Новости Software за день

Проблемы Microsoft Passport
Недавно известная компания eBay отказалась от использования Microsoft Passport. Напомню, что эта технология представляет собой сервис аутентификации. Отказ вызвал оживленные дискуссии в кругах, которым не нравится Microsoft вообще (например, на Slashdot). Основной аргумент "повстанцев" следующий: "Никто не доверит свою информацию компании Microsoft, поэтому Passport и провалился". Это, однако, не довод. Разобраться с Microsoft Passport довольно сложно. Определенный интерес представляет аналитический материал, опубликованный недавно на SecurityFocus.

Автор отмечает, что у Passport действительно время от времени появляются проблемы с безопасностью. Microsoft не смогла убедить достаточно большое количество web-сайтов использовать Passport для аутентификации. Именно поэтому технология, насчитывающая 200 млн. пользователей, провалилась...

Если мы оглянемся немного назад, то заметим огромные амбиции Microsoft по отношению к Passport. Софтверный гигант хотел, чтобы эта технология стала ключом к миру электронной коммерции: каждый пользователь аутентифицируется на любом web-сайте с помощью одного и того же имени и пароля, а также делает быстрые покупки с помощью специального бумажника Passport Wallet. Но пользователи не доверяли Интернет и не позволили бы ни Microsoft, ни какой бы то ни было другой компании хранить их финансовые сведения. Microsoft изменила стратегию, и отказалась от Passport Wallet. По мнению автора, мир еще не был готов к этой технологии. Она опередила время.

Но даже это не помогло. Вне Microsoft технология не смогла завоевать доверие. Всего лишь несколько крупных web-сайтов реализовали Passport у себя, и то - лишь как альтернативу другим способам аутентификации. Некоторые компании заявили, что внедрять Passport слишком дорого и сложно. Другие сказали, что эта технология аутентификации не принесет им новых клиентов. Но все сошлись в одном - проблема в доверии.

Автор отмечает, что пользователи заблуждаются о многих аспектах Passport. Например, Passport не требует хранения большого количества личной информации о пользователе. К тому же никто не запрещает ввести ложную информацию. Тем не менее, многие почему-то пишут, что Passport хранит информацию о кредитных картах и паролях. Это, как минимум, неточность.

Еще одно заблуждение связано с безопасностью. Использование одной и той же технологии аутентификации очень похоже на банальное использование одних и тех имени и пароля на каждом web-сайте (что является очень плохой практикой, с точки зрения безопасности, но многие пользователи все равно так поступают). Passport - это узкое место. Завладев паролем к нему, злоумышленник получит доступ к учетной записи пользователя в Hotmail, MSDN и MSN MoneyCentral. Это очень плохо. Но иметь одно потенциально уязвимое место лучше, чем сотню незащищенных точек аутентификации. Лучше, потому что легче осуществлять мониторинг, управление и исправление ошибок. Лучше, потому что легче внедрить технологии наподобие PKI, аппаратной или биометрической аутентификации. Если новая возможность появится в Passport, она появится тут же на каждом web-сайте, его использующем.

Следует отметить, что о безопасности Passport как таковой рассуждать очень сложно. Мы не знаем, как он устроен. Исходный код закрыт. Тем не менее, согласно судебному разбирательству 2002 года Федеральная Торговая Комиссия США обязала Microsoft выполнить минимум требований к этому сервису:

Программа должна учитывать административные, технические и физические аспекты;

Как минимум один служащий должен координировать безопасность проекта и отвечать за это;

Определить все внутренние и внешние риски, учесть их согласно значимости;

Спроектировать и реализовать новые меры предосторожности, чтобы контролировать эти риски;

Обеспечить возможность мониторинга и отчетности для третьей независимой компании;

Обновлять программу при каких-либо изменениях в способе ведения бизнеса, связанных с безопасностью.

Microsoft должна была раздать до конца 2002 года копию постановления FTC всем своим директорам, менеджерам и другим служащим, в том числе будущим, так или иначе связанным с Passport.

Автор приходит к выводу, что Passport - хорошая вещь для некритичных к безопасности web-сайтов. Чтобы сохранить Passport и не дать проекту умереть до конца, софтверному гиганту следует сделать следующее:

Понять место Passport в мире и не пытаться претендовать на большее, чем есть. Позаботиться о защите web-страницы, куда пользователь вводит имя и пароль. Иначе злоумышленный web-оператор сможет обмануть пользователя и воспользоваться его реквизитами.

Обеспечить многоуровневую аутентификацию. Пользователь должен иметь несколько отдельных доменов внутри Passport.

Позволить пользователю отказаться от использования Passport в таких службах, как Hotmail и MSN Messenger.

