Microsoft: За уязвимости должны краснеть конкуренты

Корпорация Microsoft, выпустившая в рамках последнего обновления безопасности рекордное для себя количество «заплаток», стремится поломать стереотип «дырявости» своих продуктов. Общедоступная статистика по числу уязвимостей в продуктах конкурентов говорит не в их пользу, отмечают в российском представительстве софтверного гиганта.

13 октября Microsoft выпустила 13 обновлений безопасности для своих продуктов – рекордное количество в масштабах одного месяца. Обновления закрывают 34 уязвимости во всех версиях Windows (включая новую Windows 7, еще официально не поступившую в продажу), а также в Internet Explorer (IE), Office, SQL Server и других продуктах корпорации. 34 «заплатки» - также рекордное число для Microsoft, 6 лет назад (в октябре 2003 г.) перешедшей на график ежемесячного выпуска обновлений безопасности. Предыдущий рекорд – 28 «заплаток» за месяц – был поставлен в декабре 2008 г.

8 из 13 обновлений, закрывающих 21 «дыру», Microsoft определила как «критические». Остальные 5 бюллетеней имеют статус «важных», как и 9 описываемых в них уязвимостей. Оставшиеся 4 «дыры» представляют «умеренный» уровень опасности. Для нескольких уязвимостей на момент выпуска «заплаток» уже были написаны эксплойты.

Выпущенные Microsoft патчи закрывают три уязвимости в поставляемом вместе с Windows SMB 2 (Server Message Block), сетевом протоколе распределенной файловой системы, разработанном корпорацией и поддерживаемом многими другими ИТ-вендорами. Еще две «дыры» связаны с реализацией протокола FTP в более ранних версиях веб-сервера IIS (Internet Information Services); две в кодеке Windows Media Runtime. Об уязвимостях в SMB 2 и IIS было известно с начала сентября. О «дыре» в SMB 2 Microsoft публично заявила в начале октября. Несмотря на появление эксплойта, использующего эту уязвимость, случаев атак с его помощью пока не зафиксировано. Уязвимость присутствует в Windows Vista, Windows Server 2008 и предварительных версиях Windows 7, но не в ее финальной версии, которая официально поступит в продажу 22 октября. О «дыре» в FTP, в свою очередь, было заявлено еще 1 сентября. Эксплойт к ней появился в последние дни августа.

За 10 месяцев 2009 г. Microsoft обнаружила около 160 уязвимостей в своих продуктах, в то время как за весь 2008 г. – свыше 155. В совокупности это вдвое больше, чем за 2004 и 2005 гг., первые полные два года ежемесячных обновлений безопасности. Всего же за последние 6 лет Microsoft, если судить по архиву бюллетеней, выпустила около 400 обновлений безопасности, где описаны около 745 уязвимостей, затрагивающих почти все продукты корпорации. Около 230 бюллетеней – свыше половины – касаются критических уязвимостей, позволяющих удаленно устанавливать полный контроль над системой.

«Для установки такого
нового рекорда у компании Microsoft есть две основные причины: это рост
киберкриминальной активности и рост количества написанного кода», - считает Сергей Голованов, ведущий вирусный
аналитик «Лаборатории Касперского». Говоря о влиянии роста киберприступности на
увеличение числа исправлений в коде разработчиков, он приводит такой пример: две
из восьми критических уязвимостей, исправленных в текущем обновлении Microsoft, были обнаружены
сторонними лицами и опубликованы на различных сайтах, которые регулярно
посещаются злоумышленниками для поиска новых способов проведения своих атак. В
предыдущем месяце таких публикаций вообще не было, а всего за этот год их было
три.

Владимир Мамыкин, директор по информационной безопасности Microsoft в России, в свою очередь, считает, что всего 160 брешей на все продукты в 2009 г. – это «крохи по сравнению с горами уязвимостей у конкурентов, заслуга Microsoft, результат хорошей работы по улучшению безопасности». «Неискушенный читатель подумает – много, - продолжает Мамыкин. - А знает ли он, сколько уязвимостей, например, у Mac OS X? Целых 1038! И за 2009 г. (если точно, то с 18.12.2008 г. по 15.10.2009 г.) их число увеличилось на целых 226. И это только в одном продукте. А что же в Microsoft Vista? В ней за всю историю было найдено 140 уязвимостей,  из них за 2009 г. – 60».

При этом, по словам Владимира Мамыкина, Red Hat Enterprise Linux Desktop v5 имеет на сегодня 970 уязвимостей, в 2009 г. он увеличил их число на 367 и почти догнал в лидерстве за самый «дырявый» продукт Mac OS X. Что же касается Ubuntu, то в версии 8.4, выпущенной в апреле 2008 г., на сегодня обнаружено 616 «дыр» , а за 2009 г. – 403.

«Может, с серверами у Microsoft плохо? – спрашивает Мамыкин. - Посмотрим – у Windows Server 2008 на сегодня было найдено 109 уязвимостей, за 2009 г. их число возросло на 67. А у известной Sun Solaris 10 на сегодня 817 «дыр», в 2009 г. их стало больше на 231. Про Red Hat Linux Server v5 говорить не буду – он еще хуже Solaris 10, сами посмотрите на secunia.com – я все данные беру именно оттуда».

Владимир Мамыкин привел статистику и по «дырам» в базах данных. Так, у Microsoft SQL Server 2005 на сегодня 18 уязвимостей, их число выросло за 2009 г. на 8 штук. При этом у Oracle Database 11.x их общее число в 12 раз больше – 223 бреши, и в 2009 г. их добавилось 107. «7 лет назад мне, как директору по информационной безопасности Microsoft, приходилось краснеть за число обнаруженных у нас тогда уязвимостей, - резюмирует он. - Теперь краснеют наши конкуренты. Времена изменились».

