Во второй день ежегодной конференции Black Hat Крис Пагет (Chris Paget), главный хакер компании Recursion Ventures, рассказала о своей независимой контрактной работе с Microsoft над Vista еще до выпуска операционной системы. До получения контракта, все члены команды Recursion, участвовавшие в работе над Vista, подписали соглашение о неразглашении, на истечение срока действия которого ушло пять лет.
Крис Пагет на Black Hat 2011
Microsoft использовала команду Крис Пагет для убеждения себя в безопасности Vista. Для Microsoft это был весьма необычный шаг, она никогда не делала ничего подобного.
По словам Крис, Microsoft тогда впервые использовала стороннюю команду. “Они ждали, что мы придем и не найдем ничего. Это было финальной проверкой” – говорит Крис.
Еще до тестирования Vista, команде Пагет пришлось обновить свои жесткие диски, чтобы установить операционную систему, сказала Крис с легкой улыбкой. Команда Recursion просмотрела код ядра и пользовательского пространства, но ей было запрещено просматривать унаследованный код.
Со слов Пагет, Microsoft не включала проверку унаследованного кода вплоть до Windows 7. Ее команда настолько успешно находила критические уязвимости в коде Vista, что отсрочка Vista была в действительности связана с одной найденной ей критической уязвимостью. Успехи в “избиении” Vista были настолько велики, что один из сотрудников Microsoft даже назвал команду Пагет “бандой насилия”.
Несмотря на обнаруженные в Vista уязвимости безопасности, Пагет все-таки высоко оценила работу Microsoft. Она рассказала о системе отслеживания ошибок от Microsoft и о том, что команда безопасности Microsoft даже имела созданный исчерпывающий список возможностей, ранжированных по рискам.
Риск, по ее словам, определялся по требованию возможностями удостоверения личности. Если вам необходимо было ввести пароль, вроде пароля администратора, то риск, связанный с возможностью, был выше. И т.к. Microsoft уже многое сделала, Пагет смогла критически оценивать возможности Vista с самого начала контракта.
По впечатлениям Пагет, Microsoft к тому моменту имела гораздо лучшие защитные процедуры, чем она себе представляла. Пагет даже назвала их “лидирующими в мире” и заявила, что эта характеристика им всецело соответствует.
Комментарии (0)