Технология 'fuzzing' - ключ к успеху безопасности Office

Прошлогодняя волна атак на Office 2003 дала Microsoft несколько жёстких уроков, которые компания теперь агрессивно воплощает в жизнь.

"Когда вышел Office 2003, мы думали, что сделали хорошую работу и что это будет безопасный продукт",- заявил Дэвид ЛеБлан (David LeBlanc), главный инженер по разработке программного обеспечения в команде Office. "В первые два года после релиза он держался действительно хорошо – только два бюллетеня. Но, потом люди сменили свои приоритеты и начали находить проблемы в довольно больших количествах".

ЛеБлан, один из ярых сторонников инициативы Security Development Lifecycle (SDL), вместе с Майклом Говардом (Michael Howard), соавтором книги "Написание безопасного кода для Vista" ("Writing Secure Code for Vista") ссылаются на поток атак в 2006 году, которые использовали различные уязвимости в файловом формате Office 2003. Основные приложения пакета, Word, Excel и PowerPoint, были существенно доработаны в прошлом году. "Не могу не признать наличие уязвимостей. Вы сами можете найти бюллетени безопасности, которые относятся к Office 2003" - заявил Говард.

Атаки и выявленные уязвимости требовали не только немедленных патчей и выпуска Office 2003 Service Pack 3, но и подтолкнули Microsoft к тому, чтобы увеличить усилия по обнаружению ошибок до того, как выпускать код. "Мы поняли, что технология "fuzzing" должна стать частью того, над чем мы работали" - заявил ЛеБлан.

Fuzzing - процесс, используемый исследователями безопасности и разработчиками, выявляющими уязвимости в своем коде до того, как выпустят его. Вооружённые специальными автоматизированными инструментами, которые добавляют в приложения, форматы файлов или компоненты операционных систем информацию, чтобы обнаружить места, где код слаб. Это нечто вроде crash-теста для программ.

Office 2007, а особенно его форматы файлов, подвергались данной процедуре во время разработки, часто с помощью специально изготовленных программ, написанных командами, ответственными за соответствующий формат файла, заявил ЛеБлан. В свою очередь, это вынудило разработчиков Microsoft вернуться к Office 2003, чтобы привести его код к должному уровню. Исправления для утечек, обнаруженных во время данного повторного тестирования, включены в SP 3.

Данная работа была необходима, поскольку Office 2003 все еще поддерживается Microsoft, как объяснил ЛеБланк. "Посчитайте. Общедоступные продукты поддерживаются в течение пяти лет, в расширенной поддержке - ещё пять. Мы оказываемся перед необходимостью поддержки в течение 10 лет" - добавил ЛеБлан.

Это привело к осознанию того, что для того, чтобы должным образом защитить пользователей, Microsoft должна делать больше, чем просто реагировать на шаги атакующих. "Частью нашей работы было понять, куда будут двигаться атакующие и оказаться там до них" - заявил ЛеБлан.

Он признал, что это не простая работа. "Мы выпустили Office 2007 в начале 2007 года, так что широкомасштабная поддержка закончится в 2012 году. Возможно, сейчас я не могу предсказать, что будут делать атакующие и техники, которые они будут использовать к 2012 году. Бьюсь об заклад, что в 2012 году не будет чего-то такого, что нельзя было бы предвидеть сегодня" - заявил ЛеБлан.

Среди способов, благодаря которым команда Office пытается оказаться на шаг впереди атакующих, как сообщил ЛеБлан, есть техника интенсивного фьюззинга. Он указал на презентацию, показанную на конференции по безопасности Black Hat, в которой описывалось использование обобщённых алгоритмов для охвата большего количества кода во время проведения фьюззинга - техники, над которой, как сказал ЛеБлан, Microsoft работала последние несколько лет.

"В данный момент методика может использоваться для относительно простых сетевых протоколов, таких как HTML, которые намного проще, чем, например, документы Word" - заявил ЛеБлан. "Учитывая имеющиеся пять лет, найдут ли атакующие способ расширить данную методику? Наша работа состоит в том, чтобы узнать, что если они смогут это сделать, а мы, со своей стороны, смогли защитить наших клиентов во время всего цикла жизни продукта" - заявил ЛеБлан.

Однако, даже не самые большие усилия не найдут все уязвимости, как признает ЛеБлан. "Одна из проблем фьюззинга - действительно сложно определить, когда испытаний достаточно. Достаточно ли ты проверил код?".

Хорошим примером того, что не было замечено во время тестирования Office 2007, не говоря уже об Office 2003, была ошибка в формате файла Excel, которая раскрыта в июльском бюллетене безопасности MS07-036. Уязвимость, которая существует во всей линейке продуктов Office с 2000 по 2007, состояла в том, как написано в бюллетене, "как Excel обрабатывал неправильные файлы Excel". Это была первая ошибка в основном формате файлов в Office 2007.

"Что-то все время проскальзывает" - признал ЛеБлан после релиза бюллетеня MS07-036. "Нам нравится предотвращать такие вещи и мы в целом довольны проделанной в Office 2007 работой. Это первое. Это пример, того, почему мы должны продолжить становится умнее в этом вопросе и прикладывать больше сил для решения этой специфичной проблемы".

В итоге, как заявил ЛеБлан, разработчики, работающие над Office, знают, что им необходимо расширить границы своего понимания. "Мы планируем продолжить расширять границы своего понимания, чтобы найти способ сделать продукт настолько безопасным, насколько это в принципе возможно. Нам нужно найти способ выхода из положения, чтобы оказаться впереди этих злонамеренных парней".


Источник: http://www.computerworld.com
Перевод: Zloy Kak Pё$