Cik ilgi vēl mocīsities (vai riskēsiet) ar Microsoft Windows?

maijs 14 2017

Piektdien, 2017. gada 13. maija vakarā Panorāmas svarīgākā ziņa bija par Microsoft Windows vīrusu WannaCrypt, kas izplatījies uz miljoniem datoru simtiem valstīs.

Es pats aktīvi lietoju Linux jau 10 gadus (un neaktīvi vēl ilgāk), tāpēc es uz to varētu raudzīties kā budistu mūks kalnā uz plūdiem ielejas ciemā. Tomēr pilsoniskā sirdsapziņa man liek aicināt iedzīvotājus nebrīnīties par arvien lielākiem plūdiem, nepriecāties par nedaudz augstākiem dambjiem upes krastos, bet aicināt visus pārvākties uz labāku, daudz vieglāk apdzīvojamu vietu.

Ar Microsoft Windows nedrošību ir kā ar globālo sasilšanu, sugu izmiršanu, nevienlīdzību u.tml. globālām problēmām. Stāvoklis ir tik slikts, ka sabiedrības vairākums to ir pieņēmuši par "normu". Šajā "normā" nemainīgi daudzie Windows uzlaušanas un ļaunprātīgas izmantošanas gadījumi vienkārši iegulst vispārējā statistikā.

Microsoft Windows nedrošība ziņu virsrakstus izpelnās tikai tad, kad kāda ļaunatūras versija sagādā daudzreiz lielākas raizes nekā ikdienišķi pūžņojošie Windows operētājsistēmas augoņi.

20 gadu laikā, kopš Microsoft Windows ir praktiski standarts biroja datoros, gan sabiedrība, gan Microsoft ir gājušas tālu ceļu Windows drošības uzlabošanā:

  • Microsoft ir daudz strādājis pie tā, lai katra jaunākā Windows versija būtu visdrošākā Windows versija pasaulē. Tomēr, salīdzinot ar Linux, BSD vai Minix atvērtā pirmkoda operētājsistēmām, tai vismaz tik pat garš ceļš vēl ir ejams.

To pierāda šis, kārtējais, pēdējos gados lielākais, Microsoft Windows nedrošības skandāls.

Ievainojamību, kuru izmanto WannaCrypt ļaunatūra, Microsoft salāpīja jau 2017. gada martā, tāpēc "teorētiski" Windows datoriem pret to būtu jābūt drošiem. Tomēr tā nenotika.

Pirmkārt, tas nenotika tāpēc, ka Windows atjaunojumi vēl arvien būtiski traucē darbam. Ne tikai tāpēc, ka, tos veicot, Windows dators (atšķirībā no, piemēram, Linux) ir lēns un praktiski nelietojams, bet arī tāpēc, ka pēc tiem dažkārt pārstāj strādāt kāda uzņēmumā vai institūcijā lietota biroja programma. Tāpēc pat iestādes un organizācijas, kuras lieto legālu Windows, nesteidzas uzreiz uzstādīt Windows atjaunojumus, bet testē tos uz atsevišķiem datoriem, bet pārējos datorus atjauno pēc tam. Tāpēc mēnesis no atjaunojumu izlaišanas līdz tā ieviešanai arī datoros ar legālu Windows ir diezgan īss laiks.

Otrkārt, vēl arvien ir ļoti daudz datoru, uz kuriem ir nelegāla Microsoft Windows versija. Microsoft, līdzīgi kā visas korporācijas rēķina tikai savu peļņu un izmaksas nevis kopējo sabiedrības labumu, tāpēc tā "piever acis" uz nelegāliem Windows lietotājiem, ja viņu aprēķini rāda, ka zaudējumi no licencēm atsver ieguvumus, ko rada pieradināšana un atkarības izraisīšana. Microsoft zina, ka, ja kāds darbinieks mājās lieto nelegālu Windows, tad darbā tas, visticamāk, izvēlēsies nopirkt Windows, nevis drošības (un kopējo izmaksu) dēļ ieviest Linux.
Tā kā par Windows licencē tērēto naudu Microsoft nepiedāvā praktiski nekādu vērā ņemamu tehnisko atbalstu, vienīgā atšķirība starp licencētu un nelicencētu Windows ir tā, cik viegli ir veikt sistēmas atjaunojumus. Nelegāli lietotās Windows versijas ir vecas un neatjaunotas un WannaCrypt izplatības karte diezgan labi parāda to, cik daudz pasaulē ir datori ar nelegālām Windows versijām.

