Microsoft: nasza strategia łatania
Od kilku dni narażeni jesteśmy na ataki poprzez odkrytą niedawno lukę w zabezpieczeniach programu MS Word. Już w ubiegłym tygodniu pojawiły się wykorzystujące ją konie trojańskie, zaś początek tego tygodnia przyniósł informacje o tym, że luką zainteresowali się również internetowi oszuści. Przedstawiciele koncernu poinformowali, że pracują nad uaktualnieniem, jednak być może trzeba będzie na nie poczekać jeszcze 2 tygodnie. To ściągnęło na Microsoft falę krytyki - eksperci zarzucają firmie, że zbyt długo zwleka z udostępnianiem patchy. Bret Arsenault z Microsoftu tłumaczy, że comiesięczny cykl udostępniania łatek jest najwygodniejszy dla użytkowników. "Wydaje mi się, że praktyka stosowana przez Microsoft opiera się na ( ... ) błędnym rozumowaniu. Zgodzę się, że w korporacjach instalacja aktualizacji jest procesem żmudnym, ale idąc tym tropem, powinniśmy jednak wypuszczać poprawki tak sporadycznie, jak to tylko możliwe - a najlepiej wcale" - mówi Michał Zalewski, znany polski haker.
Przypomnijmy - w ubiegłym tygodniu eksperci z firmy Symantec poinformowali o wykryciu przypadków atakowania komputerów z systemem Windows poprzez nieznaną do tej pory groźną lukę w zabezpieczeniach programu MS Word. Błąd ten został już wykorzystany przez przestępców m.in. do atakowania komputerów japońskiego rządu. Atak polega na wysłaniu do użytkownika Windows e-maila z załącznikiem - czyli odpowiednio zmodyfikowanym plikiem .doc. Gdy plik taki zostanie otwarty w MS Word, w systemie zainstalowany zostanie koń trojański, dzięki któremu przestępcy uzyskają pełny dostęp do zainfekowanego systemu. Na atak podatny jest na pewno program Word 2003 oraz XP - wcześniejsze wersje ( np. Word 2000 ) "wieszają się" przy próbie uruchomienia zmodyfikowanego dokumentu ( więcej informacji na ten temat można znaleźć w tekście "Groźna dziura w MS Word" - http://www.idg.pl/news/93526.html ).
Microsoft aktualnie pracuje nad łatą dla Worda ( zalecanym przez koncern tymczasowym rozwiązaniem jest włączenie trybu "safe mode" - http://www.pcworld.pl/news/93707.html ) - przedstawiciele koncernu zapowiedzieli, że patch udostępniony zostanie "13 czerwca [czyli w drugi wtorek tego miesiąca - red.] lub wcześniej. To ściągnęło na koncern falę krytyki - niezależni eksperci po raz kolejny zarzucili koncernowi, że zbyt długo zwleka z łataniem poważnych błędów w swoich produktach. Dlatego też nasi koledzy z amerykańskiego Computerworlda postanowili porozmawiać z Bretem Arsenaultem, głównym doradcą ds. bezpieczeństwa Microsoft. Rozmowa dotyczyła w głównej mierze "strategii łatania" koncernu....
"Patchowy wtorek" zostanie
Jakie są aktualne plany Microsoftu w kwestii załatania dziury w Wordzie?*Bret Arsenault* Planujemy udostępnić łatkę 13 czerwca - będzie ona elementem naszego standardowego zestawu uaktualnień, który udostępniamy w każdy drugi wtorek miesiąca [wywiad przeprowadzany był pod koniec ubiegłego tygodnia, dziś pojawiły się informacje, że być może Microsoft przyspieszy premierę łatki - red.]. Przez cały czas monitorujemy sytuację - śledzimy liczbę przypadków infekcji i sprawdzamy, jaki wpływ ten błąd ma na naszych klientów. Zdajemy sobie sprawę z powagi sytuacji, jednak musimy przeprowadzić szereg testów - poprawkę trzeba dokładnie sprawdzić pod kątem jakości i kompatybilności. Bo nie ma nic gorszego, niż zainstalować poprawkę, którą później trzeba poprawiać.
Proszę zwrócić uwagę, że większość producentów oprogramowania antywirusowego nie uważa obecnie wirusów wykorzystujących lukę w Wordzie za poważny problem.
Po raz kolejny mamy do czynienia z exploitem infekującym system Windows poprzez znaną i wciąż niezałataną dziurę. Czy w związku z tym zamierzacie może zmienić cykl udostępniania uaktualnień?
Nie chcemy udostępniać produktów, które nie będą spełniały naszych wymagań jakościowych. To zawsze jest trudne zadanie - musimy zdecydować, czy warto udostępnić patcha trochę wcześniej, czy może lepiej nad nim dłużej popracować... I chyba na razie nie będziemy zmieniali przyjętych przez nas zasad. Proszę pamiętać, że gdy zagrożenie jest naprawdę poważne, udostępniamy uaktualnienia poza naszym comiesięcznym cyklem - ale staramy się robić to jak najrzadziej, z uwagi na oczekiwania naszych klientów.Coraz częściej zdarza się, że zanim Microsoft udostępni uaktualnienia na jakiś błąd, stosownego "niezależnego" patcha przygotowują inne firmy. Czy to w jakiś sposób mobilizuje was do szybszego udostępniania łatek?
