Microsoft: За уязвимости должны краснеть конкуренты

Корпорация Microsoft, выпустившая в рамках последнего обновления безопасности рекордное для себя количество «заплаток», стремится поломать стереотип «дырявости» своих продуктов. Общедоступная статистика по числу уязвимостей в продуктах конкурентов говорит не в их пользу, отмечают в российском представительстве софтверного гиганта.

13 октября Microsoft выпустила 13 обновлений безопасности для своих продуктов – рекордное количество в масштабах одного месяца. Обновления закрывают 34 уязвимости во всех версиях Windows (включая новую Windows 7, еще официально не поступившую в продажу), а также в Internet Explorer (IE), Office, SQL Server и других продуктах корпорации. 34 «заплатки» - также рекордное число для Microsoft, 6 лет назад (в октябре 2003 г.) перешедшей на график ежемесячного выпуска обновлений безопасности. Предыдущий рекорд – 28 «заплаток» за месяц – был поставлен в декабре 2008 г.

8 из 13 обновлений, закрывающих 21 «дыру», Microsoft определила как «критические». Остальные 5 бюллетеней имеют статус «важных», как и 9 описываемых в них уязвимостей. Оставшиеся 4 «дыры» представляют «умеренный» уровень опасности. Для нескольких уязвимостей на момент выпуска «заплаток» уже были написаны эксплойты.

Выпущенные Microsoft патчи закрывают три уязвимости в поставляемом вместе с Windows SMB 2 (Server Message Block), сетевом протоколе распределенной файловой системы, разработанном корпорацией и поддерживаемом многими другими ИТ-вендорами. Еще две «дыры» связаны с реализацией протокола FTP в более ранних версиях веб-сервера IIS (Internet Information Services); две в кодеке Windows Media Runtime. Об уязвимостях в SMB 2 и IIS было известно с начала сентября. О «дыре» в SMB 2 Microsoft публично заявила в начале октября. Несмотря на появление эксплойта, использующего эту уязвимость, случаев атак с его помощью пока не зафиксировано. Уязвимость присутствует в Windows Vista, Windows Server 2008 и предварительных версиях Windows 7, но не в ее финальной версии, которая официально поступит в продажу 22 октября. О «дыре» в FTP, в свою очередь, было заявлено еще 1 сентября. Эксплойт к ней появился в последние дни августа.

За 10 месяцев 2009 г. Microsoft обнаружила около 160 уязвимостей в своих продуктах, в то время как за весь 2008 г. – свыше 155. В совокупности это вдвое больше, чем за 2004 и 2005 гг., первые полные два года ежемесячных обновлений безопасности. Всего же за последние 6 лет Microsoft, если судить по архиву бюллетеней, выпустила около 400 обновлений безопасности, где описаны около 745 уязвимостей, затрагивающих почти все продукты корпорации. Около 230 бюллетеней – свыше половины – касаются критических уязвимостей, позволяющих удаленно устанавливать полный контроль над системой.

«Для установки такого
нового рекорда у компании Microsoft есть две основные причины: это рост
киберкриминальной активности и рост количества написанного кода», - считает Сергей Голованов, ведущий вирусный
аналитик «Лаборатории Касперского». Говоря о влиянии роста киберприступности на
увеличение числа исправлений в коде разработчиков, он приводит такой пример: две
из восьми критических уязвимостей, исправленных в текущем обновлении Microsoft, были обнаружены
сторонними лицами и опубликованы на различных сайтах, которые регулярно
посещаются злоумышленниками для поиска новых способов проведения своих атак. В
предыдущем месяце таких публикаций вообще не было, а всего за этот год их было
три.

Владимир Мамыкин, директор по информационной безопасности Microsoft в России, в свою очередь, считает, что всего 160 брешей на все продукты в 2009 г. – это «крохи по сравнению с горами уязвимостей у конкурентов, заслуга Microsoft, результат хорошей работы по улучшению безопасности». «Неискушенный читатель подумает – много, - продолжает Мамыкин. - А знает ли он, сколько уязвимостей, например, у Mac OS X? Целых 1038! И за 2009 г. (если точно, то с 18.12.2008 г. по 15.10.2009 г.) их число увеличилось на целых 226. И это только в одном продукте. А что же в Microsoft Vista? В ней за всю историю было найдено 140 уязвимостей,  из них за 2009 г. – 60».

