Programy jsou děravé jako ementál, jen o tom nevíme

Programy jsou děravé jako ementál, jen o některých chybách ale víme. Pokud některé z nich odhalíme, je to kupodivu podceňovaný Microsoft, který zareaguje jako první.
Programy jsou děravé jako ementál, jen o tom nevíme

Reportáž z letošního ročníku konference Technet, kterou jste si na Živě.cz mohli přečíst minulý týden, spustila pod článkem vášnivou diskuzi, publikoval jsem v něm totiž statistiku, kterou Radim Petratur z Microsoftu otevřel v pondělní dopoledne již tradiční konferenci, která se letos nesla především v duchu serverové virtualizace. Microsoft je podle statistiky softwarový výrobce, který reaguje na dohlaené bezpečnostní chyby ve svých programech nejrychleji ze všech. V prvním pololetí roku 2008 mu to v průměru trvalo 24 dnů. Analýza byal zpracována na základě veřejně dostupných dat.

Děravý je Windows i Linux

Jak vlastně taková záplata vzniká právě v Microsoftu, jehož produkty jsou přirozeně nejčastějším a nejsnadnějším cílem nejrůznějších hackerů?

Programy, včetně operačních systémů, jsou dnes plné chyb a zranitelností a nezáleží na tom, jestli se jedná o „zlý“ Windows nebo „svobodný“ Linux. Ve všech případech jsou to totiž už natolik komplikované aplikace, které se skládají z milionů řádků zdrojového kódu, že ani ten nejlepší testovací program nebo armáda betatesterů před finálním vydáním nezjistí všechno. Z toho plyne, že program má tolik děr, kolik děr v průběhu času objeví analytici, hackeři i běžní uživatelé. Je to vlastně stejné jako s fyzikálními zákony – Newtonův gravitační zákon tu byl již před tím, než na Newtona spadlo jablko, jen o něm nikdo nevěděl, nikdo jej nepopsal.

Microsoft zaměstnává armádu hackerů

O chybách ve svých aplikacích se Microsoft může dozvědět od svých smluvních partnerů, bezpečnostních analytiků (Secunia aj.) a v nejhorším případě chybu odhalí nějaký záškodník a napíše například trojského koně, který využije bezpečnostní díry v systému, otevře zadní vrátka a stáhne ještě nebezpečnější malware, který pak třeba zapojí nakažený počítač do botnetu.

Aby taková situace nastala v co možná nejmenším množství případů, zaměstnává Microsoft rozsáhlý tým hackerů, reverzních inženýrů, kteří se v kostce snaží hacknout cokoliv, s čím přijde Microsoft na trh. Pokud budou rychlejší než skuteční záškodníci, oznámí zranitelnost speciálnímu oddělení Microsoft Security Response Center a v jeho produkci už je pak celá tvorba záplaty.

Záplata je hotová za několik hodin, testuje se ale dlouho

Samotná oprava kódu zabere několik hodin, v těžších případech pár dní, a vždy ji realizuje tým, který vyvíjí konkrétní program nebo modul. Jakmile je záplata vytvořena a otestována produkčním týmem, nastoupí armáda testerů, která záplatu zkouší v nejrůznějších podmínkách a ze všech pomyslných stran. Tento proces trvá ze všeho nejdéle, oddělení MSRC totiž na Windows/Microsoft Update službu nepustí nic, co by sice opravovalo jednu chybu, ale díky nepozornosti by mohlo zavdat příčinu ke druhé chybě.

Poslední částí celého řetězce je oficiální oznámení chyby a její nápravy v tradičním Security Bulletin dokumentu a umístění opravného balíku do aktualizační služby. Za zmínku stojí, že jedna záplata může mít až třicet variant pro nejrůznější kombinace verzí programu nebo operačního systému.

Analýza Jeffa Jonese: Microsoft je nejrychlejší

Tak tedy alespoň ve zkratce vypadá celý životní cyklus jedné opravy chyby ve Windows nebo třeba v kancelářském balíku Office. Podobný scénář samozřejmě používají i další velcí výrobci softwaru a operačních systémů.

Bezpečnostní analytik Jeff Jones, který v současné době zastává post šéfa Microsoft Security Technology Unit, na svém blogu na podzim minulého roku publikoval zajímavou zprávu, kterou nakonec minulý týden citoval i Radim Petratur z české pobočky.

Jones z veřejně dostupných zdrojů za první pololetí loňského roku zjistil, jak dlouhý byl průměrný časový úsek mezi objevením chyby a vydáním záplaty u předních softwarových výrobců na americkém trhu. Jednalo se tedy o Microsoft, Apple a linuxové distribuce Red Hat a Ubuntu.

