2014

Názory, komentáře a úvahy ze světa informačních technologií

30

Dub 2014

O chybě v OpenSSL a ukončení podpory Windows XP …

Autor / v 2014 / Dosud žádné komentáře

Je smutným faktem, že více než nové produkty a služby zahýbaly v posledních týdnech světem IT dvě události, které mnoha uživatelům způsobily jen starosti a komplikace. Nedávno odhalená chyba v šifrovací knihovně OpenSSL zasadila tvrdou ránu důvěře v bezpečnost informačních technologií. Mimořádná závažnost chyby, pro kterou se rychle ujalo poetické označení krvácející srdce, vyplývá z rozšířenosti OpenSSL na internetových serverech a doby, po kterou nebyla chyba odhalena. Záměrně nepoužívám slovo objevena. Velmi pravděpodobně totiž byla objevena a zneužita mnohem dříve, jen se svým zjištěním zapomněl objevitel pochlubit. Přibližně dva roky tak byly statisíce serverů zranitelné a zdánlivě bezpečná šifrovaná komunikace mohla být kompromitována.

Ne, nechci zde rozvíjet konspirační teorie, kdo měl na utajení chyby největší zájem, ani strašit před možnými dopady. Chtěl bych jen připomenout, že jsme dostali další varování, ze kterého bychom se měli poučit.

Asi teď namítnete, že je těžké se bránit a chovat na internetu obezřetně, když jsou bezpečnostní slabinou přímo základní kameny komunikační infrastruktury. Přesto je možné se z Heartbleed poučit. Například ve způsobu používání hesel. Snad Heartbleed přiměje k zamyšlení alespoň některé uživatele, kteří používají na mnoha serverech stejná hesla. Jejich bezpečnost je totiž dána nejslabším článkem – nejhůře zabezpečeným serverem, kterému svěřili své přihlašovací údaje. Jde o základní princip IT bezpečnosti, který nám Heartbleed připomněl. Právě sdílení hesel zavinilo, že v ohrožení byla i data na serverech, které OpenSSL vůbec nepoužívaly.

Předpokládám, že míra zneužití a reálný dopad bezpečnostní slabiny OpenSSL nebudou nikdy odhaleny. Až na ojedinělé výjimky budeme jen spekulovat, kdo všechno chybu znal, zneužil, získal informace a zametl stopy. Mnohem lépe bude možno vyčíslit dopad druhé události světa IT, která v minulých týdnech plnila prostor všech médií včetně těch, které se technologiím běžně vůbec nevěnují. Ukončení podpory operačního systému Windows XP (dále jen XP) se dotklo mnoha firem i domácností. Způsobilo poprask, jehož výsledkem byla masivní kampaň, která nakrátko zastínila všechny snahy Microsoftu upozornit na nové produkty a zlákat k nim zákazníky dobrovolně. Je paradoxní, že se Microsoftu dostalo tolik pozornosti v souvislosti s ukončením softwaru, a nikoli jeho vytvořením.

Je možné to vnímat sarkasticky a ušklíbnout se nad tím, že novější Windows asi nebudou žádná výhra, když se jim tolik uživatelů dlouhodobě vyhýbá. Stejně tak je ale možno vyslovit uznání Microsoftu za vytvoření softwaru, který úspěšně slouží už od roku 2001. Mnoho věrných uživatelů si bude stát za tím, že XP je zkrátka příliš dobrý systém na to, aby se ho vzdali dobrovolně.

Při troše nadhledu musíte přijít na to, že pravda je někde jinde. Windows XP jsou i se třemi servis packy a stovkami záplat zastaralé a novější verze Windows nejsou vůbec špatné. Objektivně jsou lepší než XP. Rychlejší, stabilnější a bezpečnější. Proč se tedy uživatelé brání inovaci? Protože operační systém má sám o sobě mnohem menší význam pro užitnou hodnotu počítače, než je nám podsouváno s každou novější verzí Windows. Uživatelé přece nepracují s operačním systémem, ale s aplikacemi. Proto je logické, aby požadavek na změnu operačního systému vzešel právě od inovace aplikačního softwaru, nikoli obráceně. Jenže mnoho aplikací funguje na novém systému prakticky stejně jako na starém a v takových případech je přínos inovace operačního systému sporný, zatímco náklady jsou jasně vyčíslitelné. U XP proto zůstávalo mnoho firem, které dnes řeší hned dva problémy naráz. Pokud se rozhodnou změnit systém, budou řešit problém s kompatibilitou a dost možná vynucenou změnou aplikačního softwaru. I laik pochopí, že je to nezáviděníhodná situace. Zpětně se tak ukazuje, že firmy, které již dříve investovaly do přechodu na Windows 7, možná nezískaly nějakou bezprostřední výhodu, ale předem se připravily na změnu, která byla dříve či později nevyhnutelná.