Сделать публичными больше внутренних вопросов, связанных с безопасностью Passport (политики, стратегии, процедуры, отчеты и т.д.).

В любом случае, Microsoft не сможет гарантировать сто процентную безопасность Passport. Это очевидно. Все же у технологии есть отличное поле деятельности. Хотя доверять управление банковским счетом Passport не следует, а вот избавиться от сотни имен и паролей для доступа к некритичным сайтам очень хотелось бы.
Автор: Алексей Доля Дата: 19.01.2005 12:04
Попытка отстоять авторские права в Китае
Пекинская компания была признана виновной в распространении нелегальных цифровых версий восьми книг, написанных одним их китайских экспертов по интеллектуальной собственности. Семь книг были выложены в сети Интернет Пекинской Школой Цифровых Технологий. Эти книги были именно о пиратстве, одна, например, была озаглавлена "Познай врага и самого себя. Выиграй войну за интеллектуальную собственность".

Конечно, говорить об искоренении китайского пиратства еще очень рано. Однако факт остается фактом: китайский суд обязал Пекинскую Школу Цифровых Технологий заплатить компенсацию профессору Женг Ченгси (Zheng Chengsi) в размере почти 7 тыс. долларов США. Замечу, что профессор является автором, редактором и экспертом по интеллектуальной собственности в Китайской академии Социальных Наук.

Хотя судебное дело подняло много вопросов о правах на интеллектуальную собственность в Китае, аналитики обратили внимание, что в целом местные суды способны обеспечить защиту авторских и патентных прав.

Кража интеллектуальной собственности в Китае также касается всех других стран и компаний, которые хотят иметь с Китаем партнерские отношения. На прошлой неделе, Дональд Эванс, секретарь правительства США по коммерции, жаловался, что отсутствие контроля над интеллектуальной собственностью в Китае вызывает скептицизм в перспективах ведении бизнеса с этой страной.

Аналитики считают, что никакие внешние силы не способны повлиять на обстановку с интеллектуальной собственностью в Китае. Это под силу лишь внутренним китайским правообладателям. Хотя международное давление важно само по себе, шансы переломить исход дела есть только у местных компаний и частных лиц. Хотя для защиты своих прав в Китае требуется недюжинная подготовка. Профессору Женгу удалось отстоять свои права благодаря колоссальному опыту (он является членом Национального Конгресса Граждан и Китайской Ассоциации Авторских Прав).

Интересно отметить, что профессор обвинил китайскую организацию в том, что она выложила его книги на своем web-сайте. Суд обязал ответчика не только заплатить штраф, но и публично извиниться. Представители ответчика собираются подавать апелляцию. Они утверждают, что книги на своем сайте не выкладывали, а лишь предоставили технологии и услуги для того, чтобы другие пользователи смогли пользоваться online-библиотеками.

Описанный выше случай - лишь вершина айсберга. Многие китайские интернет-кафе предлагают клиентам поиграть в нелицензионные игры и посмотреть пиратские фильмы. Даже если найдется целая армия "профессоров Женгов", искоренить пиратство только их силами вряд ли удастся. Основная проблема в том, что сами китайцы не уважают права на интеллектуальную собственность богатых западных компаний...
Автор: Алексей Доля Дата: 19.01.2005 12:10
WinOE - в середине 2006 года
Технология Microsoft для управления рабочими процессами, WinOE, будет доступна вначале в качестве дополнения к .NET Framework и версии Visual Studio по кодовым названием "Whidbey" в середине 2006 года, а чуть позже - как часть Windows Longhorn и Microsoft Office 12.

"WinOE" расшифровывается как "Windows Orchestration". Этот проект разрабатывается с самого начала той же командой программистов, что создала Microsoft BizTalk. WinOE представляет собой набор высокоуровневых XML-схем, классов .NET, нескольких программных интерфейсов (APIs) и компонентов. Все это позволит разработчикам Visual Studio 2005 создавать бизнес-процессы и рабочие процессы типа "человек-человек".

WinOE также станет частью Windows Longhorn (клиентской и серверной версии) в 2006 и 2007 годах, а также WinOE войдет в Microsoft Office 12 и следующую версию SharePoint Portal Server. Microsoft собирается сделать WinOE доступным из всех своих продуктов. Таким образом, строительные блоки WinOE можно будет использовать повсюду.

