Оказавшись в центре нескольких инцидентов с вирусами, наделавших много шума, корпорация Microsoft решила перевести стрелку на тех, кого компания считает по крайней мере частично виновными в этом: на специализирующиеся на компьютерной безопасности фирмы, а также на хакеров, распространяющих образцы программ, которые позволяют использовать огрехи в программном обеспечении Microsoft.

На прошлой неделе менеджер Microsoft Security Response Center Скотт Калп (Scott Culp) опубликовал на веб-сайте компании статью, в которой он осуждает некоторые фирмы и независимых консультантов за распространение технических сведений и примеров кода, называя их поведение «информационной анархией». По его словам, такие сведения стали непосредственной причиной многих наиболее опасных вирусных атак, случившихся в этом году. «Секьюрити-сообществу пора уже прекратить распространение рецептов создания этого оружия, – говорится в статье Калпа. – А пользователям компьютеров пора настоять на том, чтобы секьюрити-сообщество выполняло свои обязанности по их защите».

Статья возрождает дебаты между профессионалами в области защиты информации о том, следует ли разглашать сведения об ошибках в программном обеспечении или их нужно держать в строгом секрете. Исследование, выполненное Microsoft в связи с недавними вирусными атаками – Ramen, 1i0n, Sadmind, Code Red, Nimda и др., обнаружило, что в каждом случае эпидемии вируса предшествовал выпуск так называемого exploit-кода. Это может быть готовая программа или только важный фрагмент, демонстрирующий, каким образом атакующий может воспользоваться тем или иным недостатком ПО.

Сторонники свободной публикации такого кода утверждают, что он помогает системным администраторам оценить угрозу, однако, по мнению Калпа, в exploit-кодах содержится слишком много информации. «Сегодня даже относительно несведущий человек может создать чрезвычайно разрушительную программу, – говорится в его статье. – Со стороны секьюрити-сообщества непростительно продолжать вооружать кибертеррористов. Мы могли бы по крайней мере поднять планку».

Многие профессионалы согласны с этим. «Имеют смысл подробные рекомендации, – говорит директор отдела исследований и разработок фирмы @Stake Крис Уисопал (Chris Wysopal), – но не exploit-код. Если мы отсечем exploit-код, это будет хороший почин».

Microsoft намерена форсировать движение в этом направлении и призывает секьюрити-экспертов провести черту между ответственным предоставлением информации и вооружением людей инструментами и программами для компьютерных атак, говорит Калп. «Мы не утверждаем, что знаем решение проблемы, – сказал он в интервью. – Но мы уверены в порочности этой практики». В своей статье Калп настаивает на том, что ошибки в ПО – будь то Windows, Linux или другая операционная система – неискоренимы. «Индустрия может и должна выпускать все более надежные продукты, но ожидать того, что мы достигнем полного совершенства, бесполезно», – доказывает он.

Для Microsoft это означает сокращение числа вирусных эпидемий и хакерских атак. Объектом таких атак чаще всего становится программное обеспечение именно этой компании. По некоторым оценкам, червь Code Red заразил свыше миллиона веб-серверов, работающих под Microsoft Internet Information Server. А недавняя эпидемия червя Nimda создала хаос, поражая как серверы, так и настольные компьютеры с ПО Microsoft.

Эксперты по компьютерной безопасности то и дело критикуют ПО Microsoft. Но если часть из них анализирует его с целью повышения надежности, то другие ищут ошибки, чтобы прославиться или щелкнуть гиганта по носу.

Уменьшая доступность exploit-кода, Microsoft может избежать новых неприятностей. «Очевидно, что Microsoft весьма заинтересована в этом, – говорит Уисопал из @Stake. – И все же я не думаю, что это обесценивает их аргументы».