Tieši tāpēc, lai arī sākotnēji ļaunatūra bija tēmēta uz Rietumu valstīm, tās izplatība pārsviedās uz Ķīnu, Indiju un Krieviju.

Treškārt, šis Windows vīruss izplatījās, izmantojot SMB protokolu, kuru izmanto Windows kopīgotajiem resursiem (vienotu lietotāju reģistram, kopīgotām mapēm un printeriem). Tā kā dators bez kopīgotiem resursiem der tikai izklaidei, šis protokols tiek izmantots katrā daudzmaz nopietnā Windows datorā. Un te ir jāņem vērā būtiska nianse — konkrētā, ļaunatūras izmantotā nedrošība, ir nevis paša protokola nepilnība, bet gan realizācijas kļūda Windows operētājsistēmā. Tas nozīmē, ka datoros kuros SMB protokols ir realizēts savādāk (piemēram, Linux datoros ar SAMBA programmu, kuru uzstādīt un iestatīt ir ļoti vienkārši), funkcionalitāte ir tā pati, bet vīruss tajā neizplatās. Šajā sakarā visiem iestāžu politikas veidotājiem atgādinu:

Ieviešot vienotas sistēmas, ir jāizmanto vienoti protokoli un standarti, nevis vienota realizācija.

Ja, atsaucoties uz vienotu un "efektīvu" pārvaldību, iestāde ievieš vienu un to pašu Windows versiju, tiek izveidota monokultūra, kurā, tāpat kā dzīvajā dabā, vairojas slimības un kaitēkļi. Atvērtus, brīvi pieejamus, ar licences maksām neapliktus (piemēram Interneta) standartus, var implementēt dažādās sistēmās un programmās.

Vīruss, kas ir izstrādāts vienas programmas nepilnībai, praktiski nekad (ar dažiem kurioziem izņēmumiem) nespēj izplatīties citā programmā. Arī pret WannaCrypt vīrusu, kas ir veidots Windows operētājsistēmai, ir imūnas citas operētājsistēmas kā, piemēram, Linux, MacOS X un Android.

Es no savas pieredzes zinu, ka vairums drošības speciālistu drošību cenšas uzlabot tikai tik daudz, cik tas būtiski nemaina iedibināto kārtību. Bet iedibinātā kārtība ir tāda, ka iestādēm ir vieglāk realizēt monokultūru ar dažiem milzīgiem neefektīviem iepirkumiem, nekā daudziem maziem, efektīviem un nedārgiem projektiem.

Piemēram, Latvijā plašāk pazīstamā drošības institūcija, cert.lv kā pirmo ieroci pret kriptovīrusiem rekomendē rezerves kopijas!? Salīdzinot ar auto pasauli, tas būtu — ja vēlaties, lai jūsu auto darbojas, turiet garāžā otru auto. Rezerves kopijas ir nepieciešamas galvenokārt cilvēku kļūdu un aparatūras atteikumu dēļ. (It kā rezerves kopijas parasti nebūtu pieejamas kā kopīgotas mapes ar to pašu SMB protokolu, un kriptovīrusam nekas netraucē nošifrēt arī tās.) Drošības jomā galvenais ir — pareizi lietot uzticamas programmas. Bet, runājot par uzticamību, rodas jautājums:

Kāpēc šī drošības kļūda netika izlabota agrāk?