Bylo ukončení podpory XP nutné? Nebylo, ale Microsoft není charitativní organizace, aby na věky investoval do záplatování svého mimořádně úspěšného díla. Embéčko bylo ve své době taky velmi populární, ale nikdo snad nečekal, že na něj sežene originální náhradní díly i po dvaceti letech od ukončení prodeje. Ovšem stejně tak nepropadal panice, že s ukončením prodeje originálních náhradních dílů jej musí okamžitě odstavit a přestat používat. Musel jen přijmout skutečnost, že se zvyšuje riziko poruchy a komplikace spojené s jejím odstraněním.

Tím vlastně odpovídám na další otázku, která mi byla v posledních týdnech často pokládána. Je třeba ihned jednat a starý operační systém nahradit? Ne, ale je třeba pečlivě zvážit rizika, která s sebou přináší užívání softwaru bez podpory. Možná teď namítnete, že případ OpenSSL jasně ukázal, že software s sebou nese bezpečností rizika bez ohledu podporu výrobce. Ano, ale je to stejné jako se zabezpečením bytu před zlodějem. Je přece rozdíl mezi situacemi, kdy občas omylem zapomenete zamknout, a kdy zásadně nezamykáte, a ještě necháváte pootevřená okna. Vykrást vás mohou v každém případě, ale jistě tušíte, kdy si o nezvanou návštěvu doslova koledujete. Ukončením podpory se riziko používání XP jistě zvyšuje. Potenciální útočníci nyní získali větší motivaci, protože ví, že jejich úsilí v odhalení nějaké bezpečnostní slabiny XP už nebude hatit výrobce vydáním záplaty. Berte proto ukončení podpory XP jako podnět k revizi své IT infrastruktury z hlediska bezpečnosti a kvality.

P. S. V souvislosti s ukončením podpory XP se objevily také otázky odpovědnosti tvůrce softwaru za vady jeho díla. Často a zcela chybně je přitom zmiňována paralela s odpovědností za vadu na zboží. Věřím, že všichni čtenáři IT Systems chápou podstatný rozdíl mezi softwarem a zbožím. Přesto si zde dovolím připomenout základní fakt, že software prostě není zboží. Software je autorské dílo, ke kterému vám jeho autor uděluje práva k užívání v rozsahu daném licenční smlouvou. Takže žádná dvouletá záruka, žádná ochrana spotřebitele dle zákona. Software není předmětem spotřeby, software užíváte na základě smlouvy, kterou je užitečné přečíst, než ji dvěma kliknutími při instalaci přijmete. Pokud si myslíte, že popsaný stav není správný a máte výhrady ke srozumitelnosti a dostupnosti licenčních smluv, nejste sami. Snad se nad vyvážeností práv dodavatele a uživatele softwaru zamyslí zákonodárci v rámci revize autorského práva, které je při konfrontaci s realitou digitálního věku nejen slepé, ale ještě kulhá na obě nohy.

Vyšlo v časopise IT Systems

Vyberte prosím sociální síť, se kterou chcete stránku sdílet:

Lukáš Grásgruber

Ing. Lukáš Grásgruber vystudoval elektrotechnickou fakultu VUT v Brně, obor kybernetika. Už během studií zběhl k informatice a v oblasti IT se profesionálně pohybuje od roku 1996. Nejprve jako recenzent, editor, analytik, redaktor a od roku 1999 jako šéfredaktor časopisu IT Systems se zaměřením na podnikovou informatiku. Z lásky k městu, ve kterém vystudoval a dodnes pracuje, působí také jako manažer časopisu Brno Business & Style.

PODOBNÉ ČLÁNKY
Dosud žádné komentáře

Vstupte do diskuze a napište svůj komentář