Корпорация Microsoft, известная жестким регулированием, если не сказать полной закрытостью внутренних процессов безопасности, наконец-то изменила отношение к этому вопросу. Недавно она пригласила небольшую группу хакеров в свой редмондский городок, чтобы те на виду у собравшихся специалистов совершили попытку взлома.
На мероприятии под названием Blue Hat V2 (“Синяя шляпа, вариант 2”) хакеры “в белых шляпах” вместе с сотрудниками корпорации старались найти уязвимые места различных систем. За ходом эксперимента наблюдало более тысячи разработчиков, менеджеров и экспертов безопасности Microsoft, включая руководителей высшего звена Джима Олчина и Кевина Джонсона, сопрезидентов подразделений платформен ных продуктов и сервисов.
Такое мероприятие проводится уже второй раз; первое прошло в штаб-квартире Microsoft в марте. Как пояснил менеджер программ безопасности подразделения защиты бизнеса и технологий Стефен Тулуз, данная инициатива должна показать разработчикам, как видят плоды их труда хакеры, и помочь усовершенствовать процессы создания безопасных продуктов. В Редмонд были приглашены шесть “этических” хакеров (их еще называют “белыми шляпами”), включая эксперта по безопасности Дэна Камински, главного инженера фирмы Security-Assessment.com Бретта Мура и исследователя фирмы Internet Security Systems Дэвида Мейнора, который ранее работал на команду ISS X-Force в Атланте.
Мейнор продемонстрировал разработчикам и руководству Microsoft, как взломщик может применять в своих целях USB-устройства: воспользовавшись правами на прямой доступ к памяти (DMA), которые предоставляет Windows, хакер вполне может загрузить с такого внешнего оборудования собственный код прямо в ОЗУ и запустить его.
“Этот путь — самый опасный, потому что в одиночку Microsoft перекрыть его не в состоянии, — пояснил Мейнор. — Решить проблему можно только общими усилиями с производителями оборудования”.
Корпорация работает над более безопасной моделью обращения с периферийными устройствами, а в последующем может включить в драйверы USB-элементы проверки безопасности.
Камински и его коллеги долгие годы били в набат, предупреждая о брешах в системе защиты программных продуктов Microsoft, и корпорация наконец-то их услышала. Поэтому вся группа хакеров была приглашена на ланч с бывшими шефами Windows Олчином и Джонсоном. На встрече в узком кругу Мейнор смог обсудить с Олчином возможности обхода функций безопасности новейшего браузера корпорации Internet Explorer 7.0, способы сокращения времени рассылки программных заплат и даже технологии слежения за безопасностью в ОС Vista.
Полученную в ходе Blue Hat информацию Microsoft намерена использовать для обучения своих сотрудников. Также в ее планы входит обновление архитектуры SDL (Security Development Lifecycle — жизненный цикл разработки средств безопасности).
