Все новости от 18 июля 2003 г. Можно ли доверять поправкам Microsoft?
Вместо того чтобы тратить время и деньги на установку каждой поправки, выпускаемой Microsoft, эксперты рекомендуют дожидаться выхода сервис-пакетов и усилить правила безопасности.
Худшее, что может сделать компания, чтобы выдержать следующую атаку Slammer-подобного вируса, это заниматься обновлением операционных систем и приложений при выходе каждой поправки от Microsoft, говорят эксперты.
Лучше устанавливать только сервис-пакеты — после тщательного внутреннего тестирования. Эти рекомендации лишний раз подтверждают, что индустрия не принимает всерьез инициативу Microsoft Trustworthy Computing, призванную улучшить репутацию компании как разработчика надежного ПО.
Пьер Ноэль, стратег безопасности секьюрити-компании TruSecure International, считает, что те заказчики, которые в начале этого года выполняли все инструкции Microsoft по установке поправок, остались беззащитными перед вирусом Slammer. Но если бы они устанавливали только сервис-пакеты, игнорируя отдельные патчи и хот-фиксы, они были бы в безопасности.
«За 12 месяцев Microsoft выпустила несколько поправок для своего ПО SQL Server. Первые защищали от уязвимости, а последняя — которая вышла за месяц до атаки Slammer — предназначалась для решения другой проблемы, однако сама делала SQL Server уязвимым», — говорит Ноэль.
Его мнение разделяет главный аналитик RedMonk Джеймс Говернор: «Это правда. К сожалению, так оно и есть».
Стюарт Окин, директор по вопросам безопасности Microsoft UK, отрицает, что компании, следующие правилам безопасности Microsoft, остаются уязвимыми. «Мы выпустили патч за шесть месяцев до этого, а немного позднее добавили к нему пару хот-фиксов».
Говернор предупреждает, что пользователям следует осторожнее относиться к разнообразным апдейтам и фиксам, выпускаемым Microsoft. «Нужно понимать разницу между патчами, секьюрити-патчами и quick fix enhancements (QFE)». QFE предназначены для решения специфических проблем заказчика и нужны не всем. «Мы не советуем организациям устанавливать каждый QFE».
Однако Ноэль идет еще дальше и советует своим заказчикам вообще не устанавливать отдельных поправок, а придерживаться сервисных пакетов и здравого смысла в подходе к ИТ-безопасности, что, по его мнению, не только экономичнее, но и эффективнее. «Когда компанию спрашивают о мерах безопасности, она обычно говорит: „Да, мы в полной безопасности, так как устанавливаем все поправки”. Но это очень дорогостоящие процедуры, к тому же прежде чем установить патч, необходимо убедиться, что он совместим с существующими приложениями».
Ноэль предлагает три простых совета, которые, по его мнению, позволят предприятию, не тратя ни пенни, повысить степень защищенности на 85%. «Установка патчей — последнее, что требуется нашим заказчикам. Вместо этого вы сократите риск на 20% или 30% комбинацией простых решений. А эффективность этой комбинации может достигать 80-85%».
Во-первых, говорит Ноэль, 70% внутренних атак случается из-за того, что пользователи входят в корпоративную сеть, а затем оставляют терминал бездействующим. «Можно завести самую строгую систему аутентификации, но в данном случае она бесполезна». Для решения этой проблемы он рекомендует использовать скринсейвер, отпираемый паролем. «Это простое, бесплатное и необременительное решение практически устраняет риск».
Во-вторых, не нужно жалеть времени на то, чтобы сетевые маршрутизаторы и коммутаторы были сконфигурированы правильно. Маршрутизаторы Cisco по умолчанию блокируют запросы из интернета, пока их специально не разрешат. Проблема в том, что из-за лени в большинстве маршрутизаторов параметры по умолчанию оказываются изменены, что создает уязвимость: «Мы обнаружили, что всего 8% маршрутизаторов настроены на блокировку непрошеных запросов. При возвращении всех маршрутизаторов к параметрам по умолчанию система становится устойчивее к типичным атакам в 47 раз».
