Можно ли доверять поправкам Microsoft?

Вместо того чтобы тратить время и деньги на установку каждой поправки, выпускаемой Microsoft, эксперты рекомендуют дожидаться выхода сервис-пакетов и усилить правила безопасности.
Худшее, что может сделать компания, чтобы выдержать следующую атаку Slammer-подобного вируса, это заниматься обновлением операционных систем и приложений при выходе каждой поправки от Microsoft, говорят эксперты. Лучше устанавливать только сервис-пакеты — после тщательного внутреннего тестирования. Эти рекомендации лишний раз подтверждают, что индустрия не принимает всерьез инициативу Microsoft Trustworthy Computing, призванную улучшить репутацию компании как разработчика надежного ПО.

Пьер Ноэль, стратег безопасности секьюрити-компании TruSecure International, считает, что те заказчики, которые в начале этого года выполняли все инструкции Microsoft по установке поправок, остались беззащитными перед вирусом Slammer. Но если бы они устанавливали только сервис-пакеты, игнорируя отдельные патчи и хот-фиксы, они были бы в безопасности.
«За 12 месяцев Microsoft выпустила несколько поправок для своего ПО SQL Server. Первые защищали от уязвимости, а последняя — которая вышла за месяц до атаки Slammer — предназначалась для решения другой проблемы, однако сама делала SQL Server уязвимым», — говорит Ноэль.

Его мнение разделяет главный аналитик RedMonk Джеймс Говернор: «Это правда. К сожалению, так оно и есть».
Стюарт Окин, директор по вопросам безопасности Microsoft UK, отрицает, что компании, следующие правилам безопасности Microsoft, остаются уязвимыми. «Мы выпустили патч за шесть месяцев до этого, а немного позднее добавили к нему пару хот-фиксов».
Говернор предупреждает, что пользователям следует осторожнее относиться к разнообразным апдейтам и фиксам, выпускаемым Microsoft. Нужно понимать разницу между патчами, секьюрити-патчами и quick fix enhancements (QFE). QFE предназначены для решения специфических проблем заказчика и нужны не всем.

Однако Ноэль идет еще дальше и советует своим заказчикам вообще не устанавливать отдельных поправок, а придерживаться сервисных пакетов и здравого смысла в подходе к ИТ-безопасности, что, по его мнению, не только экономичнее, но и эффективнее. «Когда компанию спрашивают о мерах безопасности, она обычно говорит: „Да, мы в полной безопасности, так как устанавливаем все поправки”. Но это очень дорогостоящие процедуры, к тому же прежде чем установить патч, необходимо убедиться, что он совместим с существующими приложениями».
Ноэль предлагает три простых совета, которые, по его мнению, позволят предприятию, не тратя ни пенни, повысить степень защищенности на 85%. «Установка патчей — последнее, что требуется нашим заказчикам. Вместо этого вы сократите риск на 20% или 30% комбинацией простых решений. А эффективность этой комбинации может достигать 80- 85%».

Во-первых, говорит Ноэль, 70% внутренних атак случается из-за того, что пользователи входят в корпоративную сеть, а затем оставляют терминал бездействующим. «Можно завести самую строгую систему аутентификации, но в данном случае она бесполезна». Для решения этой проблемы он рекомендует использовать скринсейвер, отпираемый паролем. «Это простое, бесплатное и необременительное решение практически устраняет риск».
Во-вторых, не нужно жалеть времени на то, чтобы сетевые маршрутизаторы и коммутаторы были сконфигурированы правильно. Маршрутизаторы Cisco по умолчанию блокируют запросы из интернета, пока их специально не разрешат. Проблема в том, что из-за лени в большинстве маршрутизаторов параметры по умолчанию оказываются изменены, что создает уязвимость: «Мы обнаружили, что всего 8% маршрутизаторов настроены на блокировку непрошеных запросов. При возвращении всех маршрутизаторов к параметрам по умолчанию система становится устойчивее к типичным атакам в 47 раз».
В частности, касаясь защиты от Slammer-подобных вирусов, Ноэль отметил, что соблюдение простых корпоративных правил безопасности заметно снижало их способность заразить внутреннюю сеть. «Лаптопы должны подсоединяться к внутренней сети — через VPN или напрямую — только после перезагрузки». Это уменьшает вероятность заражения на 50%, так как многие вирусы, включая Slammer, малы и помещаются в памяти. При перезагрузке лаптопа память очищается, но, если он находится в режиме «сна» или «спячки», содержимое памяти сохранено на диске. «Как только лаптоп пробудится, Slammer проснется и проникнет в сеть компании, вызвав атаку на отказ в обслуживании».
«Это не бог весть какая ракетная техника, но она срабатывает», — говорит Ноэль.

Говернор считает, что компании должны не только укрепить свой режим тестирования поправок перед их установкой, но и продумать метод возврата в исходное состояние в том случае, когда что-то пошло не так. «На самом деле это говорит о необходимости иметь строгие процессы и инструменты для поддержки внесения изменений в ПО и управления конфигурацией».
Однако Говернор поспешил заметить, что компаниям следует беспокоиться не только о патчах Microsoft: «Не забывайте, что в этом году вышло много поправок и для Solaris, как и для разных дистрибутивов Linux. Например, Red Hat недавно выпустила патчи для устранения уязвимостей Samba».

Вывод, по Говернору, заключается в том, что не все поправки равноценны. «Когда и зачем устанавливать патчи, должны решать пользователи, а не поставщики. Если это QFE, не устанавливайте их, пока не поймете, что это, для чего это, и пока не узнаете, что Microsoft уже пропустила код через процесс тестирования product-level».
Под давлением заказчиков и партнеров и видя, что ее инициатива Trustworthy Computing трещит по швам, Microsoft признала наличие «проблемы» в ее системе выпуска поправок и намерена решить ее, собрав воедино все предназначенные для этого механизмы. «Мы понимаем, что это сложный процесс, и признаем наличие проблемы», — сказал Окин, изложив план организации работы с поправками, который Microsoft намерена реализовать к 2005 году: «За год-полтора мы придем к паре фундаментальных установщиков — вероятно, это будут Windows и MSI, — так что получим единый источник обновлений. Это будет что-то вроде Microsoft Update, обслуживающего все приложения, а также Windows и Office».

Мюнир Котадиа, ZDNet UK.