IT kompānijām, kuru biznesa modelis ir balstīts uz programmatūras koda slēpšanu, ir izdevīgi nelabot tikai dažiem zināmas drošības kļūdas.

Lai arī Microsoft konkrēto drošības kļūdu izlaboja šā gada martā, dažiem par to bija zināms vēl senāk. WannaCrypt vīruss tika izstrādāts, izmantojot ASV drošības aģentūras (NSA) noplūdušos dokumentus.

Tik ilgi, kamēr par konkrēto kļūdu zināja tikai NSA, tā bija ierocis, ar kuru ielauzties citu valstu datorsistēmās. Microsoft konkrēto kļūdu izlaboja tikai tad, šīs zināšanas aizplūda no NSA uz pārējo pasauli. Iespējams, ka par to zināja arī Microsoft, jo viņi šo kļūdu izlaboja ne tikai Windows 10, bet arī oficiāli vairs neuzturētajām Windows XP un Windows 8 versijām.

Tomēr, šajā gadījumā tas nebija pietiekami savlaicīgi, lai ļaunprāši nevarētu ievainojamību izmantot vīrusam. Jo, kā redzams, šis labojums mēneša laikā nav nonācis līdz pietiekami daudziem Windows datoriem.

Tas, ka sabiedrībai nav pieejams Microsoft Windows pirmkods, ir būtiskākā Windows ievainojamība attiecībā pret atvērtā pirmkoda operētājsistēmām:

  • Ja sabiedrībai nav pieejams programmatūras pirmkods, tad dažiem priviliģētiem, vareniem vai vienkārši veiksmīgiem ir izdevīgi drošības kļūdas slēpt un nelabot, lai tās varētu izmantot kā ieroci pret daudziem vājajiem, neinformētiem vai vienkārši neveiksmīgiem.
  • Ja programmatūras pirmkods ir pieejams, drošības kļūdas paslēpt ir daudz grūtāk, tāpēc laiks kopš kļūda ir zināma tikai kādam un visiem pārējiem parasti ir daudz īsāks, un ievainojamības ir grūti izmantot kā ieroci pret citiem.

Visiem Microsoft Windows lietotājiem atgādinu:

Ja Microsoft Windows izplatība datoros nesaruks, šis nav visu laiku lielākais Windows nedrošības skandāls. Dažu tuvāko gadu laikā pienāks vēl lielāka un plašāka dižķibele, jo tā ir noticis visus iepriekšējos 20 gadus.

Ja arī šis vīruss ir pārgājis secen kādam Windows lietotājam, neiesaku pārlieku sapriecāties. Viņam ir tikai paveicies šajā "Krievu ruletes" partijā. Nākamo reizi var arī nepaveikties augšminēto iemeslu dēļ.

Ja kāds Windows lietotājs uzskata, ka pāriet uz Linux ir pārāk sarežģīti, kā vienu no ērtākajiem Linux variantiem, iesaku Ubuntu.

Apple fanmeitenēm un zēniem atgādinu, ka viņu lietotās  MacOSX un iOS operētājsistēmas ir drošākas par Microsoft Windows dizaina ziņā, bet ir tikpat nedrošas kā Windows pirmkoda nepieejamības dēļ.

Tiem, kas drošību tik tiešām vērtē visaugstāk, Linux vietā iesaku lietot OpenBSD vai Minix.

Principā es piedāvāju Linux sistēmu atbalstu un iestādes jau ir vēlējušās pāriet uz Linux tomēr līdz šim — nesekmīgi. Es būšu patīkami pārsteigts, ja šī gadījuma dēļ Windows lietotāji beidzot būs nobrieduši kaut ko būtiski uzlabot pastāvošajā (ne)kārtībā.

Izveidojis Valdis Vītoliņš 2017-05-14 16:50
Pēdējais mainījis Valdis Vītoliņš 2017-05-18 14:13
 
Xwiki Powered
Creative Commons Attribution 3.0 Unported License