Microsoft не прошла испытание «Тюрьмой»

  Роберт Лемос (Robert Lemos), CNET News.com 
  

Сообщения e-mail, попавшие в CNET News.com, рисуют картину борьбы компании с массовым заражением червем SQL Slammer, наводнившим в субботу многие корпоративные сети непрерывными потоками данных, замедливших доступ в интернет и внутренний трафик. «Возможно, затронуты все приложения и сервисы, и в лучшем случае следует ожидать эпизодической потери производительности, — пишет директор по эксплуатации центра обработки данных Microsoft Information Technology Group Майк Карлсон (Mike Carlson) в письме, разосланном в 8:04 a.m. PST в субботу членам других эксплуатационных групп Microsoft. — Сеть сильно перегружена трафиком, что затрудняет сбор информации о степени поражения».

Эти сообщения ставят Microsoft в неловкое положение: компания жалуется на заказчиков, которые не устанавливают поправки, в то время как события последнего уикенда показали ее собственную уязвимость. В данном случае она, похоже, сама не выполнила своей рекомендации об устранении уязвимости в SQL Server 2000. Более того, несмотря на продолжающийся уже год рейд по усилению безопасности своего ПО, софтверный гигант так и не смог защитить от интернет-атак собственные жизненно важные серверы.

«Это доказывает, что идея поправок себя не оправдывает, — говорит главный технолог компании Counterpane Internet Security Брюс Шнайдер (Bruce Schneier). — На публике они заявляют: „Мы не виноваты, надо было устанавливать патчи“. Но действия самой Microsoft показывают, что за этими патчами не угонишься».

Системные администраторы годами жалуются на то, что невозможно постоянно следить за потоками поправок, извергаемых Microsoft и другими софтверными компаниями. В октябре Microsoft даже подняла планку для того, что считать «критической» уязвимостью, чтобы уменьшить количество поправок, на появление которых администраторам следует реагировать в срочном порядке. «Такое впечатление, что всякий раз, когда я устанавливаю патч, в моей системе портится что-то другое», — говорит президент компании Dynamic Webs Фрэнк Бьер (Frank Beier). По его словам, многие системные администраторы месяцами не устанавливают патчи, потому что не верят в способность Microsoft решить одну проблему, не создавая другой. «В большинстве случаев они предпочитают играть в русскую рулетку с хакерами до тех пор, пока те не вломятся в их серверы».

В случае с SQL Slammer Microsoft как будто все сделала правильно. Компания проинформировала заказчиков об уязвимости шесть месяцев назад и включила соответствующий патч как в roll-up patch — пакет всех последних поправок, так и в последний сервисный пакет для Microsoft SQL Server 2000. Но даже внутри самой Microsoft это не сработало. «Примерно в 10:00 p.m. (PST в пятницу) трафик в корпоративной сети заметно подскочил, что через некоторое время привело к замедлению работы всех серверов, — говорится в письме Карлсона. — Причина проблемы на данный момент видится в вирусе, атакующем SQL».

В субботу перестала работать служба Microsoft Windows XP Activation — не из-за уязвимости ее серверов, а потому что внутренняя сеть компании была наводнена бессмысленными данными, признал в интервью в понедельник директор информационной службы софтверного гиганта Рик Девинути (Rick Devenuti). «Мы не знаем наверняка, каким образом вирус оказался в нашей сети», — сказал он.

По его словам, то, что в компании на настольных ПК установлены SQL-серверы, неудивительно. Многие разработчики работают с базами данных, а на опытных машинах установлены уязвимые базы данных, воспроизводящие конфигурацию систем заказчиков. Однако Девинути затруднился ответить, как червь мог проникнуть в эти системы. «Достаточно было заразить единственную машину. Трудно гарантировать, что в любой момент времени все машины пропатчены на все 100%. Мы изо всех сил стараемся облегчить работу с поправками. Но 100% — это высокая планка, и в данном случае мы ее не взяли».