В частности, касаясь защиты от Slammer-подобных вирусов, Ноэль отметил, что соблюдение простых корпоративных правил безопасности заметно снижало их способность заразить внутреннюю сеть. «Лаптопы должны подсоединяться к внутренней сети — через VPN или напрямую — только после перезагрузки». Это уменьшает вероятность заражения на 50%, так как многие вирусы, включая Slammer, малы и помещаются в памяти. При перезагрузке лаптопа память очищается, но, если он находится в режиме «сна» или «спячки», содержимое памяти сохранено на диске. «Как только лаптоп пробудится, Slammer проснется и проникнет в сеть компании, вызвав атаку на отказ в обслуживании».
«Это не бог весть какая ракетная техника, но она срабатывает», — говорит Ноэль.
Говернор считает, что компании должны не только укрепить свой режим тестирования поправок перед их установкой, но и продумать метод возврата в исходное состояние в том случае, когда что-то пошло не так. «На самом деле это говорит о необходимости иметь строгие процессы и инструменты для поддержки внесения изменений в ПО и управления конфигурацией».
Однако Говернор поспешил заметить, что компаниям следует беспокоиться не только о патчах Microsoft: «Не забывайте, что в этом году вышло много поправок и для Solaris, как и для разных дистрибутивов Linux. Например, Red Hat недавно выпустила патчи для устранения уязвимостей Samba».
Вывод, по Говернору, заключается в том, что не все поправки равноценны. «Когда и зачем устанавливать патчи, должны решать пользователи, а не поставщики. Если это QFE, не устанавливайте их, пока не поймете, что это, для чего это, и пока не узнаете, что Microsoft уже пропустила код через процесс тестирования product-level».
Под давлением заказчиков и партнеров и видя, что ее инициатива Trustworthy Computing трещит по швам, Microsoft признала наличие «проблемы» в ее системе выпуска поправок и намерена решить ее, собрав воедино все предназначенные для этого механизмы. «Мы понимаем, что это сложный процесс, и признаем наличие проблемы», — сказал Окин, изложив план организации работы с поправками, который Microsoft намерена реализовать к 2005 году: «За год-полтора мы придем к паре фундаментальных установщиков — вероятно, это будут Windows и MSI, — так что получим единый источник обновлений. Это будет что-то вроде Microsoft Update, обслуживающего все приложения, а также Windows и Office». В продолжение темы:
|
|
| DenisHorror - denishorrorhotmail.ru 18 Jul 2003 7:58 PM |
Молодец индус! Очень грамотно. |
|
| SystemV 19 Jul 2003 12:15 AM |
Nu da konechno, a to ved' tak ne ochevidno... |
|
| glassy 19 Jul 2003 7:44 AM |
а у меня по-прежнему даже антивирус не стоит... |
|
| Walker 19 Jul 2003 11:02 AM |
Ну так а чего нового открыл индус-то? Скорее, статья оправдывает ленность администраторов, не удосуживающихся разобраться что к чему в фиксах, заплатках и апдейтах... |
|
| Petr Chulkov - petrchulkov.net 19 Jul 2003 12:36 PM |
>Его мнение разделяет главный аналитик RedMonk Джеймс Говернор и в следующем абзаце надо было сказать типа "а вот наш дворник Вася Пупкин вообще считает, что не стоит включать компьютера - так оно безопаснее"... >советует своим заказчикам вообще не устанавливать >отдельных поправок вот после таких советов и появляются бреши, которые сламер и использует... ведь патч был вырущен задолго до атаки... в общем статья - "переливание из пустого в порожнее".. текста много, а смысла - нет... |
|
| - 19 Jul 2003 1:06 PM |
"Говернор считает, что компании должны не только укрепить свой режим тестирования поправок перед их установкой, но и продумать метод возврата в исходное состояние в том случае, когда что-то пошло не так. «На самом деле это говорит о необходимости иметь строгие процессы и инструменты для поддержки внесения изменений в ПО и управления конфигурацией». " Единственная верная фраза во всей статье. Остальное - такая глупость. Потом из-за таких чудиков и получаются атаки. |
