Глядя на то, как проявляет себя червь Conficker, а Microsoft продолжает
закрывать многочисленные дыры в своих программах, вполне логично будет придти к
выводу о том, что плохие парни побеждают в битве за контроль над подключенными к
сети Интернет компьютерами.
Но так ли это? Разработчики все чаще берут на вооружение утилиты, позволяющие
укрепить их творения, а уровень взаимодействия и сотрудничества между ними
достиг невиданных доселе высот. Эксперты говорят, что создатели приложений
теперь сосредоточены не только на том, чтобы активно патчить уже обнаруженные
дыры, но и на том, чтобы исключить само их наличие в разрабатываемых продуктах.
Например, Дэн Камински полагает, что тот же Conficker в 2003 году мог бы
причинить куда больше ущерба чем в году текущем и соглашается с тем, что раньше
скомпрометировать Windows было намного легче.
Так, в первой половине 2008 года на долю Vista приходилось лишь 5,5% всех
уязвимостей в продуктах Microsoft, а машины под ее управлением заражались на 60%
реже, чем компьютеры с Windows XP. Согласно данным IBM X-Force, теперь
корпорация Microsoft занимает лишь третье место в списке вендоров с наибольшим
числом уязвимостей, при этом на ее программы приходится всего 2,5% проблем.
Львиную долю здесь оккупировали проекты, которые во что бы то ни стало стремятся
стать второй Facebook, поскольку 70% из них начинают тестирование безопасности
лишь после выхода готового продукта.
Чтобы помочь разработчикам, Microsoft выпускает различные
инструменты для
тестирования безопасности, последним из которых стала утилита "!exploitable
Crash Analyzer", которая упрощает процесс обнаружения уязвимости к
эксплоитам. Упомянутый выше Дэн Каминский сказал, что эта программа "меняет
правила игры".
Впрочем, помощь сообществу разработчиков предлагает не только Microsoft. К
примеру, бесплатная утилита
для обнаружения дыр во Flash-приложениях имеется у HP, а компания IBM
продает свой собственный инструментарий для создателей продуктов на базе Flash и
Ajax. Да и CERT CC не далее, как на прошлой неделе выпустил
инструмент для тестирования
кода ActiveX.
Несмотря на рецессию, объем рынка решений по обеспечению безопасности
существенно вырос, и составил в США 450 миллионов долларов. Поэтому дело в
обеспечении безопасности программных продуктов сейчас – во многом за самими
разработчиками. Например, согласно последнему исследованию Forrester, лишь 34%
компаний позволяют себе выделять для тестирования безопасности отдельный цикл
разработки, в то время как 57% фирм не проводят даже систематических тренингов
по этой теме.