Dzisiaj na jednym z portali technologicznych przeczytałem o tym, że kierownik zespołu inżynierów pracujących nad Google Chrome OS obiecał, że tworzony przez nich system będzie wolny od wirusów. Mówiąc “wirusów” domyślam się, że miał na myśli całość złośliwego oprogramowania. Początkowo wypowiedź ta wywołała u mnie jedynie uśmiech. O ile Google bardzo dobrze rozwiązał sprawę Spamu w Gmailu (a spam również można zaliczyć do niechcianego “oprogramowania”), to malware w całym swym ogóle nie da się wytępić całkowicie. Jeszcze nigdy nie słyszałem o programie, który całkowicie pozbawiony byłby dziur. A właśnie na lukach w zabezpieczeniach opierają swoje działania złośliwe kody ostatnich lat. Teraz bowiem w systemach operacyjnych (jak również na poziomie sprzętowym) zaimplementowano szereg zabezpieczeń mających ukrócić działania twórców “wirusów” takich, jak sprzed kilkudziesięciu lat.
Znaczenie luk w sofcie dostrzegli także twórcy rozwiązań zabezpieczających. Kiedy chociażby do naszego Thunderbirda wydano łatkę, a my jej nie zainstalowaliśmy, nowoczesny antywirus nas o tym poinformuje. Mało tego, on będzie starał się w miarę swoich możliwości ochronić nas przed wykorzystaniem danej luki przez złośliwe oprogramowanie, do czasu zainstalowania przez nas patcha.
No właśnie, oprogramowanie tworzą ludzie, a ludzie są omylni (już nie wspominając, że leniwi). Nie da się stworzyć oprogramowania całkowicie pozbawionego luk. Jedne ujawniane są szybciej, inne później, ale w każdym sofcie, szczególnie takim, nad którym pracuje więcej programistów jakieś niedociągnięcie się znajdzie. Nawet w Linuksie, który uchodzi za bezpieczny, co jakiś czas znajdowane są luki (a, o ironio, Chrome OS ma bazować na jądrze Linuksa).
Istotą bezpieczeństwa natomiast jest nie ilość luk, tylko to, jak szybko producent wypuszcza łatkę na tę lukę. Chrome OS może być bezpieczny, ale na pewno nie idealny. Ludzie mówią, że na Linuksa nie ma wirusów. Są, a że jest ich niewiele to zasługa architektury tego systemu i właśnie szybkiego reagowania na doniesienia o wykryciu dziur w zabezpieczeniach. Na czym polega wspomniana architektura? A no na tym, że aby uruchomić jakiś plik (wykonywalny) w systemie z pingwinkiem, musimy najpierw nadać mu prawa execute (do wykonywania), po czym go uruchomić, a następnie, jeśli będzie chciał wykonać czynności administracyjne (a jeśli to malware to z pewnością będzie chciał), zostanie nam wyświetlone pytanie systemu operacyjnego o zgodę potwierdzaną wpisaniem naszego hasła. Ktoś powie, że przecież to tyle zachodu przy codziennym używaniu systemu! Tak, ale dzięki temu ile jest złośliwego oprogramowania na system Linux? Szczerze, ja do tej pory nie widziałem żadnego (a wiem, że jest). Po za tym, jak często wykonujemy czynności typowo administracyjne na komputerze?
Nie chcę tym wpisem nikogo przekonywać do systemu Linux, zwłaszcza że z doświadczenia wiem, iż mimo wypowiedzi fanatyków tego systemu co do łatwości obsługi pingwinka, wciąż jest on zbyt trudny dla komputerowych laików. Chciałem jedynie pokazać, że mimo najlepszych chęci oraz najlepszych systemów zabezpieczeń i tak znajdzie się ktoś, kto napisze działający złośliwy kod. Kevin Mitnick powiedział kiedyś, że nie ma zabezpieczeń, których nie da się obejść. I niech to będzie podsumowanie tego wpisu.
A co przedstawiciel Google miał na myśli? Sądzę, że to kolejny chwyt ukierunkowany właśnie do wspomnianych laików, który słysząc słowo “wirus”, wyobrażają sobie całość tego wielkiego, komputerowego zwierzyńca.
Lipiec 22nd, 2009 at 15:02
Coś jak Linux