Bezpieczeństwo to bez wątpienia coś,na co trzeba zwracać najwięcej uwagi i czemu należy poświęcaćmaksymalnie dużo czasu. Nic dziwnego, że producenci oprogramowanianieustannie wydają poprawki zabezpieczeń do swoich produktów, bocały czas odkrywane są w nich błędy - a jak wiadomo, nie maaplikacji czy systemu bez wad. Dzięki tym poprawkom użytkownicy -czyli my - możemy czuć się w miarę bezpiecznie. W miarę, bo pojęciepełnego bezpieczeństwa w informatyce to fikcja.
Nie będę ukrywał: do napisania tegofelietonu bezpośrednio skłoniła mnie lektura jednego komentarza podostatnim newsem z zapowiedzią biuletynów zabezpieczeń Microsoftu.Pozdrawiam w związku z tym tego Czytelnika, ale ksywki niewymienię, bo byłbym nie fair wobec dziesiątek innych, którzy jużwcześniej takie argumenty jak on podnosili. O co chodzi? O wiecznenarzekanie użytkowników, że Microsoft wydaje krytyczne poprawkitylko raz w miesiącu, a nie natychmiast po opracowaniu, a nadodatek - często mając już je opracowane - bezczelnie wydaje"zapowiedzi" tydzień wcześniej. Gdzie tu więc bezpieczeństwo? Szkoda, że tak mało osób tak naprawdę rozumie ideę comiesięcznegowydawania biuletynów zabezpieczeń Microsoftu i to, w jaki sposóboprogramowanie Open Source różni się od tego z zamkniętym(przynajmniej publicznie) źródłem. Takie komentarze są jednakdowodem na to, że warto te różnice i tę ideę wytłumaczyć - choćosobiście nie łudzę się, że już nigdy podobnego komentarza nieprzeczytam. Na początku grudnia Internet obiegł bardzo kontrowersyjny raportautorstwa Jeffa Jonesa, zajmującego stanowisko Security StrategyDirector w firmie Microsoft. Jest to dość gruba ryba w centrali wRedmond i słynie już z wielu mniej lub bardziej (ale zawsze)kontrowersyjnych raportów na temat zabezpieczeń produktówMicrosoftu i konkurencji. Tym razem jednak trudno się nie zgodzić,że przysłowiowy kij w mrowisko został włożony wyjątkowo udanie.Jones postawił tezę, że Firefox (choć tu akurat mogłaby być dowolnaprzeglądarka albo inny program z otwartym źródłem) jest mniejbezpieczny niż Internet Explorer (tu również można wstawić coś zestajni Microsoftu, np. Windows), ponieważ. aktualizacje do niegowychodzą zbyt często. Absurd, czyż nie? Może nie do końca... Pytanie retoryczne: dlaczego Microsoft swego czasu dodawał przykażdym biuletynie zabezpieczeń informację, czy opisywana w nim lukajest już publicznie znana, czy nie? Zaraz, zaraz. To oznacza, że.Rzeczywiście, ogromna większość luk opisywanych w biuletynachzabezpieczeń jest nieznana do momentu publikacji biuletynu, a więcpoprawki. Skoro luka jest publicznie nieznana, istnieje marginalnewięc prawdopodobieństwo, że powstanie exploit (kod pozwalającywykorzystać tę lukę innym, np. hakerom), a skoro raczej niepowstanie exploit, to prędko użytkownicy na tej luce nieucierpią... Spójrzmy, jak to wygląda od strony oprogramowania z otwartymźródłem. Tutaj faktycznie powstaje pewien problem, bo każdy możesobie zajrzeć w źródła, każdy może też znaleźć jakąś lukę -wiadomo, że na pewno jest ich mnóstwo, tak jak i wszędzie. Nie jestto bynajmniej proste, ale nikt chyba nie zaprzeczy, że możliwe, aco więcej - prostsze, niż u konkurencji. I teraz dopiero powstajeproblem - luka jest odkrywana, powstaje exploit, użytkownicy sąatakowani. Od tego, w którym miejscu tego łańcuchaprzyczynowo-skutkowego ktoś lukę załata zależy, ile osób na tymucierpi. Z tego powodu producenci oprogramowania Open Source niemogą sobie pozwolić na wydawanie łatek według określonegoharmonogramu, a raczej muszą publikować ja jak najszybciej poopracowaniu (i, miejmy nadzieję, odpowiednio gruntownemuprzetestowaniu). Microsoft spokojnie może natomiast kontrolować cykl wydawniczypoprawek i ma czas na ich przetestowanie przed wypuszczeniem (odjakiegoś czasu wysyła je nawet beta-testerom na kilka dni przedoficjalną publikacją). Jeśli natomiast jakaś luka jest jużpublicznie znana i pojawił się exploit, Microsoft może wydaćpoprawkę bez zwłoki, poza harmonogramem - było tak już nieraz.Pomijam już to, że stały harmonogram jest sporym ułatwieniem dlaadministratorów dużych firm. Nie wszyscy zdają sobie sprawę, że wwiększych firmach każda, nawet najmniejsza poprawka przedinstalacją na stu czy stu tysiącach komputerów musi być wnikliwieprzetestowana w laboratorium przez administratorów. Gdyby mieli torobić codziennie, nie zajmowaliby się niczym innym. Dziękiharmonogramowi miesięcznemu mogą to bardzo dokładnie zaplanować, adzięki zapowiedziom wiedzą także, ile pracy ich czeka i z jakimoprogramowaniem. W tym felietonie nie chciałem udowadniać nikomu, że coś jestbezpieczniejsze od czegoś, bo tego nie wiem i nie czuję się takimspecem od bezpieczeństwa, żeby się na ten temat autorytatywniewypowiadać. Chciałem tylko wytłumaczyć, dlaczego różnice w ilościluk w zabezpieczeniach (także tych niezałatanych) pomiędzychociażby IE i Firefoksem są wręcz naturalne. Chciałem też pokazać,że publikowanie łatek do systemu Windows, przeglądarki InternetExplorer i innych produktów Microsoftu raz na miesiąc naprawdę masens i nie stanowi zagrożenia dla nas, użytkowników.