Klepněte pro větší obrázek  Klepněte pro větší obrázek
Průměrná doba, během které vybraní výrobci zareagují na chybu a množství opravených chyb v prvním pololetí 2008

Zatímco Microsoft průměrně zareagoval během 24,2 dnů, konkurenční Apple potřeboval k vydání záplaty téměř 98 dnů. Mnohem lépe je na tom se 72 dny Ubuntu a pro každého bude jistě překvapením pozice legendárního Red Hatu, který podle Jonese potřebuje k vydání opravy celých 105 dnů. Vzhledem k tomu, že se jedná společně se SLES (SUSE) o majoritní linuxový systém pro servery, stojí vysoké číslo za zamyšlení.

Zajímavý je také pohled na koláčový graf, z něhož je patrné, že s největším počtem objevených a opravených chyb loni na jaře bojoval Apple a Red Hat, často zatracovaný Microsoft obsadil až třetí příčku.

Rychlost není výsada, je to potřeba

Rychlost Microsoftu je ale zcela přirozená, pokud ne přímo životně důležitá. Věnuje-li se totiž drtivá většina hackerů výhradně operačnímu systému Windows, musí bezpečnostní tým okolo MSRC s trochou nadsázky vydávat záplaty jako na běžícím pásu. Linuxové systémy tak ke všemu paradoxně těží ze svého minoritního tržního podílu.

Samozřejmě to není dokonalé, samozřejmě že bude Windows i nadále děravý, dovolím si nicméně položit řečnickou otázku, na kterou ale můžete reagovat v diskuzi pod článkem.

Jak děravý by byl Linux, kdyby se mu věnovalo stejné množství hackerů, kteří po nocích pomocí reverzního inženýrství objevují a zneužívají chyby ve Windows?

Zajímavé zdroje:

Diskuze (67) Další článek: Japonci budou ovládat počítače ušima

Témata článku: Software, Microsoft, Apple, Bezpečnost, Linux, Stejná zranitelnost, Produkční tým, Stejné množství, Záplata, Průměrná doba, Nejmenší množství, Bezpečnostní díra, Microsoft Security, Záškodník, Běžící pás, Přední náprava, Průměrný čas, Nejrychlejší proces, Tradiční výrobce, Rozsáhlý tým, Celý den, Linuxový systém, Hacker, Apple software update, Zajímavý případ


Určitě si přečtěte

Budoucnost elektroniky: čeští vědci stojí za revolučním čipem, který nemá ve světě obdoby

Budoucnost elektroniky: čeští vědci stojí za revolučním čipem, který nemá ve světě obdoby

** Čeští vědci pod vedením Tomáše Jungwirtha vyvíjí nový typ revolučního paměťového čipu ** Zatímco v současnosti elektronika pracuje s elektrony, v budoucnu to budou spiny elektronů ** Čipy budou moci být klidně i 1 000x rychlejší a úspornější

Karel Javůrek | 32

Sex a rozmnožování při mezihvězdné cestě: Kolik lidí je potřeba pro let k Proximě Centauri?

Sex a rozmnožování při mezihvězdné cestě: Kolik lidí je potřeba pro let k Proximě Centauri?

** Vědci spočítali, jak velká by musela být posádka pro vícegenerační let k nejbližší hvězdné soustavě ** Proxima Centauri se nachází 4,3 světelných let od nás ** Za současných technologií bychom k ní letěli 6300 let

Petr Kubala | 53

Google ADT-2: Miniaturní krabička s Android TV 8.0, kterou si nikdy nekoupíte

Google ADT-2: Miniaturní krabička s Android TV 8.0, kterou si nikdy nekoupíte

** Dlouho se nevědělo, co to přesně má být ** Pak se s krabičkou Google pochlubil na I/O ** Do „Chromecastu“ vtěsnal celý Android TV

Jakub Čížek | 24

15 věcí, které umí Windows 10, ale možná o nich vůbec nevíte

15 věcí, které umí Windows 10, ale možná o nich vůbec nevíte

** Systém Windows 10 umí spoustu užitečných drobností ** O mnoha praktických funkcích pravděpodobně ani nevíte ** Poznejte užitečné tipy, které se vám mohou hodit každý den

Vladislav Kluska | 36

Takhle zemřete, když asteroid dopadne na vaše město

Takhle zemřete, když asteroid dopadne na vaše město

** Jak by to dopadlo, kdyby na světovou metropoli či do nedalekého moře dopadl velký asteroid? ** Simulovali to odborníci z University of Southampton ** Výsledky jsou velmi zajímavé

Petr Kubala | 32


Aktuální číslo časopisu Computer

Velký test 18 bezdrátových sluchátek

Vše o přechodu na DVB-T2

Procesory AMD opět porážejí Intel

7 NVMe M.2 SSD v přímém souboji