Сертификация программ от Microsoft

Леший из-за Лукоморья

Спецвыпуск: Хакер, номер #048, стр. 048-092-4

В конце октября 2002 года корпорация Microsoft объявила о получении платформой Microsoft Windows 2000 (Professional, Server и Advanced Server) сертификата на соответствие западной редакции «Общих критериев». Сертификация шла около 3 лет.

27 марта прошлого года был начат процесс сертификации Windows XP и Windows 2003 Server на соответствие «Общим критериям». 12 февраля этого года сертификация Windows XP была успешно завершена, а сертификация Windows 2003 продолжается. Зная сроки сертификации NT и 2000, можно предположить, что и Windows 2003 будут проверять не менее 3 лет – ждать осталось два года :).

В итоге

Несмотря на все заявления Microsoft о повышении уровня защищенности ее изделий и получение ими сертификатов соответствия требованиям по безопасности, ситуация не такая радужная. Некоторые всемирно известные специалисты (среди них и Брюс Шнайер) обвиняют компанию, возглавляемую Биллом Гейтсом, в создании угрозы национальной безопасности. А кто-то идет дальше, сравнивая рост инсталляций ОС Windows со стихийным бедствием.

Известная независимая консалтинговая компания Gartner Group (www.gartner.com) не осталась в стороне от этой проблемы и неоднократно рекомендовала всем пользователям отказаться от решений компании Microsoft по причине их низкой защищенности:

- 19 сентября 2001 года – после эпидемии Nimda;

- 15 мая 2003 года – после обнаружения дыры в Microsoft Passport;

- 12 августа 2004 года – после заявления о выпуске Windows XP Starter Edition.

Призывать к этому, конечно, глупо, так как нет ни одной по-настоящему защищенной операционной системы. Но и рассчитывать, что даже сертифицированные экземпляры этой ОС будут защищены лучше, чем все остальные, неразумно. Поэтому, как всегда, остается надеяться только на себя: своевременно патчить систему, установить и регулярно обновлять антивирус и персональный межсетевой экран - невзирая на «независимые» бумаги и заявления производителя о защищенности его творений.

Почему нельзя проверить все возможные конфигурации тестируемой системы? Вспомни школьный курс комбинаторики. У системы с 10 настройками по 2 возможных варианта будет 1024 различных конфигураций. У системы с 20 настройками по 2 возможных варианта будет 1048576 различных конфигураций. Теперь представь, что настроек несколько сотен и для каждой число возможных вариантов больше 2. Можно ли проверить все состояния работы такой системы?

Число строк кода в разных версиях Windows:

- Windows 2000 - 35 миллионов

- Windows XP - 50 миллионов

По данным института Карнеги-Меллона, на 1000 строк кода программы приходится от 5 до 15 ошибок, которые никак не проявляются и не нарушают функционирования системы.

Вот что мы читаем на официальном сайте Гостехкомиссии (www.gostexkom.ru): «Государственная техническая комиссия России является федеральным органом исполнительной власти, осуществляющим межотраслевую координацию и функциональное регулирование деятельности по обеспечению защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную или служебную тайну, от ее утечки по техническим каналам, от несанкционированного доступа к ней, от специальных воздействий на информацию и по противодействию техническим средствам разведки на территории Российской Федерации».