Wstępniak na nowy tydzień: bezpieczne okna to otwarte okna?

Wstępniak na nowy tydzień: bezpieczne okna to otwarte okna?19.01.2015 08:57

W ostatnich tygodniach już dwukrotnie badacze z google'owegoProjektu Zero ujawnili luki w Windows, zanim Microsoft zdołałprzygotować i wydać do nich łatki. 90 dni, jakie w ramach tejinicjatywy przyznaje się producentowi oprogramowania, najwyraźniejnie wystarczyło. Sporo gromów z tej okazji spadło na Google,oskarżone o to, że robi to co dobre dla siebie, a niekonieczniedobre dla użytkowników. Znaleźli się i tacy, którzy pochwalilipubliczne ujawnianie luk, uniemożliwiające zamiatanie problemówpod dywan. Nie jest łatwo to ocenić, szczególnie w czasach, gdysam prezydent Stanów Zjednoczonych wypowiada się o bezpieczeństwiew sposób bardzo dwuznaczny.

To już nie słodkie lata 90, kiedy błędy w oprogramowaniu możnabyło naprawiać latami, albo w ogóle. Świat nam przyspieszył iMicrosoft (a także inni producenci, ale Microsoft w szczególności,z wiadomych względów) nie będzie mógł liczyć na taryfę ulgowąani u whitehatów ani u blackhatów. 90 dni okresu łaski oferowaneprzez Projekt Zero to i tak bardzo dużo. Podczas ostatniejkonferencji Linux.conf.au, Linus Torvalds przypomniał, że na liściekernel security na przygotowanie łatki daje się pięć dniroboczych. Czemu więc takie „odpowiedzialne ujawnienia” prowadządo awantur, oskarżeń o narażanie użytkowników, a niekiedy nawetstraszenia prawnikami?

Wydaje mi się, że w grę wchodzi z jednej strony egoizm i dumabadaczy, z drugiej spychologia, stosowana przecież w każdejorganizacji. Pożądanie sławy, nawet złej (ale przeliczalnej napieniądze) sławy musi skłaniać do ujawniania luk, tak szybko jakto tylko możliwe, z dorobionym do tego ideologicznym zapleczem„odpowiedzialnego” ujawnienia. Z drugiej strony firmysoftware'owe nie chcą, albo i nie potrafią angażować się wkosztowne i nieprzyjemne badania bezpieczeństwa swoich produktów,więc oskarżanie badaczy o nieodpowiedzialność, zamiatanie sprawpod dywan lub straszenie prawnikami to reakcje zrozumiałe. Tyleprzynajmniej, jeśli chodzi o to, co dzieje się w tej sprawie napowierzchni. Sprawy związane z czarnym rynkiem exploitów, w któryzaangażowani są przecież nie tylko zawodowi blackhaci, ale teżjawnie działające firmy i agencje wywiadowcze wielu państw, tozupełnie inna para kaloszy.

Wiele można zarzucić otwartoźródłowemu oprogramowaniu, aleprzynajmniej w kwestii rozwiązywania problemów z bezpieczeństwemspisuje się ono znacznie bardziej przyzwoicie, niż oprogramowaniezamknięte, własnościowe. Nawet jeśli opowieść o milionie oczu,patrzących na kod źródłowy i dostrzegających w nim odpowiedniowcześnie błędy jest w czasach ogromnie złożonego oprogramowaniajuż tylko mitem (co widzi milion oczu patrzących na milion liniinieznanego sobie wcześniej kodu?), to i tak doczekało się onoznacznie lepszych rozwiązań instytucjonalnych. Przypomnę tu choćbyinicjatywę Core Infrastructure, fundowaną przez takie firmy jakIBM, Intel, VMware, Cisco, ale też Microsoft i Adobe – choćzasilana przez korporacyjne pieniądze, w rzeczywistości sterowanajest przez niezależnych programistów, naukowców i ekspertów(m.in. słynnego Bruce'a Schneiera). Pieniądze z Core Infrastructuretrafiają do najważniejszych projektów Open Source, napędzającychkluczową infrastrukturę informatyczną świata, by pomóc w ichrozwoju i wzmacnianiu bezpieczeństwa.

W ten sposób Core Infrastructure pozwala przejść od podejściareaktywnego, w którym działa się w odpowiedzi na sytuacjekryzysowe, do podejścia proaktywnego, w którym identyfikuje sięproblemy, zanim one jeszcze wystąpią. O jakim jednak proaktywnympodejściu do bezpieczeństwa można mówić w odniesieniu dozamkniętego oprogramowania, gdzie decyzje obarczone są zkonieczności organizacyjną inercją i cierpią na zależność odaktualnej polityki firmy?

Może więc Microsoft, zamiast narzekać na badaczy Google,zastanowiłby się nad jedną, ale za to fundamentalną kwestią –czemu w ogóle Windows jest zamkniętym systemem? Czy w jądrze NTznajdują się tak wielkie tajemnice, że ich poznanie dałobykonkurencji władzę nad światem? Czy upublicznienie kodusprawiłoby, że każdy by sobie sam potajemnie kompilowałnielicencjonowane kopie? A może po prostu kod jest tak brzydkonapisany, że w Redmond po prostu się go wstydzą? Skoro Windowsnapędza kluczową infrastrukturę planety, na czele z systemamisterowania piecami hutniczymi, nie może być traktowane taknieodpowiedzialnie. Rosnąca złożoność oprogramowania sprawia, żerośnie też powierzchnia ataków, a Microsoft, z zasobami jakieposiada, najwyraźniej nie radzi sobie z tym zbyt dobrze.

Tu jest jakaś historyczna szansa dla Satyi Nadelli. Zamiastutrudniać dostęp do informacji, jak zrobiono to ostatnio, kończącz darmowymi zapowiedziami biuletynów bezpieczeństwa, powinien wtrosce o użytkowników Windows otworzyć kod systemu, a przynajmniejjego kluczowych komponentów, choćby w stylu, jaki praktykuje Apple(gdzie jądro Xnu i uniksowy fundament systemu Darwin są w pełniotwarte). No chyba, że Biały Dom na to nie pozwala – ale to znówinna para kaloszy.

Tyle na temat bezpieczeństwa i Windows. A co w dobrychprogramach?Pasjonaci już wiedzą – trwa druga tura naboru nawspółpracowników. Liczymy na to, że już do końca tego tygodniabędziemy mogli włączyć ich do pracy redakcji. Przyniesie tonietrywialne zmiany, ale o tym już następnym razem.

Korzystając z okazji, zaproszę jeszcze Czytelników z Wrocławiana rozpoczynający się dzisiaj GeekWeekWro,któremu patronuje nasz portal – interesującą inicjatywę główniedla zainteresowanych programowaniem, ale chyba nie tylko. Wszystkichzaś oczywiście zapraszam do kolejnego, ciekawego tygodnia zdobreprogramy.pl.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na