Programy jsou děravé jako ementál, jen o tom nevíme

Programy jsou děravé jako ementál, jen o některých chybách ale víme. Pokud některé z nich odhalíme, je to kupodivu podceňovaný Microsoft, který zareaguje jako první.
Programy jsou děravé jako ementál, jen o tom nevíme

Reportáž z letošního ročníku konference Technet, kterou jste si na Živě.cz mohli přečíst minulý týden, spustila pod článkem vášnivou diskuzi, publikoval jsem v něm totiž statistiku, kterou Radim Petratur z Microsoftu otevřel v pondělní dopoledne již tradiční konferenci, která se letos nesla především v duchu serverové virtualizace. Microsoft je podle statistiky softwarový výrobce, který reaguje na dohlaené bezpečnostní chyby ve svých programech nejrychleji ze všech. V prvním pololetí roku 2008 mu to v průměru trvalo 24 dnů. Analýza byal zpracována na základě veřejně dostupných dat.

Děravý je Windows i Linux

Jak vlastně taková záplata vzniká právě v Microsoftu, jehož produkty jsou přirozeně nejčastějším a nejsnadnějším cílem nejrůznějších hackerů?

Programy, včetně operačních systémů, jsou dnes plné chyb a zranitelností a nezáleží na tom, jestli se jedná o „zlý“ Windows nebo „svobodný“ Linux. Ve všech případech jsou to totiž už natolik komplikované aplikace, které se skládají z milionů řádků zdrojového kódu, že ani ten nejlepší testovací program nebo armáda betatesterů před finálním vydáním nezjistí všechno. Z toho plyne, že program má tolik děr, kolik děr v průběhu času objeví analytici, hackeři i běžní uživatelé. Je to vlastně stejné jako s fyzikálními zákony – Newtonův gravitační zákon tu byl již před tím, než na Newtona spadlo jablko, jen o něm nikdo nevěděl, nikdo jej nepopsal.

Microsoft zaměstnává armádu hackerů

O chybách ve svých aplikacích se Microsoft může dozvědět od svých smluvních partnerů, bezpečnostních analytiků (Secunia aj.) a v nejhorším případě chybu odhalí nějaký záškodník a napíše například trojského koně, který využije bezpečnostní díry v systému, otevře zadní vrátka a stáhne ještě nebezpečnější malware, který pak třeba zapojí nakažený počítač do botnetu.

Aby taková situace nastala v co možná nejmenším množství případů, zaměstnává Microsoft rozsáhlý tým hackerů, reverzních inženýrů, kteří se v kostce snaží hacknout cokoliv, s čím přijde Microsoft na trh. Pokud budou rychlejší než skuteční záškodníci, oznámí zranitelnost speciálnímu oddělení Microsoft Security Response Center a v jeho produkci už je pak celá tvorba záplaty.

Záplata je hotová za několik hodin, testuje se ale dlouho

Samotná oprava kódu zabere několik hodin, v těžších případech pár dní, a vždy ji realizuje tým, který vyvíjí konkrétní program nebo modul. Jakmile je záplata vytvořena a otestována produkčním týmem, nastoupí armáda testerů, která záplatu zkouší v nejrůznějších podmínkách a ze všech pomyslných stran. Tento proces trvá ze všeho nejdéle, oddělení MSRC totiž na Windows/Microsoft Update službu nepustí nic, co by sice opravovalo jednu chybu, ale díky nepozornosti by mohlo zavdat příčinu ke druhé chybě.

Poslední částí celého řetězce je oficiální oznámení chyby a její nápravy v tradičním Security Bulletin dokumentu a umístění opravného balíku do aktualizační služby. Za zmínku stojí, že jedna záplata může mít až třicet variant pro nejrůznější kombinace verzí programu nebo operačního systému.

Analýza Jeffa Jonese: Microsoft je nejrychlejší

Tak tedy alespoň ve zkratce vypadá celý životní cyklus jedné opravy chyby ve Windows nebo třeba v kancelářském balíku Office. Podobný scénář samozřejmě používají i další velcí výrobci softwaru a operačních systémů.

Bezpečnostní analytik Jeff Jones, který v současné době zastává post šéfa Microsoft Security Technology Unit, na svém blogu na podzim minulého roku publikoval zajímavou zprávu, kterou nakonec minulý týden citoval i Radim Petratur z české pobočky.

Jones z veřejně dostupných zdrojů za první pololetí loňského roku zjistil, jak dlouhý byl průměrný časový úsek mezi objevením chyby a vydáním záplaty u předních softwarových výrobců na americkém trhu. Jednalo se tedy o Microsoft, Apple a linuxové distribuce Red Hat a Ubuntu.

