Monokultura sprzyja chorobom

Gremium badaczy i specjalistów od bezpieczeństwa przedstawiło raport "CyberInsecurity - The Cost of Monopoly", który wzywa organizacje rządowe i biznesowe aby przy podejmowaniu decyzji o zakupie oprogramowania zastanowiły się nad niebezpieczeństwami wynikającymi z homogeniczności systemów. Dla zniwelowania ryzyka konieczne jest - jak apelują autorzy raportu - dywersyfikowanie oprogramowania: tak jak rolnik różnicuje swoje uprawy a finansista - inwestycje.

Wydarzenia
30-31 marca 2017 r.

Już po raz dziesiąty stowarzyszenia ISSA Polska, ISACA Warsaw Chapter oraz magazyn Computerworld zapraszają na konferencję SEMAFOR - Forum...

Zarejestruj się
W środę ukazał się nowy raport Computer & Communications Industry Association (CCIA), który wzywa ponadto rząd USA do działań wymuszających na Microsofcie przedstawienie multiplatformy wsparcia dla jej dominujących rynkowo aplikacji, włączając Internet Explorera i pakiet Microsoft Office. Ścisła integracja przez Microsoft aplikacji z systemem operacyjnym Windows czyni ten ostatni zbyt złożonym i podatnym na ataki; z drugiej strony wzmaga jeszcze monopol Microsoftu na rynku oprogramowania dla komputerów osobistych. W efekcie - nie dość, że produkty te będą obiektem rosnącej liczby ataków, celem dla wirusów, robaków, itp.., ale i ataki te będą miały coraz większy zasięg. "Paradoksalnie, sprzeciw Microsoftu wobec interoperatywności Windows z oprogramowaniem konkurentów stworzył środowisko, w którym programy Microsoftu wydajnie współpracują jedynie z wirusami internetowymi" powiedział Daniel Geer, jeden z głównych autorów raportu.

Wspomniana integracja wymaga, według szacunków autorów raportu napisania oprogramowania 15 do 35 razy bardziej rozległego i skomplikowanego - a co za tym idzie wielokrotnie bardziej podatnego na błędy - niż odpowiedniki konkurentów. Po przekroczeniu pewnej granicy złożoności systemu, stosowane procedury łatania w momencie odkrycia błędu stają się nieadekwatnym i wręcz nie-produktywnym rozwiązaniem. Dodanie nowych linii kodu jeszcze bardziej zwiększa podatność na błędy całości.

Tu mały wtręt: informacje o dominacji nie podlegają dyskusji, dowodzą tego wszystkie statystyki ( http://www.cxo.pl/news/49385.html , różniące się niekiedy, lecz nieznacznie: http://www.cxo.pl/news/45031.html ). Równie jednostajny choć może odrobinę bardziej ekscytujący jest więc i ranking najczęściej wywracających się aplikacji http://www.cxo.pl/news/52957.html ).

Firma z Redmond jest głównym obiektem smutnych rozważań autorów raportu, którzy podkreślają, że nie wyłącznie ona winna jest zaistniałej trudnej sytuacji w dziedzinie bezpieczeństwa. Co zabrzmi może nieco egzotycznie, "winni są także przede wszystkim klienci. Sprzedawca zawsze chce po prostu sprzedać to czego chce kupujący" - mówił podczas konferencji na której zaprezentowano raport jeden z autorów, Bruce Schneier. "Kupują - "jak wszyscy", bo jest to kompatybilne, bo jest proste. Tymczasem nasz raport podkreśla - Twoja (konsumencie - przyp. red.) decyzja ma określone konsekwencje dla kwestii bezpieczeństwa" - dodał.

Obietnice Microsoftu dotyczące poprawy wiarygodności produktów nie zmienią podstawowego problemu jakim jest inherentna wada systemu opartego na tylko jednym typie architektury - stwierdza raport. To bez znaczenia zatem, jak wiele jeszcze sił i środków Microsoft zaangażuje w udoskonalanie bezpieczeństwa. Dopóki twórcy jego produktów będą pozostawać istotami ludzkimi dopóty będą błędy i niedoskonałości. "I chyba nie jest niczyim pragnieniem aby okazało się kiedyś, że w pewnym momencie wszystkie komputery na całym świecie mają taką samą dziurę w oprogramowaniu. To tak jakby sądzić, że dobrze byłoby, gdyby wszyscy ludzie w Ameryce mieli dokładnie te same geny" - powiedział z kolei Perry Metzger, inny współautor raportu.

Raport powstał na zamówienie CCIA ale bez żadnych sugestii dla autorów, choć jego publikacja zbiega się z postulowaniem przez organizację ściślejszej kontroli Microsoftu i większego zróżnicowania rządowej infrastruktury informatycznej. Raport ma zostać przedstawiony kongresmenom i urzędnikom agencji federalnych. Autorzy raportu spodziewają się także, iż jego ustalenia i rekomendacje ułatwią pracownikom i szefom działów IT przekonywanie decydentów w firmie, aby decydując się na wybór platformy systemowej nie wybierali "z automatu" produktów Microsoftu.

Poza rekomendacją dywersyfikacji zasobów IT, publikacja sugeruje rządowi USA energiczniejsze działania na rzecz ograniczenia monopolu Microsoftu. Wymuszone opublikowanie interfejsów API do Windows i Office powinno w opinii autorów pomóc, podobnie jak nakłonienie firmy do współpracy z innymi przedstawicielami branży nad rozwojem przyszłych specyfikacji poprzez procedury podobne do stosowanej w Internet Society - RFC (request for commemnts).

Zdeterminowani autorzy raportu apelują, aby w myśleniu o rozwoju oprogramowania odwołać się do prostych skojarzeń: tak jak dobry gospodarz różnicuje uprawy - a inwestor rynki w które inwestuje - aby zniwelować ryzyko, tak zniwelować ryzyko powinny organizacje, szczególnie zaś i w pierwszym rzędzie - administracja publiczna.

Raport jest dostępny pod adresem: http://www.ccianet.org/papers/cyberinsecurity.pdf .

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.