|
| eXOR 19 Jul 2003 2:13 PM |
2 Petr Chulkov: >Вася Пупкин вообще считает, что не стоит включать компьютера - так оно >безопаснее"... Кстати не только ваш Вася. >Единственная верная фраза во всей статье. Остальное - такая глупость. >Потом из-за таких чудиков и получаются атаки. Суть статьи в том что у M$ есть проблема. Проблему они обещают решить, но для того чтобы их убедить, что у них есть проблема, всему миру пришлось потреять кучу мегабаксов. |
|
| Black Bat 19 Jul 2003 5:55 PM |
Мюнир Котадиа: Можно ли доверять поправкам Microsoft? Я: Можно ли доверять субъекту с лицом типичного уголовника и бритым черепом? |
|
| смеющийся рядом 19 Jul 2003 10:36 PM |
Статья абсолютно глупая. Это какой админ не поставит новый патч? Только если только начитается вот таких глупостей. Ну а потом его попрут с работы и будут правы. |
|
| eXOR 20 Jul 2003 5:46 AM |
2 смеющийся рядом: ставим воспрос по другому. Какой админ будет ставить патч на боевой сервер, если все работает... а ну как оно свалится после него (что кстати весьма часто случается). |
|
| Чукча - aleksityandex.ru 20 Jul 2003 9:27 PM |
Перефразируя кого то из американцев: "Еще ни кого не уволили за установку патчей микрософт!" :) Если серьезно, то, конечно, все патчи и апдейты перед установкой на сервер надо тестировать - нет базара! Главное что бы было где;) |
|
| Ыв 21 Jul 2003 7:13 AM |
угу, для этого нужно еще докупить лицензию на сервер и на прошки + еще и железо как на серверах, ... для тестов их патчей ;-) в секьюрити гуид от мс, еще рекомендуют набрать от двух админов до целого отдела для тестирования патчей.... тока вот там ничего не написано кто им будет зп платить... может MS? а? ;-)
|
|
| анонимус 21 Jul 2003 9:24 AM |
>> «Лаптопы должны подсоединяться к внутренней сети — через VPN или напрямую — только после перезагрузки» Отличное решение - reset от M$!!!! Ха-ха-ха!!! |
|
| СтранниК 21 Jul 2003 11:29 AM |
"Под давлением заказчиков и партнеров и видя, что ее инициатива Trustworthy Computing трещит по швам, Microsoft признала наличие «проблемы» в ее системе выпуска поправок и намерена решить ее, собрав воедино все предназначенные для этого механизмы." ==== Это даже не смешно. Очередная РR-aкция провалилась. Ну и подумаешь, обидно то что потребителя пытаются надуть, всеми доступными способами. |
|
| СЕВЕР 21 Jul 2003 11:47 AM |
Ну ежели кому подолбаться лишний раз с серваками не в лом, тот пусть и ставит весь мусор от Мелкософта, мне вот лишние проблемы ни к чему... |
|
| СЕВЕР 21 Jul 2003 11:51 AM |
ВОПРОС: Можно ли доверять поправкам Microsoft? ОТВЕТ: Можно, если жизнь скушна и однообразна :)) |
|
| __ 21 Jul 2003 12:34 PM |
ну чё вы хотите? стабильную, надежную ОС от M$ да еще и юзер-френдли? Ну дык она и стоить тогда будет...не как щас. А как Mac'и...Другой класс... |
|
| !TCH! 21 Jul 2003 9:29 PM |
Довольно странная статья, в которой все высказывают свое личное мнение, не приводя ровным счетом никаких доказательств. Если у Вас течет с потолка, то, разумеется, можно дождаться получения новой квартиры в доме с целой крышей, но большинство нормальных людей все же закроют дырку, хотя это и не отменит ожиданий нового дома. А если конкретная заплатка, полученная через Windows Update, окажется плохой - ну или снесите ее (некоторые это позволяют), или откатитесь назад полностью стандартыми средствами (типа встроенного в XP или используя Roxio GoBack). И потом, Вы действительно верите, что сервис-паки тестируются лучше, чем заплатки? Насчет скринсейвера - это просто бред. Во-первых, физический доступ к ПК не имеет никакого отношения к обсуждаемой