LAS VEGAS - É fácil agora olhar para trás, da Microsoft, Windows Vista e repreender a empresa por falhas do sistema operacional, mas a verdade é muito mais complexa, de acordo com um pesquisador de segurança. No segundo dia da conferência anual Hat preto aqui, Chris Paget, hacker chefe da segurança Ventures Recursão empresa, discutiu seu trabalho independente para contratação Microsoft no Vista antes de seu lançamento, pela primeira vez. Antes de Recursão assumiu o contrato, todos os membros da equipe que trabalhou no Vista foram feitas para assinar acordos de confidencialidade que levou cinco anos para expirar.
Chris Paget, falando sobre suas experiências com o Windows Vista no Black Hat 2011.
(Crédito: Seth Rosenblatt / CNET)Microsoft contratou sua equipe como uma medida final para verificar se o sistema operacional era seguro para o navio. O movimento era tão incomum para Redmond que a empresa tinha, na verdade nunca fiz isso antes, disse Paget. "Houve melhorias de processos e ferramentas. Esta foi a primeira vez que a Microsoft trouxe uma equipe de fora", disse ela.
Sua equipe teve que atualizar o disco rígido do computador de teste que a Microsoft enviou-lhe antes que poderia mesmo instalar o sistema operacional, ela disse com um riso um pouco incrédulo. O processo era tão atípico para Microsoft que eles não tinham certeza do que esperar. "Eles esperavam-nos para entrar e não encontrar nada. Esta foi a verificação final."
Recursão olhou para o kernel de código e no espaço do usuário, mas foi informado de não olhar para código legado. Microsoft não adicionou vetting código legado até que o Windows 7, disse Paget. "Eles têm de verificação, não de correção." Ela disse que seu time era tão bom em encontrar falhas críticas no Vista código que o Vista realmente foi adiada por causa de um bug crítico que encontrou, e outro funcionário da Microsoft que se refere a eles como um "gang rape" porque eles estavam batendo em Vista tanto.
Apesar dos problemas de segurança que Paget e companhia descobriram no Vista, ela também tinha elogios para a Microsoft. Ela discutiu sistema da Microsoft faixa de erros e como a equipe de segurança da Microsoft próprio tinha criado uma extensa lista de recursos classificados por risco. Risco, segundo ela, foi definida como credenciais se o recurso necessário. Se você tivesse que digitar uma senha, como uma senha administrativa, houve um maior risco naturalmente associado com o recurso. Então, por causa do trabalho da Microsoft sobre isso, ela foi capaz de começar a olhar criticamente características do início do contrato.
A experiência, segundo ela, mostrou-lhe que até o momento a Microsoft havia procedimentos muito melhor no lugar para habilitação de segurança do que ela teria pensado de outra forma. Paget disse que em casa, ela é mais um fã Unix e apenas usa o Windows para jogos. "Eu adoraria ver um Lite Windows, com todo o código unmaintained removido."
"'World-líder" é totalmente adequado "quando se discute procedimentos de segurança da Microsoft, disse ela no início de sua palestra. "O processo de segurança da Microsoft é espetacular." E até o final, ela reiterou o ponto."Se a segurança é um processo, não um produto, a Microsoft merece muito crédito. Vista foi um salto gigantesco na direção certa."
Comentários