Tak naprawdę to nas nie trzeba do tego mobilizować - bezpieczeństwo naszych klientów jest priorytetem. Nie bardzo wiem, jak skomentować to, że ktoś udostępnia takie "niezależne" łatki. Oczywiście, te firmy mogą to robić - ale klienci powinni zadać pytanie, czy takie uaktualnienia na pewno zostały odpowiednio przetestowane...
Microsoft błędnie rozumuje
"Wydaje mi się, że praktyka stosowana przez Microsoft opiera się na - w najlepszym wypadku - błędnym rozumowaniu. Zgodzę się, że w korporacjach instalacja aktualizacji jest procesem żmudnym, czasochłonnym oraz wymagającym testowania i planowania. Idąc tym tropem, powinniśmy jednak wypuszczać poprawki tak sporadycznie, jak to tylko możliwe - a najlepiej wcale" - komentuje Michał Zalewski, polski haker, który wsławił się m.in. wykryciem błędów w Internet Explorerze ( pisaliśmy o tym w tekście "IE, Firefox, Safari - dziurawa trójca" - http://www.idg.pl/news/92469.html ). "Tu jednak leży pewien problem - musimy pamiętać, że po drugiej stronie równania, wygoda administratora przeciwstawiona jest rosnącemu zagrożeniu infrastruktury i danych firmy. Dla niektórych korporacji, takie opóźnienie - i wiążące się z tym wielotygodniowe narażenie na ataki - jest akceptowalne. Dla innych - wprost przeciwnie" - tłumaczy Zalewski.
Zdaniem naszego rozmówcy, gdyby Microsoft wypuszczał aktualizacje w ciągu kilku dni od pojawienia się problemu, nic nie stałoby na przeszkodzie, by firmy, które nie widzą uzasadnienia dla dodatkowych nakładów na bezpieczeństwo, wciąż stosowały u siebie miesięczny cykl aktualizacji. Nikt by nie tracił, a zyskaliby ci, którym powinno zależeć na czasie - np. banki, firmy telekomunikacyjne, itp. "Tu właśnie ewidentna staje się słabość argumentów Microsoftu - na ich obecnym trybie postępowania traci klient, a zyskuje tylko sam Microsoft, bo mniej musi inwestować w szybkie reagowanie na zagrożenia i na przyspieszone QA. Pamiętajmy, że firma z rocznymi zyskami rzędu 15 miliardów dolarów może bez wyrzeczeń zainwestować promil tej kwoty w stworzenie mechanizmu pisania i dokładnego testowania nowej łatki w mniej niż miesiąc - a jeśli tego nie robi, to jest to ich świadoma i wyrachowana decyzja dowodząca, że nie traktują swoich klientów z należytą troską" - mówi Michał Zalewski.
To kwestia wygody?
Innego zdania jest Michał Jarski, specjalista ds. bezpieczeństwa z firmy ISS Polska. Jego zdaniem, Microsoft po prostu wybrał metodę dystrybuowania uaktualnień, która jest najbardziej wygodna dla największej grupy klientów. "Udostępnianie uaktualnień w comiesięcznych pakietach jest zdecydowanie najwygodniejszym rozwiązaniem dla użytkowników korporacyjnych. Dzięki temu cyklowi firmowi administratorzy mogą sobie bez problemu zaplanować pracę - a proszę pamiętać, że niektórzy z nich mogą mieć pod nadzorem tysiące maszyn pracujących pod kontrolą Windows. Wprowadzenie takiej regularności było również na rękę zdecydowanej większości użytkowników indywidualnych, których świadomość informatyczna jest dość niska. Oni po prostu wiedzą, że w dany wtorek na pasku pojawia się ikonka aktualizacji i że trzeba pobrać patche" - wyjaśnia M. Jarski. "Grupą najbardziej poszkodowaną - aczkolwiek relatywnie niewielką - są wszelkiego rodzaju entuzjaści komputerowi, którzy zwykle mają świadomość zagrożenia i boleją nad tym, że
producent oprogramowania nie dostarcza im łatki odpowiednio szybko. Inna sprawa, że ci użytkownicy są zwykle na tyle zaawansowani, że potrafią poradzić sobie z wszelkimi niebezpieczeństwami - tzn. mając odpowiednią wiedzę o błędzie potrafią się go ustrzec" - mówi przedstawiciel ISS Polska. Michał Jarski przypomniał również, że zasada "drugiego wtorku" nie jest żelazna - Microsoftowi zdarzało się ja łamać, gdy wymagała tego sytuacja...