, создает веб-страницу для потребителей, собирает Группу технологии и стратегии борьбы со спамом, «которая будет бороться со спамом со всех сторон – технологической, давлением, образовательной, юридической и саморегуляцией промышленности.

Когда я встречаюсь с членами этой группы, я всегда задаю им один и тот же вопрос. Каждая версия ОС Windows, поставлявшаяся до выхода XP в прошлому году, сконфигурирована – по умолчанию – как открытый почтовый сервер. Миллионы потрачены на увеличение полосы пропускания. Следовательно, большинство ПК на планете Земля воют для спамеров как сирены: «Используй меня! Злоупотребляй мной!» Почему «Майкрософт» не расскажет миллионам зарегистрированных пользователей, как закрыть открытый сервер?»

А тем временем «Майкрософт» проникает на новые рынки и пока что у нее все получается. Они уже поставляют свои первые продукты для мобильных телефонов. «Орандж», первый оператор, запустивший программу Microsoft Smartphone на своих телефонах, уже обнаружил несколько дыр в безопасности. Кроме этого, сообщается, что телефоны зависают и требуется их выключить и включить три раза подряд, чтобы заставить работать снова. Они набирают случайные номера из списка, а управление питанием очень капризное. Меня бьет дрожь, когда я подумаю, что будет, если материализуются планы «Майкрософт» по выходу на рынок ПО для автомобилей.

Вопреки тому, во что нас хотели бы заставить верить торговые андроиды из «Майкрософт», факты говорят сами за себя: разработки «Майкрософт» движимы только задачами бизнеса, но не задачами качества. Пока они смогут удерживать годовой оборот в 30 с лишним миллиардов долларов, никто и не пошевелится, и не важно, насколько плохим будет ПО. Продукты «Майкрософт» незрелы и низкого качества. Новые версии этих продуктов не исправляют ошибок в самой структуре, а являются на деле микро-сборками с исправленными ошибками, мелкими обновлениями и ничем более, за исключением косметических улучшений. Если бы не дополнительные продукты, обеспечивающие безопасность, например, аппаратные или основанные на Юниксе фильтры и брандмауэры, было бы совершенно невозможно создать под Windows хотя бы отдаленно безопасную среду.

Продукты «Майкрософт» раздуты почти барочными излишествами, но не в этом их суть. Их надо признать вредными, ненадежными и опасными, что является прямым следствием базовых изъянов в архитектуре, многим из которых уже больше десяти лет. Они обещают много, но на деле хорошо ничего из обещанного не делают. Если вам нужно что-то надежное, разработанное для критически важных приложений, вам стоит поискать в другом месте. Необходимость совместимости с прошлыми ошибками делает структурные улучшения невозможными. Если однажды в «Майкрософт» сделают что-то не через задний проход, то это будет клизма.

В конце концов, 63000 выявленных в Windows дефектов должно хватить каждому.


Tags: Программирование
Subscribe

  • Небольшая апология здорового образа жизни, правильного питания и отказа от вредных привычек

    Тридцать лет - срок для подведения итогов более чем достаточный. Констатирую: все прекраснодушные перестроечные мечтания накрылись медным тазом. И в…

  • Опа!

    Как знает каждый российский патриот, СССР был развален злобной Украиной, которая воткнула ему нож в спину своей Декларацией независимости,…

  • Вавилон-2020

    Украинские национал-патриоты на голубом глазу рассказывают, что украинский язык - лучшее средство от нападения разных агрессоров. С какой стороны ни…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 5 comments