Самое неприятное в защите информационных систем — это то, что никогда не знаешь, откуда ждать опасности. Вроде бы все пути-дороги перекрыты, брандмауэры, антивирусы, IDS и иже с ними, как внимательный доктор, прислушиваются к малейшим посторонним шорохам и шумам в организме системы ИТ, однако уязвимость, подобно спящему вулкану, может оставаться в латентном состоянии много лет, пока кто-то на нее не натолкнется и не разбудит своими умышленными действиями. Так и произошло с метафайлами Windows (Windows Meta Files, WMF).
Появившиеся еще в конце 80-х гг. прошлого века, эти файлы позволяют включать в изображения код, выполняемый при их воспроизведении. К тому моменту, когда Microsoft опубликовала данные об обнаруженной уязвимости, уже было реализовано свыше 200 методов ее вредоносного использования. Как заявила Дебби Фрай Вилсон, руководитель Центра быстрого реагирования Microsoft, такого рода ошибку невозможно предвидеть. Впрочем, ошибка ошибке рознь. Как считают Гари МакГроу, главный технический специалист консалтинговой компании Cigital, и Майк Гоуард, специалист в области безопасности ПО Microsoft, столь досадного просчета можно было бы избежать, если бы компания с самого начала более тщательно относилась к анализу слабостей архитектурных решений. Да, подобные слабые места труднее обнаружить, но это не означает, что их нельзя выявить. Ориентация же на устранение ошибок программирования, по их мнению, малоэффективна, а повышенное внимание к ним лишь затушевывает проблему, тем более что просчеты в архитектуре встречаются отнюдь не реже (соотношение 50 на 50).
Еще одна слабость традиционного подхода с акцентом на исправление кода проявилась в том, что, несмотря на довольно серьезную опасность, Microsoft не смогла оперативно представить заплату для устранения уязвимости. Отчасти это было связано с тем, что оказались затронутыми практически все операционные системы Windows. В результате соответствующее исправление была предложено Ильфаком Гильфановым из компании DataRescue быстрее официального (на неделю раньше). Что удивительно, оно было рекомендовано специалистами в области безопасности, например SANS Institute, для широкого использования, хотя обычно такие организации с осторожностью относятся даже к официальным заплатам, поскольку они могут привести к нестабильной работе компьютера или породить новые уязвимости. Хотя исправление предлагалось бесплатно, потенциально этот эпизод может стать предвестником формирования нового сегмента рынка.
Вообще, «тлетворное дыхание» ИТ делает хрупким и уязвимым все, чего оно касается. О новых мерах безопасности приходится задумываться там, где раньше было достаточно если не «дедовских», то «отцовских» методов. В частности, с распространением решений на базе Industrial Ethernet, как пишет Ральф Капур в статье «Децентрализованная защита», при их подключении к корпоративной сети «доступ к промышленным сетям потенциально открывается для практически неограниченного числа злоумышленников». Впрочем, эта проблема свойственна отнюдь не только и не столько ИТ — она коренится в самой природе открытости, за которую, как свидетельствует история последних лет России и мира, приходится платить ослаблением безопасности.