проблеме, а во-вторых, защита скринсейвера относится к едва ли не легче всего ломаемым, не говоря уже о том, что она не спасает от атаки через сеть. "Cетевые маршрутизаторы и коммутаторы должны быть сконфигурированы правильно" - А Волга впадает в Каспийское море... Это все правильно, но к делу вообще не относится. О вирусах и лаптопах - это опять бред. Защищаться от активного вируса путем перезагрузки может только полный ... [ч]удак, у которого мозги очистились еще при рождении. Комментировать аргументы типа "многие вирусы помещаются в памяти" я не буду, все и так ясно (я знаю только один непомещающийся - его зовут Windows). Чем вирус "проснувшийся" вместе с памятью лучше просто сидящего в работающем лаптопе (или настольном ПК - они тоже умеют засыпать) я не знаю. "Когда и зачем устанавливать патчи, должны решать пользователи, а не поставщики" - Дак и решайте! Никто не мешает перед установкой конкретного патча почитать о нем и решить, нужен ли он Вам. Кстати, если Вы имеете дело с целым сервис-паками, то решить будет заведомо труднее, так как там невозможно выбирать отдельные заплатки, а если что-то пойдет не так, то найти причину будет еще труднее. Вот уж не думал, что буду выступать в роли защитника Must Die!!! |
|
| Пётр 22 Jul 2003 2:37 AM |
Нет ну статья бредовая однозначно, хотя есть правильные мысли о том что маршрутизаторы должны быть сконфигурированы правильно. Неплохо бы ещё и фаерволлы ставить :-). Лочить станции когда уходишь с места с рабочего просто необходимо, а то какой-нить злобный админ подойдёт и пошлёт письмо начальству ругательное от твоего имени :-) помнится пару лет назад "аналитики считали", что нужно переходить с IIS на iPlanet, ну и что? glassy. Удивил, у меня вот тоже нету антивируса, ну и что. MS, кстати, когда заплатку выпускает, всегда даёт очень обстоятельную статью о том что исправляется, какие компоненты затрагиваются. Не всегда возникает необходимость ставить заплатку для IE на сервере. В общем ЗДнет мельчает. Читать нечего, обсуждать нечего. В дискуссию по поводу последней статьи Елашкина даже заходить не стал, достаточно было её прочесть. Аналитиков развелось!! Хотя это может и хорошо, не будут занимать рабочие места. :-) |
|
| Отец 22 Jul 2003 4:28 PM |
Нормальный админ действительно не будет ставить патч на работающий сервер без тестирования этого патча в демо-конфигурации. И, прежде чем поставить на рабочий сервер, сделает бекап, дабы было куда откатиться в случае чего. |
|
| Прохожий 23 Jul 2003 12:48 PM |
Статья, на мой взгляд, не такая уж бредовая, как кажется многим присутствующим здесь посетителям форума. И акценты поставлены правильно в ней. 1. Акция от МС провалилась. Как заметил Странник, только людям мозги промывали. 2. Поправок, иной раз, бывает очень много. Не успеваешь тестировать. Ставить без тестирования опасно, ибо бывают проблемы с исправлениями ошибок, которые добавляют новые ошибки. И такое случается несмотря даже на подробные статьи от МС. 3. Для того, чтобы тестировать заплатки надо иметь дополнительный тестовый сервер, а также копию состава программного обеспечения, установленного на рабочем сервере. Всё это стоит денег. И подчас немалых. Само тестирование заплаток тоже стоит денег. Если не денег, то времени. 2 !ТСН! Roxio GoBack денег стоит. Не будешь же его на каждый сервер накатывать? |
|
| Прохожий 24 Jul 2003 1:09 PM |
Вот выдержка из руководства МС по установке СП4, которая подтверждает некоторые тезисы в статье: "Корпорация Майкрософт уверена в качестве пакета обновления, однако невозможно протестировать все возможные конфигурации оборудования и сферы применения в конкретной рабочей среде. Рекомендуется протестировать пакет обновления в рабочей среде перед развертыванием его на всех компьютерах."