Klepněte pro větší obrázek  Klepněte pro větší obrázek
Průměrná doba, během které vybraní výrobci zareagují na chybu a množství opravených chyb v prvním pololetí 2008

Zatímco Microsoft průměrně zareagoval během 24,2 dnů, konkurenční Apple potřeboval k vydání záplaty téměř 98 dnů. Mnohem lépe je na tom se 72 dny Ubuntu a pro každého bude jistě překvapením pozice legendárního Red Hatu, který podle Jonese potřebuje k vydání opravy celých 105 dnů. Vzhledem k tomu, že se jedná společně se SLES (SUSE) o majoritní linuxový systém pro servery, stojí vysoké číslo za zamyšlení.

Zajímavý je také pohled na koláčový graf, z něhož je patrné, že s největším počtem objevených a opravených chyb loni na jaře bojoval Apple a Red Hat, často zatracovaný Microsoft obsadil až třetí příčku.

Rychlost není výsada, je to potřeba

Rychlost Microsoftu je ale zcela přirozená, pokud ne přímo životně důležitá. Věnuje-li se totiž drtivá většina hackerů výhradně operačnímu systému Windows, musí bezpečnostní tým okolo MSRC s trochou nadsázky vydávat záplaty jako na běžícím pásu. Linuxové systémy tak ke všemu paradoxně těží ze svého minoritního tržního podílu.

Samozřejmě to není dokonalé, samozřejmě že bude Windows i nadále děravý, dovolím si nicméně položit řečnickou otázku, na kterou ale můžete reagovat v diskuzi pod článkem.

Jak děravý by byl Linux, kdyby se mu věnovalo stejné množství hackerů, kteří po nocích pomocí reverzního inženýrství objevují a zneužívají chyby ve Windows?

Zajímavé zdroje:

Diskuze (67) Další článek: Japonci budou ovládat počítače ušima

Témata článku: Software, Microsoft, Apple, Bezpečnost, Linux, Zajímavý případ, Linuxový systém, Tradiční výrobce, Záplata, Stejná zranitelnost, Průměrný čas, Apple software update, Nejrychlejší proces, Newton, Průměrná doba, Hacker, Rozsáhlý tým, Běžící pás, Produkční tým, Stejné množství, Záškodník, Celý den, Microsoft Security, Nejmenší množství, Chyba


Určitě si přečtěte

Windows 10 už jsou na 700 milionech počítačů, ale není to jen labutí píseň?

Windows 10 už jsou na 700 milionech počítačů, ale není to jen labutí píseň?

** Windows 10 překonaly hranici 700 milionů instalací ** To je úctyhodné číslo a miliarda se blíží ** Analýzy ale i tak ukazují proměnu, jak používáme počítače a mobily

Jakub Čížek | 49

Američtí mariňáci si tisknou kasárna z betonu na 3D tiskárně

Američtí mariňáci si tisknou kasárna z betonu na 3D tiskárně

** Americká námořní pěchota nedávno představila 3D tištěná kasárna pro vojáky ** Ty jim tiskne velká 3D tiskárna na beton ** Výsledkem je solidní obytný prostor, který je slušně chráněný před nepřátelskou palbou

Stanislav Mihulka | 18

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

** Pornografie údajně představuje třetinu internetové obsahu a je technologický tahounem ** Do erotického obsahu postupně zasahuje i virtuální realita ** Kromě vizuálního vjemu se pracuje také na virtuálním uspokojení toho hmatového

Jan Dudek | 29

Vyzkoušeli jsme eObčanku a přihlásili se s ní na weby úřadů. Vážně to funguje!

Vyzkoušeli jsme eObčanku a přihlásili se s ní na weby úřadů. Vážně to funguje!

** Máme eObčanku, máme čtečku, vyzkoušeli jsme přihlášení na weby úřadů. ** Objevily se drobné problémy, podařilo se nám je vyřešit. ** Používání eObčanky pro online identifikaci je velmi pohodlné.

Marek Lutonský | 35

Google Cloud Next: Blíží se bitva o to, kdo ovládne cloud, tedy internet zítřka

Google Cloud Next: Blíží se bitva o to, kdo ovládne cloud, tedy internet zítřka

** Google v týdnu ukázal nové telefony Pixel ** V Londýně se ale také konal Google Cloud Next ** Konference o tom, jak bude vypadat internet v cloudu zítra

Jakub Čížek | 31

Jak horko bude ve vašem městě, až vám bude 80 let? Podívejte se, jak se projeví klimatické změny!

Jak horko bude ve vašem městě, až vám bude 80 let? Podívejte se, jak se projeví klimatické změny!

** Srpen byl třetí nejteplejší za posledních více než sto let ** Bude to ale daleko horší, jak ukazuje aplikace NYT ** V Praze vzroste počet horkých dní na čtyřnásobek

Karel Kilián | 21


Aktuální číslo časopisu Computer

Jak vytvořit a spravovat vlastní web

Velký test herních klávesnic a DVB-T2 tunerů

Vše o formátu RAW

Vybíráme nejlepší základní desku