То, что времена меняются, - в разных аспектах - подтверждают и другие вендоры. В частности, за последние годы возросла скорость написания эксплойтов, использующих «дыры» в продуктах. Так, по данным исследования Qualys, выпущенного весной этого года, 80% всех эксплойтов появлялись не позже чем через 10 дней после обнаружения уязвимости. При этом, к примеру, в апреле 2009 г. примерно для 50% всех закрытых Microsoft «дыр» на момент выпуска обновления уже существовали эксплойты.

«В последние 2-3 года время написания эксплойтов сократилось, а количество кибератак растет практически в геометрической прогрессии, - подтверждает Максим Коробцев, технический директор Agnitum. - Поэтому ориентированность на устранение критических «дыр» и смена акцентов в продуктовой политике Microsoft, явно прослеживающиеся в последние годы, говорят о стремлении компании давать быстрый ответ на результаты «публичных тестирований» их продуктов». По словам Коробцева, в острой конкурентной борьбе Windows- и Unix-платформ безопасность системы становится одним из решающих аргументов «за». «Архитектура решений Microsoft по-прежнему по умолчанию проигрывает в безопасности Unix-based решениям, так что основная задача Microsoft в данном контексте - сбалансировать скорость устранения имеющихся недостатков в зависимости от их критичности», - полагает он.

«Время между нахождением «дыры», появлением эксплойта и выпуском заплатки у Microsoft, в среднем, сократилось, особенно после пары нашумевших эпидемий червяков, - отмечает Илья Рабинович, исполнительный директор SoftSphere. – То же самое могу сказать про Adobe и Oracle». В то же время, не стоит связывать увеличение числа уязвимостей с ростом киберпреступности, полагает он. «Чем продукт популярнее, тем больше заинтересованные люди ищут в нём «дыр». Вопрос в том, что квалифицированных людей, которые могут делать эту работу, очень немного, и рост киберпреступности, фактически, никак на эту цифру не влияет», - говорит Рабинович.

Аналогичного мнения придерживается Алексей Гребенюк,
независимый вирусный аналитик, ранее директор Центра технической
поддержки «Доктор Веб». «Количество обнаруженных уязвимостей связано
только с качеством разработок и работы специализированных лабораторий
по поиску этих уязвимостей, а вот сокращение времени реакции - с ростом
киберпреступности, - говорит он. - Это попытка вендора защитить
клиента, что является, безусловно, правильным». Гребенюк отмечает, что,
по его наблюдениям, время реакции вендоров за последние 1,5 года явно
имеет тенденцию к уменьшению. 

Сергей Голованов из «ЛК»,
напротив, отмечает, что, в общем и целом, время реакции разработчиков на
публикации уязвимостей значительно не сокращается. «Применительно к Microsoft, оно так и остаётся
около полутора месяцев, - говорит он. - Что касается других вендоров, то там
ситуация зависит от компании, её опыта работы с подобными проблемами, позиций
на рынке, плюс выстроенных процессов на реакцию о публикации уязвимостей».


Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

MITRE совместно с Nvidia создают суперкомпьютер с искусственным интеллектом

Аналитический центр MITRE совместно с популярным производителем чипов Nvidia создают суперкомпьютер, который оценивается в 20 миллионов долларов, для ускорения процесса внедрения ИИ в федеральное правительство США. «Песочница» с искусственным интеллектом позволит тестировать передовые технологии.

MITRE является некоммерческой исследовательской организацией, которая работает в США и финансируется из федерального бюджета.

Она является ключевым поставщиком Пентагона и американских разведывательных служб, снабжая солдат и шпионов необычными техническими продуктами. В зону интересов MITRE входят: ИИ, кибербезопасность, квантовая информатика, космическая безопасность и другое.

По словам Чарльза Клэнси, старшего вице-президента MITRE, искусственный интеллект поможет сделать правительство более эффективным, так как оно давно забюрократизировано, а на выполнение различных задач уходит много времени.

Данный проект связывают с подписанным в октябре Байденом указом, который предписывает ускорить процесс исследования и внедрения ИИ среди федеральных служб.

MITRE был создан в 1958 году на базе лаборатории Массачусетского технологического института и является частью сети научно-исследовательских центров, финансируемых Пентагоном. В нём работает около 9000 человек, а его прибыль на 2022 год составила 2,2 миллиарда долларов. На разработки ИИ уходит половина выделяемых средств.

Бывший руководитель MITRE сообщил журналу Forbes, что центр работает над такими проектами, как прототип инструмента для взлома смарт-часов и программное обеспечение для ФБР, позволяющее снимать отпечатки пальцев с фотографий рук подозреваемых в социальных сетях.

Предполагается, что суперкомпьютер MITRE запустят в конце этого года, а базироваться он будет в Эшберне, штат Вирджиния. Клэнси рассказал, что новый продукт будет работать на 256 графических процессорах Nvidia стоимостью 20 миллионов долларов, и все федеральные агентства, участвующие в финансировании MITRE, смогут использовать эту «песочницу» ИИ.

Nvidia находится на пике бума искусственного интеллекта, а работа над данным проектом стала особо успешна. Чипмейкер из Калифорнии является мировым лидером в разработке графических процессоров, используемых для обучения продвинутых моделей ИИ, а их чипы скупаются по всему миру с бешеной скоростью. В сравнении с прошлым годом цена на акции компании выросла на 200 процентов.

Вице-президент по федеральным вопросам Nvidia Энтони Роббинс заявил, что суперкомпьютер может помочь правительству США в решении задач, связанных с защитой инфраструктуры от кибератак, борьбой с мошенничеством, а также с внедрением чат-ботов и цифровых помощников.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru