Не так давно бывший сотрудник Microsoft опубликовал довольно интересные данные о том, как в недрах компании заботятся о безопасности пользователей программных продуктов. Что там происходит, и как всё это выглядит на мой взгляд - далее в тексте.
Что за сотрудник такой?
Есть такой товарищ по имени Эндрю Харрис, которого Microsoft наняла, оценив его незаурядные подходы к выявлению различных уязвимостей в программных продуктах. С 2014 года Харрис трудился над безопасностью различных продуктов компании, выявляя уязвимости целыми пачками. Что-то из них устранялось сразу, что-то спустя какое-то время… Так шли недели, месяцы, список уязвимостей рос, и вроде бы все были довольны - и компания поддерживает реноме на рынке, и Харрис свой хлеб честно зарабатывает. И всё было хорошо, пока он не занялся тестированием одного важного для корпораций продукта.
В том же 2016 году он расследовал один случай, когда злоумышленники проникли в сеть некой американской корпорации и нанесли ущерб предприятию, используя неизвестную на тот момент уязвимость.
Удалившись в свой домашний офис, он начал плотно работать над её выявлением, пытаясь повысить уровень защиты данных пользователей программных продуктов Microsoft. Несколько месяцев он искал её, придумывая различные сценарии реализации, пытаясь скомпрометировать почти все известные программные продукты - надо же узнать, как преступники проникли в сеть. Вскоре ему удалось выявить проблему - уязвимость была выявлена в программном компоненте, с помощью которого пользователи входят в свои учётные записи!
Однако, когда он предоставил отчёт по выявленной проблеме, руководство компании решило прикинуться валенком, и потребовало… переделать отчёт так, чтобы на компанию не падало малейшей тени, дескать, всё хорошо.
Несколько лет Харрис не соглашался, требовал внести соответствующие изменения, признать ошибку компании - это могло пойти на пользу имиджу компании, при правильном донесении этой информации. Дескать, вот, выпустили неправильный продукт, каемся, просим прощения, вот вам пожалуйста, пакет обновлений, который вас теперь уже 100% защитит! Но руководство компании оставалось глухо к призывам Харриса. Вернее, “отмазывались”, дескать исправим, вот в следующих патчах поправим и т.д. Но, как мы понимаем, решения проблемы не предвиделось.
Причём наш герой не сомневался - рано или поздно этой уязвимостью воспользуются, и тогда ущерб компании будет огромным. И он продолжал настаивать на необходимости исправления этой ошибки. Но увы, в компании считали, раз пока никто не нашёл эту уязвимость помимо Харриса, то и не надо об этом твердить. Дескать, убьют - потом приходите. В ответ на это Харрис пригрозил опубликовать данные самостоятельно, но в руководстве компании намекнули об ответственности за разглашение закрытой информации, а также о нарушении правил компании. Однако наш герой не сдался - он лично оповестил всех крупных и важных клиентов компании, кое-кому дал рекомендации по защите данных, после чего разорвал контракт с Microsoft и ушёл с работы.
Возмездие за бездействие?
Неблагоприятный, по мнению Харриса сценарий развернулся уже спустя несколько месяцев после его увольнения - IT-компания SolarWinds была атакована группой неизвестных (хотя по предположению их руководства - русскими) хакеров, которые использовали уязвимость, выявленную героем данной статьи за несколько лет до нападения. Помимо этого, хакеры атаковали ещё и сервера Национального управления по ядерной безопасности, а также Национальный институт здравоохранения, что занимался разработкой вакцины от всем известной болячки. Но и на этом злоумышленники не остановились - они взломали почтовые ящики целого ряда государственных чиновников немаленького ранга из различных министерств… Короче, покуролесили от души, так сказать…
Что же сделали в Microsoft? Они поступили весьма ожидаемо - заявили о своей полной непричастности, отсутствии всякого рода уязвимостей в системе, а также попытались протолкнуть в Конгрессе “отмазку”, гласящую, что в программных продуктах компании нет ни одной уязвимости, которую можно было бы использовать против пользователей, взламывая службы аутентификации. Тем более, нет никаких возможностей применить атаку, которая была использована при атаке на SolarWinds. И вообще, сами пользователи и виноваты, что их взломали - так они сообщили в Конгрессе, когда их вызвали для дачи объяснений по случившемуся. Весьма, скажем, грамотный и ответственный подход к безопасности пользователей программных продуктов Microsoft.
Как оказалось, это не единственный факт крупного использования уязвимостей в Windows - в минувший четверг Харрис должен был давать комментарии в Комитете по национальной безопасности Палаты представителей США по поводу массового взлома, совершённого уже китайскими хакерами. И да, они тоже использовали уязвимости программных продуктов Microsoft, чтобы получить доступ к данным и электронным почтовым ящикам множества государственных чиновников. При этом государственные органы вынесли решение о необходимости модернизации культуры цифровой безопасности в продуктах компании.
Но тут компания хотя бы не стала “отпрыгивать” - заявила, что работы уже идут, исправляем “косяки” денно и нощно, и даже принимаем соответствующие меры к дальнейшему повышению уровня безопасности. А Сатья Наделла прямо всем твердит, что если есть выбор между безопасностью данных и другими возможностями системы, необходимо выбрать безопасность. Всё это конечно, хорошо звучит, прямо пасторально как-то… Но ситуация говорит сама за себя. А если взять в учёт мнение ещё одного бывшего сотрудника Microsoft, Ника Дикола, то станет ясно - прибыль в таких компаниях будет всегда превалировать над качеством продукции.
Третий сотрудник, который поддерживает точку зрения Дикола и Харриса - это Нейт Уорфилд. Он заявил, что компания активно стимулирует развитие облачной платформы Azure, причём только в одном направлении - добавлении новых “плюшек и финтифлюшек”, поощряя тех, кто предлагает вносить в продукт что-то новенькое для привлечения клиентов. Но если тот же программист будет делать что-то, направленное на безопасность - то ему кивнут, похлопают по плечу и всё. Никаких премий, никаких поощрений - кто в современном мире будет это делать за бесплатно? Никто. Хоть это и есть “косяк” разработчиков, но работа принята, значит работодателя всё устраивает.
Заключение
Вместо послесловия хочу просто сказать - конкретные работы по выявлению и устранению уязвимостей, выявленных ещё в 2016-2018 годах, начались в прошлом году. Семь лет и несколько судебных дел понадобилось компании, чтобы взять готовое решение (предложенное еще в 2016 году) и начать его применять. Вот и всё, что вам необходимо знать о правилах безопасности в недрах данного IT-гиганта.
С вами был IT-джедай, а для развития канала – не поленитесь нажать на кнопку «Нравится» и подпишитесь на канал.