Niewielka pociecha

W statystykę zabawili się również redaktorzy rosyjskojęzycznego serwisu SecurityLabs, stwierdzając, że od 25 listopada do 5 grudnia dla Red Hat Linux wydano 8 poprawek, zaś dla Windows - tylko jedną. Czy oznacza to, że Windows jest osiem razy bezpieczniejszy od Linuxa? Podobną argumentacją posługiwał się podczas swoich ubiegłorocznych wystąpień Steve Ballmer z Microsoftu, mówiąc o tym, że w ciągu pierwszych miesięcy po premierze w Windows Server 2003 wykryto znacznie mniej luk, niż w przypadku Windows 2000 Server.

Suche liczby podawane przez SecurityLabs skrywają piramidalną manipulację - nie powiedziano bowiem, że osiem poprawek Red Hat Linux dotyczyło pomniejszych błędów w rozmaitych aplikacjach, podczas gdy... wszyscy czekali aż Microsoft opublikuje w końcu poprawkę eliminującą bardzo groźną lukę w przeglądarce Internet Explorer (IFRAME). Firma wydała poprawkę po ok. miesiącu, dając czas twórcom wirusów na zdobycie nowych przyczółków za pośrednictwem robaka Bofra.

W grudniu 2004 r. opublikowano jeszcze wyniki badań nad bezpieczeństwem oprogramowania przeprowadzone przez naukowców z Uniwersytetu Stanforda. Stwierdzili oni, że w kodzie Linuxa jest średnio X błędów na Y linijek kodu źródłowego, co można uznać za fakt obiektywny. Ci sami naukowcy, z zadziwiającą jak na ludzi przywykłych do logiki i metodologicznej rzetelności oświadczyli, że świadczy to o przewadze systemu Linux nad rozwiązaniami komercyjnymi, w których to liczba błędów w stosunku do tej samej liczby linii kodu kształtuje się na wyższym poziomie.

Niewielka to jednak pociecha dla tych, którzy ucierpieli w wyniku włamań przez znalezione w jądrze Linuxa dziury w obsłudze funkcji mrealloc, brk. Nie pocieszy to również poszkodowanych na skutek błędów znalezionych w implementacji usługi IGMP, które notabene wykryła polska grupa iSEC Research.

Broń z innej epoki

Systemy domowe i biurowe stanowią w dziedzinie bezpieczeństwa zupełnie oddzielną działkę. W liczbie wirusów system Windows przebija wszystkie inne. W pierwszym rzędzie trzeba to uznać za efekt wykorzystywania go przez osoby niemające o bezpieczeństwie nawet zielonego pojęcia. Tacy ludzie zawsze klikną na przycisk "OK", ale ktoś ich do tego przyzwyczaił, oferując mętne bądź żadne wyjaśnienia tego, jakie mogą być konsekwencje wyrażenia zgody. Ktoś również umożliwił zdalne instalowanie oprogramowania na komputerze bez wiedzy użytkownika, co już nie jest domeną jedynie Microsoftu.

W ogóle walka z wirusami jest największą porażką informatyki w zakresie rozwiązywania problemów z bezpieczeństwem informacji. Przypomnijmy, pierwszy wirus Brain pojawił się już w roku 1987. Pierwszy robak mnożący się za pomocą Internetu (robak Morrisa) to rok 1989. Minęło 16 lat i... nic się nie zmieniło. Tak jak kiedyś MS-DOS, tak teraz Windows średnio co miesiąc pada ofiarą kolejnych milionowych epidemii wirusów, robaków i koni trojańskich. Różnica jest taka, że obecnie, zamiast mozolnie przenosić się za pomocą sektorów startowych dyskietek i plików, wirusy korzystają z błyskawicznego namnażania za pomocą poczty elektronicznej, będąc w stanie, jak np. Slammer, w ciągu 10 min opanować kilkadziesiąt tysięcy komputerów.

Trudno się dziwić takiemu stanowi rzeczy, jeśli metodyka walki z wirusami wciąż tkwi jedną nogą w latach osiemdziesiątych. Już pierwsze wersje MkS_Vir ściągane godzinami przez modem 2400 bps na początku lat 90. korzystały z sygnatur i heurystyki w celu identyfikowania znanych wirusów. No właśnie - znanych.

Niedawno producenci antywirusów świętowali stutysięcznego znanego wirusa w bazie sygnatur. Oznacza to ni mniej ni więcej, że każdy taki antywirus musi ciągnąć za sobą bazę 100 tys. sygnatur programów, które pojawiły się kilkanaście lat temu i zapewne dawno zostały zapomniane - na wszelki wypadek.

W razie pojawienia się nowego wirusa każdy komputer na świecie jest podatny na atak do czasu, gdy wirus nie zostanie wykryty, zidentyfikowany, włączony do bazy, a ta rozprowadzona wśród klientów. Trwa to zwykle od kilku godzin do kilku dni. Czy można sobie wyobrazić mniej efektywny sposób walki ze złośliwym kodem?