Microsoft предлагает абсолютно безопасную Windows, но только правительству

Это самая безопасная из когда-либо выпущенных версий Windows XP: ограничено более 600 настроек, на установку критических обновлений безопасности уходит в среднем 72 часа вместо стандартных 57 дней. Единственная проблема - для ее получения вы должны служить в ВВС США.

ВВС США убедили исполнительного директора компании Microsoft Стива Баллмера (Steve Ballmer) снабдить их безопасной Windows, которая снизит контрактные затраты на обслуживание приблизительно на 100 миллионов долларов, с бесконечной лицензией. На этой неделе на слушании по информационной безопасности в Конгрессе США руководитель по разработке в институте SANS Алан Паллер (Alan Paller) в качестве примера рассказал о том, как правительство может использовать свою покупательную способность для того, чтобы заставить компании производить более безопасные продукты. Ведь такие безопасные продукты, в конечном счете, станут доступны для остальной части населения. Случай с ВВС США может оказаться переломным.


Мы поговорили на эту тему с Джоном Джилианом (John Gilligan), прежним информационным директором ВВС, чтобы выяснить подробности.

Джилиан, который был директором в ВВС с 2001 по 2005 год, а теперь управляет собственной консалтинговой компанией, сказал, что все это началось в 2003 году, после того, как Агентство Национальной Безопасности (NSA) провело тесты на проникновение в сеть ВВС в рамках регулярного тестирования безопасности Пентагона.

Специально приглашенные специалисты по безопасности сделали из сети АНБ швейцарский сыр, при этом оказалось, что более 2/3 проникновений стали возможными благодаря некорректно настроенному ПО, в котором были уязвимости. В некоторых случаях виновата была операционная система или приложение, которые были напичканы незащищенными функциями. В других случаях системы, которые изначально были безопасными, стали уязвимыми вследствие переустановки какого-либо ПО без повторной установки патчей.

"Это была очень легкая мишень" - говорит Джилиан.

ВВС США, находясь на грани проведения повторных переговоров с Microsoft относительно контракта по программному обеспечению для своей сети, организовали встречу с Баллмером и попросили, чтобы компания создала максимально безопасную конфигурацию Windows XP. Идея была такова, чтобы администраторы ВВС не тратили всое время на настройку/перенастройку.

Microsoft быстро согласилась на этот план и в качестве куратора проекта выступил сам Баллмер.

"У него есть полдюжина клиентов, с которыми он связан лично" - сказал Джилиан. "Они создали предварительную версию, а мы подстроили ее и кое-что добавили."

АНБ, Национальный Институт Стандартов и Технологии (National Institute of Standards and Technology, NIST), Агентство по оборонным информационным системам (Defense Information Systems Agency, DISA) и Центр Интернет-безопасности (Center for Internet Security, CIS) собрались вместе, чтобы решить, какие функции ОС необходимо ограничить в специальном издании Windows XP для ВВС.

Многие изменения были довольно-таки сложными с технической точки зрения, но Джилиан считает, что важнее всего и проще всего было понять и исправить способ, с помощью которого Windows XP обрабатывает пароли. Представители ВВС настояли, чтобы система была конфигурирована так, чтобы административные пароли были уникальными и отличались от общих пользовательских паролей, препятствуя получению административных привилегий обычным пользователем. Были добавлены новые спецификации для увеличения длины и сложности паролей, а также ограничения срока действия до 60 дней .

ВВС потратили практически два года на создание каталога и проверку всех используемых приложений своей сети в новой конфигурации, чтобы обнаружить конфликты. В некоторых случаях, когда разработанное своими силами программное обеспечение небезопасно взаимодействовало с Windows XP, программисты ВВС должны были внести изменения в используемое программное обеспечение.

"Мы разработали целую дисциплину взаимодействия приложений. Потребовалось внимание старшего руководства, поскольку это не нравилось IT-специалистам. Мы взяли на себя управление и вынудили их модифицировать системы. Но выигрыш был огромен, потому что теперь ВВС знают, что у них стоит на машинах, они знают все приложения и как ими управлять".

В дополнение к безопасной конфигурации ВВС также обратились к Microsoft за автоматизированными инструментами для установки обновлений и запрета на внесение изменений в конфигурацию.

Наличие единой конфигурации в значительной степени экономило время на установку обновлений. Джилиан отметил, что раньше у администраторов сети ВВС уходило больше 100 дней на то, чтобы установить патчи после того, как была обнаружена новая уязвимость - было необходимо проверить патчи на множестве различных конфигураций. На установку внеочередных патчей, которые должны быть установлены мгновенное, уходило 57 дней, а это оставляло сеть уязвимой для злоумышленников.

"Как только этот недостаток стал очевидным, те, кто хотел напасть на наши системы, могли спокойно это сделать" - сказал Джилиан.

В случае единой конфигурации все проверки сама Microsoft выполняет прежде, чем выпустить патч, экономя время и средства ВВС. К тому же благодаря новой конфигурации число звонков в службу технической поддержки ВВС снизилось на 40% процентов.

"Оказывается, когда настроить систему, как подобает, и после этого не вносить каких-либо изменений, она работает очень хорошо" - сказал Джилиан.

ВВС приступили к реализации проекта еще в 2005 года и закончили устанавливать новую конфигурацию на системах в конце 2007 года. В контрактах с поставщиками аппаратного обеспечения было требование, чтобы продавцы предварительно устанавливали конфигурацию Windows XP на системы прежде, чем поставлять их ВВС.

ВВС сэкономили 100 миллионов долларов на пятилетнем лицензионном соглашении с Microsoft, объединяющем больше 30 контрактов - это стало возможным благодаря тому, что покупалась одна общая стандартная конфигурация.

Важно, что безопасность системы действительно выросла. Джилиан сказал, что после того, как конфигурация была установлена, 85% осуществляемых атак были успешно заблокированы.

"Как только у вас установлена стандартная конфигурация, ее становится гораздо сложнее атаковать" - сказал Джилиан. "Я не буду утверждать, что в сеть ВВС нельзя проникнуть, но количество инцидентов уменьшилось в разы. Надеюсь, что те, кто защищает сети, могут теперь сосредоточить свою энергию на меньшем наборе уязвимостей и более сложных атаках."

Проект был настолько успешен, что это стало основой для программы правительства Federal Desktop Core Configuration Program, которой в прошлом году отдел управления и бюджета Белого дома поручил улучшить безопасность правительственных систем. Джилиан сказал, что другие отделы начали с конфигурации ВВС и лишь немного ее изменили, чтобы та соответствовала их конкретным потребностям и приложениям.

Он сказал, что следующий шаг должен расширить проект на другие программные продукты, такие как системы управления базами данных. Он добавил, что уверен в том, что пример с Microsoft станет поворотным при обсуждении с вендорами, которые усиленно сопротивляются ограничению функций их приложений.

"Они все еще работают в той модели, которая предполагает предоставление клиентам всех функций" - сказал он. "Но я думаю, что мы достигли точки, где эта модель больше не эффективна. Я считаю, что все продукты должны идти с ограниченной конфигурацией, а если клиент решит, что они хочет изменить ее, тогда вперед. Они не могут продолжать поставлять продукты, при которых расходы, которые несет потребитель из-за необходимости поддерживать конфигурацию и противостоять атакам, настолько высоки".

Что означает это для нас, для среднестатистических пользователей, пока неясно. Мы связались с Microsoft, чтобы узнать, планирует ли компания выпускать подобные - ограниченные в функционале - версии Windows XP на потребительский рынок, а также появлияет ли этот успешный опыт на будущие продукты компании. И получили в ответ лишь молчание.