-->
Pátek 20. 8. 2004 (00:55)
Počítače, internet, IT
Dilema dne: Škůdce nebo díra? Co je větší problém?
Když se mluví nebo píše o bezpečnosti, tak se nadává na bezpečnostní nedostatky, díry, chyby, mouchy, bugy. Světe div se, ale software má chyby. Některý více, některý méně, přesto však chyby má každý. Část chyb je zneužitelná pro útok na uživatelovo soukromí, jeho data popř. peněženku nebo účet v bance. Těm se říká bezpečnostní nedostatky. Podle mě je svým způsobem má každý počítačový program. Aby bezpečnostní nedostatek začal být chápan škůdci všeho druhu jako volňásek do počítače, musí být na party více než deset lidí. To znamená, že program musí používat hodně lidí, aby se škůdce namáhal k pokoření ochrany. Čím více počítačů má nainstalovaný děravý program, tím více lidí může škůdce napadnout, ožebračit, poškodit. Pak se začne vina svalovat na autora programu. Paradoxně jsou napadány ty nejúspěšnější tvůrci. Ne proto, že by jejich software byl jako jediný postižen bezpečnostními nedostatky. Možná ani ne proto, že jich má nejvíce. Je to proto, že mezi nejpoužívanější nebo mezi nejoblíbenější patří programy těch nejlepších a proto jsou v TOP softwaru chyby hledány a zneužívány. Myslíte si, že někoho zajímá bug v programu, který používá deset uživatelů? Ano, když to bude deset uživatelů v jaderné elektrárně. Ale když je to deset nadšenců, kteří v utilitě sepsané jedním z nich katalogizují sbírku svých obalů od sirek? To nezajímá nikoho resp. nikoho, komu by stálo za to objevit díru a využít ji k záškodnické činnosti.Tak jako tak, jsou velké společnosti kritizovány za nebezpečnost nebo zneužitelnost svých produktů. Microsoft je na tom asi nejhůře. Jestli je to proto, že dělá nejhůře zabezpečený software nebo proto, že jeho software je na většině počítačů a části mobilních zařízení, to nechám na vašem názoru, který mě v tuto chvíli upřímně moc nezajímá. Já jsem si ho již vytvořil a odpověď jste mohli vytušit v předcházejích řádcích.
Proč ale kritizovat výrobce softwaru? Copak jsou womy, viry, spyware, keyloggery, dialery a další havěť nájezdníci z nějakého chladného zákoutí vesmíru? Ne! Jde jen a pouze o programy sepsané člověkem. Kdo za napadení počítače může více? Neopatrný uživatel? Nedůsledný výrobce? Zločinný programátor? Všichni tři, ale jediným skutečným vyníkem jsou tvůrci záškodnických programů. Myslíte si, že je lepší apelovat na softwarové giganty, aby vytvářeli kvalitní a maximálně bezpečný software než chtít, aby autoři wormů a podobných škůdců seděli v kriminále a neškodili? Myslíte si, že je snadnějším řešením šikanovat nějakou firmu, aby závodila v předem prohraném boji o vydávání bezpečnostních záplat? Jistě, lze remizovat nebo jet dle hesla „Každý chvilku tahá pilku“, ale je to nutné? Co kdyby se jasně řeklo, že hackeři jsou kriminálníci, patří za mříže a finance věnované na tvorbu bezpečného softwaru by šly na odhalování pakáže?! Já bych s tím plně souhlasil. Aby také ne! Vždyť mě to právě napadlo ;-) Můžeme nutit SW firmy bojovat, ale nežijeme ve světě Hvězdných válek, kdy i přes okliky je temnota poražena. Jen nutíme společnosti, ale i Open Source vývojáře ke stále rychlejšímu vydávání nových a bezpečnějších verzí různého softwaru. To je v pořádku, ale práce kvapná, málo platná - všimněte si, že čím rychleji vychází nové verze, tím více se objeví bezpečnostních nedostatků.
V první řadě musí jinak začít přemýšlet celá společnost a začít brát jako viníky číslo jedna autory záškodnických programů. Dva příklady z praxe:
Osobní firewally jsou kritizovány, protože pořád otravují hláškami a žádají verifikaci činnosti. Ony to však dělat mají. Je to jejich legitimní funkce. Otrapou (otravou) v této situaci logicky není firewall, ale ten, kdo vám skenuje porty a hledá, kde tesař nechal díru. Ovšem jsem přesvědčen (fóra, diskuze, osobní zkušenost), že veřejnost to vidí opačně.
Je zneužita díra v systému k jakékoliv záškodnické činnosti. Kdo je v očích veřejnosti viník číslo jedna? Záškodník využívající díry nebo ten, kdo omylem nechal v systému díru?
Jenže pohled veřejnosti se nezmění, dokudbudou existovat nemoderovaná fóra nevalné kvality, dokud aktivisté za legální software budou debilové a zákonadbalí občané hlásící jeho pravděpodobné porušení budou udavači. Vrah přece také nemůže unikat oku spravedlnosti (i když je spravedlnost slepá) jen proto, že Bůh (nebo kdo či co má na člověka copyright) neudělal lidskou lebku dostatečně silnou, aby vydržela několikahodinové mlácení ocelovou tyčí. To je svým způsobem také bezpečnostní nedostatek ... Není čas žádat na Bohu (nebo na tom či čem, co má na člověka copyright) opravný patch?
SLEDOVAT ZMĚNY | VYTISKNOUT | Podělte se o odkaz na linkuj.cz nebo del.icio.us
Stálý odkaz (permalink): Stálá adresa tohoto zápisku je http://blog.macich.net/1092963330-dilema-dne-skudce-nebo-dira-co-je-vetsi-problem.html (pro IE: vložit do schránky | přidat k oblíbeným). Chcete-li na zápisek odkázat, použijte ji.
Další zápisky: Následujícím zápiskem je spot Dvacet minut a už ho máte! Předešlým zápiskem je spot Miranda prostě mluvit česky neumí! Další pak naleznete při navigaci z hlavní stránky. Můžete se také podívat na seznam všech zápisků.
Aktuální místo vašeho pobytu: Macich.NET » Blog počítačového nadšence » Počítače, internet, IT » Dilema dne: Škůdce nebo díra? Co je větší problém?
