r   e   k   l   a   m   a
r   e   k   l   a   m   a

Hegemonia poprawek zabezpieczeń

Strona główna Aktualności

Bezpieczeństwo to bez wątpienia coś, na co trzeba zwracać najwięcej uwagi i czemu należy poświęcać maksymalnie dużo czasu. Nic dziwnego, że producenci oprogramowania nieustannie wydają poprawki zabezpieczeń do swoich produktów, bo cały czas odkrywane są w nich błędy - a jak wiadomo, nie ma aplikacji czy systemu bez wad. Dzięki tym poprawkom użytkownicy - czyli my - możemy czuć się w miarę bezpiecznie. W miarę, bo pojęcie pełnego bezpieczeństwa w informatyce to fikcja.

Nie będę ukrywał: do napisania tego felietonu bezpośrednio skłoniła mnie lektura jednego komentarza pod ostatnim newsem z zapowiedzią biuletynów zabezpieczeń Microsoftu. Pozdrawiam w związku z tym tego Czytelnika, ale ksywki nie wymienię, bo byłbym nie fair wobec dziesiątek innych, którzy już wcześniej takie argumenty jak on podnosili. O co chodzi? O wieczne narzekanie użytkowników, że Microsoft wydaje krytyczne poprawki tylko raz w miesiącu, a nie natychmiast po opracowaniu, a na dodatek - często mając już je opracowane - bezczelnie wydaje "zapowiedzi" tydzień wcześniej. Gdzie tu więc bezpieczeństwo?

Szkoda, że tak mało osób tak naprawdę rozumie ideę comiesięcznego wydawania biuletynów zabezpieczeń Microsoftu i to, w jaki sposób oprogramowanie Open Source różni się od tego z zamkniętym (przynajmniej publicznie) źródłem. Takie komentarze są jednak dowodem na to, że warto te różnice i tę ideę wytłumaczyć - choć osobiście nie łudzę się, że już nigdy podobnego komentarza nie przeczytam.

Na początku grudnia Internet obiegł bardzo kontrowersyjny raport autorstwa Jeffa Jonesa, zajmującego stanowisko Security Strategy Director w firmie Microsoft. Jest to dość gruba ryba w centrali w Redmond i słynie już z wielu mniej lub bardziej (ale zawsze) kontrowersyjnych raportów na temat zabezpieczeń produktów Microsoftu i konkurencji. Tym razem jednak trudno się nie zgodzić, że przysłowiowy kij w mrowisko został włożony wyjątkowo udanie. Jones postawił tezę, że Firefox (choć tu akurat mogłaby być dowolna przeglądarka albo inny program z otwartym źródłem) jest mniej bezpieczny niż Internet Explorer (tu również można wstawić coś ze stajni Microsoftu, np. Windows), ponieważ. aktualizacje do niego wychodzą zbyt często. Absurd, czyż nie? Może nie do końca...

Pytanie retoryczne: dlaczego Microsoft swego czasu dodawał przy każdym biuletynie zabezpieczeń informację, czy opisywana w nim luka jest już publicznie znana, czy nie? Zaraz, zaraz. To oznacza, że. Rzeczywiście, ogromna większość luk opisywanych w biuletynach zabezpieczeń jest nieznana do momentu publikacji biuletynu, a więc poprawki. Skoro luka jest publicznie nieznana, istnieje marginalne więc prawdopodobieństwo, że powstanie exploit (kod pozwalający wykorzystać tę lukę innym, np. hakerom), a skoro raczej nie powstanie exploit, to prędko użytkownicy na tej luce nie ucierpią...

Spójrzmy, jak to wygląda od strony oprogramowania z otwartym źródłem. Tutaj faktycznie powstaje pewien problem, bo każdy może sobie zajrzeć w źródła, każdy może też znaleźć jakąś lukę - wiadomo, że na pewno jest ich mnóstwo, tak jak i wszędzie. Nie jest to bynajmniej proste, ale nikt chyba nie zaprzeczy, że możliwe, a co więcej - prostsze, niż u konkurencji. I teraz dopiero powstaje problem - luka jest odkrywana, powstaje exploit, użytkownicy są atakowani. Od tego, w którym miejscu tego łańcucha przyczynowo-skutkowego ktoś lukę załata zależy, ile osób na tym ucierpi. Z tego powodu producenci oprogramowania Open Source nie mogą sobie pozwolić na wydawanie łatek według określonego harmonogramu, a raczej muszą publikować ja jak najszybciej po opracowaniu (i, miejmy nadzieję, odpowiednio gruntownemu przetestowaniu).

Microsoft spokojnie może natomiast kontrolować cykl wydawniczy poprawek i ma czas na ich przetestowanie przed wypuszczeniem (od jakiegoś czasu wysyła je nawet beta-testerom na kilka dni przed oficjalną publikacją). Jeśli natomiast jakaś luka jest już publicznie znana i pojawił się exploit, Microsoft może wydać poprawkę bez zwłoki, poza harmonogramem - było tak już nieraz. Pomijam już to, że stały harmonogram jest sporym ułatwieniem dla administratorów dużych firm. Nie wszyscy zdają sobie sprawę, że w większych firmach każda, nawet najmniejsza poprawka przed instalacją na stu czy stu tysiącach komputerów musi być wnikliwie przetestowana w laboratorium przez administratorów. Gdyby mieli to robić codziennie, nie zajmowaliby się niczym innym. Dzięki harmonogramowi miesięcznemu mogą to bardzo dokładnie zaplanować, a dzięki zapowiedziom wiedzą także, ile pracy ich czeka i z jakim oprogramowaniem.

W tym felietonie nie chciałem udowadniać nikomu, że coś jest bezpieczniejsze od czegoś, bo tego nie wiem i nie czuję się takim specem od bezpieczeństwa, żeby się na ten temat autorytatywnie wypowiadać. Chciałem tylko wytłumaczyć, dlaczego różnice w ilości luk w zabezpieczeniach (także tych niezałatanych) pomiędzy chociażby IE i Firefoksem są wręcz naturalne. Chciałem też pokazać, że publikowanie łatek do systemu Windows, przeglądarki Internet Explorer i innych produktów Microsoftu raz na miesiąc naprawdę ma sens i nie stanowi zagrożenia dla nas, użytkowników.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.