Все новости от 28 сентября 1998 г.

Взлом сетей Windows NT — не проблема?

Бывший подрядчик Microsoft поделился с Министерством обороны США своим беспокойством по поводу безопасности данных в сетях NT. Тем самым Эдвард Карри (Ed Curry), по словам представителя Microsoft, начал свой поход против корпорации. Речь идет о соответствии NT требованиям сертификата C2 — показателя уровня защищенности информации, предложенного Агентством национальной безопасности США (National Security Agency, NSA), в основе которого лежит документ Trusted Computer System Evaluation Criteria (TCSEC), или “оранжевая книга”.

Начало конфликта стороны представляют одинаково. В середине 90-х годов Карри работал рука об руку с Microsoft над доведением Windows NT 3.5 c Service Pack 3 до требований сертификата C2 NCSC/NSA. При этом Карри разработал набор аппаратных средств диагностирования уровня защиты информации для NT и написал по заданию Microsoft программу C2 Rating Maintenance Phase (RAMP) для данного продукта.

Начиная с этого момента, трактовки событий сторонами расходятся. В 1995 году Microsoft в одностороннем порядке прервала контракт с Карри без указания причины, сославшись лишь на мнение юристов компании. А в прошлом году Microsoft поручила возобновить процесс сертификации Windows NT компании Science Applications International (SAIC). По словам представителей SAIC, первый этап работ по NT 4.0 завершится уже через несколько недель. Microsoft признает, что ей так и не удалось получить сертификат C2 ни на одну из версий сетевой операционной системы выше NT 3.50.

“Не могу молчать”

После того, как Microsoft прекратила отношения с Карри, его бизнес совсем расстроился. Последние месяцы он занят развертыванием кампании по предупреждению правительства и широкой общественности об опасности работы с миллионами закупленных Министерством обороны и другими ведомствами копий Windows NT, не сертифицированных на защищенность обрабатываемой информации по программе C2. Направив письмо с предупреждением о возможности взлома средств защиты в сетях NT секретарю по национальной безопасности Уильяму Коэну (William Cohen), Карри добился встречи с сотрудниками его аппарата, которая запланирована на 13 октября. В письме утверждается, что причиной одностороннего разрыва Microsoft контракта на сертификацию по программе C2 был его отказ молчать о невыполнении продуктом требований этого сертификата. “Microsoft сознательно скрывала информацию о проблемах с защитой данных от Агентства по национальной безопасности, опасаясь, что такого рода информация приведет к уменьшению объема закупок правительственными организациями, — говорится в письме Карри. — Когда я обсуждал этот вопрос с руководителями Microsoft, они попытались подкупить меня, а затем в ход пошли угрозы”.

Реакция Microsoft: “Эд пытается сделать из мухи слона”. Будет ли правительство и дальше закупать Windows NT? Поживем — увидим.