Итак, год 1998-й. Некто Эд Карри, глава небольшой техасской фирмы Lone Star Evaluation Labs, специализирующейся на компьютерной безопасности, развернул весьма активную кампанию против корпорации Microsoft, по заказу которой прежде работал. Несмотря на несопоставимое, просто-таки комичное различие в соотношении противостоящих сил, обвинения Карри были услышаны и подхвачены прессой, благо повод выглядел достаточно серьезным. Суть обвинений сводилась к тому, что Министерство обороны и другие правительственные ведомства США нарушают свои же собственные правила, широко применяя крайне небезопасную операционную систему Windows NT. В Пентагоне на этот счет предпочли отмалчиваться, а в Microsoft попытались все свести к личным обидам Карри на бывшего работодателя.

Проблема же, вокруг которой разгорелся конфликт, – это сертификация NT на соответствие уровню C2. Ныне эта классификация уже устарела, а прежде уровень C2 был одним из базовых уровней безопасности компьютерных систем, присваиваемых при соответствии ряду надлежащих критериев, определенных в «Оранжевой книге» Агентства национальной безопасности США. Серьезные правительственные ведомства, такие как Пентагон, могли устанавливать у себя компьютерное обеспечение лишь при наличии у того сертификата не ниже C2.

Поскольку Эд Карри был серьезным экспертом по компьютерной безопасности, в прошлом военным человеком и специалистом, аттестованным АНБ, в 1994 г. Microsoft выбрала именно его для помощи компании в получении сертификата C2 на Windows NT 3.5. В ходе этих работ Карри разработал специальные диагностические средства и по просьбе Microsoft создал тестовую программу RAMP для оценки уровня соответствия критериям C2.[70]

Вот тут-то и разгорелся конфликт, деликатные подробности которого так и остались тайной. Ясно лишь то, что тестовые средства эксперта упорно находили в NT массу трудноустранимых слабостей. Как результат, в 1995 году Microsoft разорвала контракт с Карри по причинам, «которые адвокаты компании рекомендовали не разглашать». В 1997 году Microsoft подрядила корпорацию Science Applications International (SAIC, с этой любопытной фирмой мы еще не раз встретимся далее) для продолжения работ по сертификации NT на C2. На одну из версий системы, уже к тому времени устаревшую 3.5, сертификат был-таки получен, а массовые закупки последующих, более современных версий NT (3.51, 4.0 и т. д.) обосновывались «скорым получением» соответствующего сертификата.

Ну а Эд Карри после потери контракта оказался фактически разорен, поскольку все средства вкладывал в разработку RAMP и ставшее никому ненужным тестирование. Тогда Карри и развернул кампанию, чтобы предупредить госадминистрацию и общественность в целом о «приобретении правительством миллионов копий несертифицированных версий Windows NT, которые не удовлетворяют критериям уровня C2 Министерства обороны и других агентств». К осени 1998 года он даже сумел добраться до высшего руководства Пентагона, написав лично министру обороны Уильяму Коэну. В этом письме говорилось, что его контракт по сертификации C2 был разорван Microsoft по той причине, что Карри отказался покрывать факты нарушения компанией базовых рекомендаций «Оранжевой книги»: «Microsoft умышленно скрывает информацию о дырах в защите, опасаясь, что признание таких недочетов сократит количество копий, заказываемых правительством… Я поднимал эти вопросы на внутренних обсуждениях в Microsoft, а в результате стал объектом угроз и попыток подкупа».[71]

Пентагон откликнулся на это послание, и в октябре Эда Карри принял для беседы помощник министра обороны Дик Шэфер в компании с несколькими чинами из АНБ США. Никаких официальных решений после этой встречи не последовало, сам же Карри сообщил прессе лишь о своих впечатлениях от беседы: «Они знают, что я прав. И знают, что нарушают собственные правила безопасности. Но по сути дела, сказали они, все это неважно, и они будут продолжать использовать версию 4.0… Было сказано, что у них связаны руки, и в основном здесь решают деньги, а не соображения безопасности…».