Бета-версия WinOE должна быть готова ко второй половине 2005 года, выход же официального релиза намечен на середину 2006 года. Представители Microsoft заявили, что проект WinOE должен быть обязательно готов к моменту выхода Windows Longhorn (клиентская версия - 2006, серверная версия 2007). В эти системы WinOE войдет как дополнение к Windows SharePoint Services и Windows Digital Right Management Services.
Автор: Алексей Доля Дата: 19.01.2005 12:14
Эволюция брандмауэров
Интересная статья о межсетевых экранах появилась на SecurityFocus. Автор рассматривает эволюцию технологий, используемых в брандмауэрах, вплоть до Deep Packet Inspection (DPI). Статья представляет интерес не только, как редкий очерк о технологиях межсетевых экранов. Основной вывод автора - применение DPI может в некоторых случаях вызвать обратный эффект и лишь ослабить защиту. Заинтересовавшихся отправляем на SecurityFocus, так как статья - довольно большая. Здесь же мы рассмотрим основные тезисы.

Прежде всего, почему такое внимание уделяется DPI? Потому что эту технологию уже внедрили такие гранды, как Microsoft, Cisco, Checkpoint, Symantec, Nortel, SonicWall, NAI, Juniper/Netscreen и т.д. За последние полтора года технология стала стандартом де-факто для мощных корпоративных брандмауэров. DPI позволяет заглянуть внутрь каждого пакета (включая секцию данных). Решение "разрешить" или "блокировать" принимается на основе правил, которые задает администратор. Сам же "движок" DPI имеет правила на основе сигнатурного сравнения, эвристических и статистических технологиях, а так же технологиях, основанных на определении аномалий.

DPI позволяет брандмауэру анализировать и фильтровать SOAP и другие XML документы, динамически открывать и закрывать порты для трафика VoIP, выполнять встроенные сканирование вирусы и фильтрацию спама, динамически пропускать трафик мгновенных сообщений, противостоять атакам, основанным на службах NetBIOS, обрабатывать трафик P2P (около 35% всего трафика в Интернет), проверять сессии SSL и т.д. DPI также сводит на нет функциональность систем обнаружения вторжений (IDS), так брандмауэр с DPI по сути включает в себя и IDS. Но что было до DPI?

Первой технологией была "Shallow Packet Inspection". Такой межсетевой экран отделял две и более сетей друг от друга, мог разрешать или запрещать трафик на основе протокола передачи, вел журнал событий, обеспечивал трансляцию адресов (NAT), играл роль конечной точки в VPN, а случае проблем блокировал абсолютно весь трафик. Сюда же относится технология "Stateful Inspection", которую ввела компания Check Point Software Technologies.

Следующей технологией была "Medium Depth Packet Inspection", суть которой свелась к появлению proxy-сервера приложений. Другими словами, приложение не могло установить прямое соединение с сервером, а сервер - с приложением. Между ними всегда стоит proxy-сервер. Некоторые компании (Check Point, Cisco, Symantec, Netscreen и NAI) встроили в свои приложения фильтры, которые анализируют трафик приложений (конечно, не всех, а только некоторых и действующих по нескольким основным протоколам).

Далее пришла технология DPI. Сразу отметим, что анализ секции данных в передаваемом трафике - очень дорогое удовольствие. Часто приходится прибегать к аппаратному решению. При всех перечисленных выше достоинствах DPI, межсетевой экран с этой технологией подвержен атакам переполнения буфера, DoS-атакам, более изощренным вторжениям, а также уязвим для некоторых червей. Сложность в построении движка DPI привела к появлению большого числа экслоитов для конкретных брандмауэров (конкретные примеры эксплоитов с описаниями и ссылками смотрите в оригинале статьи).

Следует отметить также некоторые общие закономерности. Прежде всего, статистика ФБР. 98% компаний используют брандмауэры и 56% по-прежнему страдают от вторжений. P2P-трафик значительно усложняет жизнь межсетевым экранам из-за своей асимметричности, большого размера передаваемых файлов, инкапсуляции в другие протоколы и т.д.

DPI - многообещающая технология, которая, возможно, решит эти проблемы. Новые реализации брандмауэров с DPI способны анализировать пакеты с гигабитными скоростями, а объединение IDS с межсетевым экраном упрощает настройку и управление решением. Тем не менее, есть и минусы.

Развертывание брандмауэра или IDS, состоящего из нескольких автономных компонентов, позволяет избежать ситуации, когда сеть останется незащищенной в случае выхода из строя одного из компонентов. Так же это позволяет компании покупать различные части решения у разных поставщиков. Также DPI привносит сложность в итак не простые продукты - брандмауэры, IDS, серверы и сети приманки. DPI требует постоянного наблюдения, изменения настроек и анализа журнала. Заменит ли DPI все другие технологии? Если да, то она принесет с собой свои собственные уязвимости. Ответ даст только время.
Автор: Алексей Доля Дата: 19.01.2005 12:18