При этом, по словам Владимира Мамыкина, Red Hat Enterprise Linux Desktop v5 имеет на сегодня 970 уязвимостей, в 2009 г. он увеличил их число на 367 и почти догнал в лидерстве за самый «дырявый» продукт Mac OS X. Что же касается Ubuntu, то в версии 8.4, выпущенной в апреле 2008 г., на сегодня обнаружено 616 «дыр» , а за 2009 г. – 403.

«Может, с серверами у Microsoft плохо? – спрашивает Мамыкин. - Посмотрим – у Windows Server 2008 на сегодня было найдено 109 уязвимостей, за 2009 г. их число возросло на 67. А у известной Sun Solaris 10 на сегодня 817 «дыр», в 2009 г. их стало больше на 231. Про Red Hat Linux Server v5 говорить не буду – он еще хуже Solaris 10, сами посмотрите на secunia.com – я все данные беру именно оттуда».

Владимир Мамыкин привел статистику и по «дырам» в базах данных. Так, у Microsoft SQL Server 2005 на сегодня 18 уязвимостей, их число выросло за 2009 г. на 8 штук. При этом у Oracle Database 11.x их общее число в 12 раз больше – 223 бреши, и в 2009 г. их добавилось 107. «7 лет назад мне, как директору по информационной безопасности Microsoft, приходилось краснеть за число обнаруженных у нас тогда уязвимостей, - резюмирует он. - Теперь краснеют наши конкуренты. Времена изменились».

То, что времена меняются, - в разных аспектах - подтверждают и другие вендоры. В частности, за последние годы возросла скорость написания эксплойтов, использующих «дыры» в продуктах. Так, по данным исследования Qualys, выпущенного весной этого года, 80% всех эксплойтов появлялись не позже чем через 10 дней после обнаружения уязвимости. При этом, к примеру, в апреле 2009 г. примерно для 50% всех закрытых Microsoft «дыр» на момент выпуска обновления уже существовали эксплойты.

«В последние 2-3 года время написания эксплойтов сократилось, а количество кибератак растет практически в геометрической прогрессии, - подтверждает Максим Коробцев, технический директор Agnitum. - Поэтому ориентированность на устранение критических «дыр» и смена акцентов в продуктовой политике Microsoft, явно прослеживающиеся в последние годы, говорят о стремлении компании давать быстрый ответ на результаты «публичных тестирований» их продуктов». По словам Коробцева, в острой конкурентной борьбе Windows- и Unix-платформ безопасность системы становится одним из решающих аргументов «за». «Архитектура решений Microsoft по-прежнему по умолчанию проигрывает в безопасности Unix-based решениям, так что основная задача Microsoft в данном контексте - сбалансировать скорость устранения имеющихся недостатков в зависимости от их критичности», - полагает он.

«Время между нахождением «дыры», появлением эксплойта и выпуском заплатки у Microsoft, в среднем, сократилось, особенно после пары нашумевших эпидемий червяков, - отмечает Илья Рабинович, исполнительный директор SoftSphere. – То же самое могу сказать про Adobe и Oracle». В то же время, не стоит связывать увеличение числа уязвимостей с ростом киберпреступности, полагает он. «Чем продукт популярнее, тем больше заинтересованные люди ищут в нём «дыр». Вопрос в том, что квалифицированных людей, которые могут делать эту работу, очень немного, и рост киберпреступности, фактически, никак на эту цифру не влияет», - говорит Рабинович.

Аналогичного мнения придерживается Алексей Гребенюк,
независимый вирусный аналитик, ранее директор Центра технической
поддержки «Доктор Веб». «Количество обнаруженных уязвимостей связано
только с качеством разработок и работы специализированных лабораторий
по поиску этих уязвимостей, а вот сокращение времени реакции - с ростом
киберпреступности, - говорит он. - Это попытка вендора защитить
клиента, что является, безусловно, правильным». Гребенюк отмечает, что,
по его наблюдениям, время реакции вендоров за последние 1,5 года явно
имеет тенденцию к уменьшению. 

Сергей Голованов из «ЛК»,
напротив, отмечает, что, в общем и целом, время реакции разработчиков на
публикации уязвимостей значительно не сокращается. «Применительно к Microsoft, оно так и остаётся
около полутора месяцев, - говорит он. - Что касается других вендоров, то там
ситуация зависит от компании, её опыта работы с подобными проблемами, позиций
на рынке, плюс выстроенных процессов на реакцию о публикации уязвимостей».