|
|
| CatPradator 26 Jul 2003 1:59 PM |
Можно доверять Microsoft, но не ее поправкам. Или наоборот. А еще лучше не доверять ни тому, ни другому, а написать собственную операционную систему и на ней же работать в свое удовольствие. Вообще, конечно, лучше дожидаться выхода готовых протестированных патчей, это факт. Вопрос не в этом. Вопрос в другом - в том, что Microsoft затрахали со своими поправками не только пользователей, но и самих себя. Погрязли в этом. Удивительно и грустно наблюдать, как Мелкомягкие пытаются иногда родить что-нибудь новое и интересное, но "начинанья, взнесшиеся мощно, сворачивая в сторону свой ход, теряют имя действия". Ну что креативного они совершили за последние пять, скажем, лет? Ну ClearType font, да СмартХауз концепция (сомнительная), да еще проект Jupiter запустили (унификация платформ для бизнес-приложений), а неизвестно еще что с него выйдет. Зато патчей выпускают... У меня дядя на фабрике Microsoft работает, у него этих патчей - ну просто завались, вот и шлет кому попало...
|
|
| CatPradator 26 Jul 2003 2:19 PM |
Вообще, просто счастье для Билла, что он работает в Штатах, а не у нас в России; вот взяли бы его за жабры, как Ходорковского сейчас, мигом бы понял что к чему. Глядишь, и производство бы свое наладил. А то - поправки, поправки... |
|
| eXOR 26 Jul 2003 6:19 PM |
2 CatPradator: Не прав ты. Имхо их бизнесс модель одна из самых удачных. |
|
| CatPradator 26 Jul 2003 10:13 PM |
Может, и не прав. Не претендую глаголить только истину. Однако удачная бизнес-модель, думаю, еще не показатель. У Procter & Gamble тоже удачная бизнес-модель, но на их памперсы не приходится то и дело ставить заплатки, как на продукты Microsoft.
|
|
| Пётр 28 Jul 2003 1:27 PM |
2 CatPradator. Видел тут краем глаза LongHorn. Вот порадовался за свою специальность институтскую. MS вовсю внедряет в обычные потребительские продукты технологии искуственного интеллекта. Да и вообще много чего делается. Перечислить? Из того что, мне интересно и полезно: -AD с групповыми политиками; -SMS и MOM (очень помогают систему управления инфраструктурой строить); -SQL Server; - SharePoint (особенно после выхода Windows 2003 Server - Windows SharePoint Services) с одной из самых мощных поисковых систем; - да есть ещё вещицы готовящиеся к выходу. Я вот, например, сейчас вовсю работаю с бетой нового офиса, и перейду на финальную версию, как только она выйдет. А случалось ли Вам пользоваться MapPoint'ом? |
|
| Отец 29 Jul 2003 1:07 PM |
А потом придет Очень Злой Хакер и все сломаить! |
|
| eXOR 29 Jul 2003 2:31 PM |
2 Отец: Ужасть... 2 CatPradator: Дыкть памперсы одноразовые. А заплатки - это часть рабочего процесса. И такой подход себя оправдывает. |
|
| Пётр 29 Jul 2003 4:22 PM |
2 отец. У кого-то может и ломаить какой-нить хакер какую-нить линуксу, а вот в моей практике такого не було, шоб хакер ломал. Пытались, не спорю. Были попытки ломать изнутрей, но у них не особо чего получилось, потому как уроды неграмотные. |
|
| добрый 29 Jul 2003 6:36 PM |
2отец: ты не прав. это в редмонде ламаки работают. а в московском представительстве - крутые перцы и очень грамотные. |
|
| CatPredator 2 Aug 2003 10:11 PM |
2 Петр: Ну уж не знаю, что из перечисленного можно отнести к AI... Хотя где-то здесь есть статья о новом поколении самовосстанавливающихся автономных программ, так это и есть реальные зачатки AI 2eXOR: А слабо им делать такую продукцию, чтобы рабочий процесс обходился без заплаток ? Сам много лет занимаюсь программингом, знаю, что такое качественный код. Правда, может не в таких масштабах как Longhorn |
|
| glassy 4 Aug 2003 9:36 AM |
2CatPredator: откинься в кресле и еще раз посмотри на рекламные сообщения при установке win98. Сделай реферат. Я проверю. Приложи к нему ксерокопию вкладыша к твоему диплому инженера-пррограммиста с отметкой о прохождении курса по нейронным сетям и ИИ. |
