Уязвимости в MS Windows.

В поисках решения проблемы по SUSекам Microsoft

Михаил Платов

Программные уязвимости и методы борьбы с ними

Как известно, программы пишутся людьми. Так было всегда – и в незапамятные времена мейнфреймов, и на заре появления первых ПК, да и сейчас ситуация принципиально не отличается от того, что было 10 лет назад. Конечно, появляются новые методологии, создаются новые языки программирования, но программы по-прежнему пишутся людьми, и в ближайшее время, видимо, здесь ничего революционного не произойдет.

Ни для кого не секрет, что людям свойственно ошибаться. Ошибаются все – от школьника, делающего свои первые шаги в Паскале, до матерого программиста, пишущего модули ядра ОС. Но если ошибки школьника, кроме его учителя и самого школьника, мало кого волнуют, то проблемы в часто используемых сервисах сетевых ОС волнуют значительно большее число людей. У многих в памяти еще свежи воспоминания о W32.blaster, всемирной лихорадке с червем Slammer, эксплуатирующим уязвимость в сервере MS SQL Server, проблемах с безопасностью веб-сервера MS IIS (червь Code Red), службах ftp и sendmail для Linux, и уязвимостях в MS Internet Explorer. Причем опыт показывает, что во многих случаях проблем, вызванных этими уязвимостями, можно было полностью избежать. Так, исправления для RPC/DCOM были опубликованы на Windows Update за несколько недель до начала эпидемии, исправление, закрывающее уязвимость в MS SQL Server было доступно для скачивания в течение нескольких месяцев, не говоря уже о регулярно появляющихся «заплатках» для Internet Explorer и Outlook Express. Обновления для популярных Linux-программ тоже появляются достаточно быстро.

Итак, своевременная установка обновлений избавляет нас от множества проблем. И все было бы хорошо, если бы здесь не вмешивался человеческий фактор. Ведь для того, чтобы установить обновление, нужно сначала узнать о том, что оно появилось (здесь нам могут помочь всевозможные bug-листы), найти его на сайте производителя, скачать и установить на все машины, подверженные данной уязвимости. Не удивительно, что времени на выполнение этих работ очень часто не хватает, что и подтверждается историей вирусных атак последних лет. Еще одно свидетельство тому – инициатива, озвученная генеральным директором компании Microsoft Стивом Балмером после летней эпидемии W32.blaster об обязательном интегрировании средств автоматического обновления в следующие версии операционной системы MS Windows. Однако это будет в будущем, и пока оно не наступило, нам – системным администраторам – придется самостоятельно искать решения одной из самых важных административных проблем, а именно – как наиболее быстро и с минимальными усилиями устанавливать обновления для используемых программ?

И хотя рынок программных продуктов, решающих данную проблему, еще молод, уже сейчас на нем присутствует достаточное количество различных игроков, предлагающих свои решения проблемы оперативного обновления. Не является исключением и компания Microsoft, предлагающая широкий спектр продуктов, направленных на решение проблем своих клиентов. Остановимся более подробно на одном из них – Microsoft Software Update Services.