[Software] Wie Microsoft die Sicherheit von Vista prüfen ließ

Mini Ninja · 05.08.11, 16:09

Zitat:

Anlässlich der Black Hat Konferenz hat eine Sicherheitsexpertin Einblicke in ihre Arbeit rund um Microsofts Windows Vista gegeben, den Vorgänger von Windows 7, der deutliche Verbesserungen in Sachen Sicherheit mit sich brachte.

Wie Chris Paget von Recursion Ventures nach Angaben von 'Cnet' erklärte, war es das erste Mal, dass Microsoft ein externes Team engagierte, um kurz vor der Markteinführung eine eingehende Prüfung der Sicherheitsfunktionen eines neuen Betriebssystems vornehmen zu lassen. Dass Paget überhaupt darüber berichten kann, ist auf den Ablauf eines Verschwiegenheitsabkommens zurückzuführen, dass für fünf Jahre nach der Markteinführung von Windows Vista galt.

Um überhaupt eine Prüfung der Sicherheitsfunktionen von Vista vornehmen zu können, mussten die Tester von Recursion nach Angaben von Paget zunächst eine bessere Festplatte in dem von Microsoft bereitgestellten Test-Rechner verbauen, bevor die Installation möglich war. Dies sei ein weiterer Beleg dafür, wie unüblich ihr Vorgehen für die Redmonder war, so die Sicherheitsexpertin.

Ursprünglich sei man bei Microsoft wohl davon ausgegangen, dass die Prüfer keine Schwachstellen entdecken würden - für den Softwarekonzern sei die Arbeit von Recursion Ventures lediglich der "finale Check" gewesen. Tatsächlich stießen die Tester bei ihrer gründlichen Untersuchung aber dennoch auf einige Lücken im Sicherheitskonzept.

Unter anderem wurden die Experten damit beauftragt, den Kernel-Code und den User-Space zu prüfen, sollten sich aber von alten Codeteilen fernhalten. Letztlich fanden die Tester aber sogar mindestens einen so schwerwiegenden Fehler, dass die Einführung von Vista deshalb verschoben werden musste. Unter Microsoft-Mitarbeitern waren die Prüfer wegen ihrer Genauigkeit später als "Rape Gang" (z. dt. etwa "Missbrauchs-Truppe") bekannt.

Paget lobte unter anderem Microsofts Bug-Tracking-System und die Erstellung einer Kategorisierung aller Funktionen nach dem bestehenden Sicherheitsrisiko. Dadurch sei die Arbeit deutlich erleichtert worden und konnte effektiver erledigt werden. Insgesamt sei die Sicherheitsspezialistin von den guten Prozeduren für Prüfungen überrascht gewesen, sagte sie. Generell wünsche sie sich eine Art "Windows Lite", bei dem auf ungeprüften Code verzichtet wird. Insgesamt war Vista ein "riesiger Sprung" in die richtige Richtung und Microsofts Sicherheitsprozesse gehörten zu den Besten der Welt, lobte Paget abschließend.

Quelle : [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]