|
| iZEN - izenmail.ru 7 Aug 2003 1:06 AM |
Слишком сложные системы. "Всё должно быть просто, но не очень просто" - цитата. ;) Каждому ведь хватит КПК с конференц-связью, коллекцией MP3, проигрывателем/записью видео, принтером на любителя :), радиоприёмником и т.д? Только честно! |
|
| Cervello 17 Aug 2003 12:47 AM |
Мелкомягкие патчи, паки и тп - как лекарства : одно лечат, а другое калечат! "Директор ФБР влетает в Овальный кабинет - Господин Президент! Майкрософт инфильтрован агентами российских спецслужб!!! Как?! А вот так - все через анус норовят сделать!!!" |
|
| Mice 18 Aug 2003 10:35 AM |
А может перестать поливать грязью? Может просто написать СВОЮ ОС, которая не будет иметь дырок? Может просто вообще отказаться от Виндовс? 2iZEN а ты про дыры в системах КПК ОС еще не знаешь? 2 Петр тоже самое я могу сказать и про винды. Тоже пытались. И сламмеры пытались и МСБласт. И хакеры какие-то. И ? Настройка винды так как тебе нужно а не по УМОЛЧАНИЮ - это все что нужно для закрытия от хакеров. У меня дома ХП простояла до июня сего года без единого патча и СП. попыток было много ее заломать ,а удачных - 0. |
|
| CatPredator 19 Aug 2003 7:53 PM |
... посмотрел рекламу при установке Win XP. Действительно полегчало. Это лучшее, что есть в Windows. :-))) (нет, конечно, есть и другие хорошие вещи. Логотип, например :-)))) Нет, конечно, Win наворочен, хорошо укомплектован разными сервисами, прост в работе. Лидер, не вызывающий сомнений. Однако то, что у MS большие проблемы с координацией своих разработок - это известный факт. Отсюда и многочисленные поправки, сильно портящие репутацию MS.
|
|
| REAL - realkemsu.ru 25 Aug 2003 2:10 PM |
"Может просто написать СВОЮ ОС, которая не будет иметь дырок?" Не получится, МС зарубит. Тупым топором. Вон, что с той же BeOS стало, а ведь какие надежды подавала :(( Из существующих систем разве только макос и аикс хороши, но это все дорого, а с аиксом еще и неудобно (хотя для серверов - лучшее в природе). Нет альтернатив винде, это понятно, но, блин... Ее в основном такие ламеры писали (достаточно порыться по реестру или винапи, чтобы понять)... в общем, с линухом не лучше. Выход из кризиса где-то должен быть, но всяко не в США. |
|
| Simpson 26 Aug 2003 6:10 PM |
2Mice: у меня тоже ХРюша больше полугода проработала без проблем, при том, что смотрит в инет почти круглосуточно через радио, на днях переставил только из-за коренной смены железа, да и то просто захотелось снова "компьютерного секса" ;о). Лезут, сволочи, со всего мира лезут, как посмотришь логи файрвола (не MS'овского, разумеется), так за голову берешься, когда представляешь, что творится на машинах тех, кому на%рать на безопасность. Впрочем, глупость человеческая безгранична и должна быть наказана. Время от времени пару-тройку десятков айпишников прогоняю через whois, в основном штаты, малайзия, китай, и почему-то дойчланд. Видимо, где больше анонимных прокси или народ наглее. Сканеры почти везде лезут к порту 445 :-), к портам популярных троянов, ну и т.д. по убывающей. Вот недавно с одного IP был несколько раз за день перебор 21,23,80,3128,8080. Кто знает - тот знает. Накатал ABUSE, приатачил кусок лога, пусть разбираются. Насчет своей ОС, не надо лохматить бабушку. Эта тема пробегает с завидной постоянностью по разным форумам. Прямо как дети малые. А баги будут всегда, потому что принципиально невозможно написать прогу без багов, если это конечно не "Hello, world!", да и то некоторые умудряются сделать свою первую ошибку уже при перенаборе из книги. ;о)) Вот Linux, над которым весь мир работает, да и то имеет баги. Просто надо ОС настраивать правильно, а не лезть в инет сразу после первого логон после инстала, чтобы потом не орать "мастдай". |
|
|