Temat: BRAK OCHRONY
Aleście tutaj wieloaspektowy temat rozkręcili... Pozwolę sobie dodać swoje 3 grosze.
Ogólnie nie zgadam się z tezą, że starsze systemy są bezpieczniejsze bo mniej osób się do nich włamuje albo bo mają mniej punktów, w których można je zaatakować. Zwłaszcza, że bezpieczeństwo informacji to nie tylko poufność, ale także dostępność i integralność.
Zanim jednak to uzasadnię, to chciałbym podzielić się ogólniejszą refleksją.
Moim zdaniem sposób patrzenia na bezpieczeństwo IT zmienił się dość mocno, szczególnie w ciągu ostatnich 15 lat.
Kiedyś być może uważano, że bezpieczeństwo systemu zależy od sposobu jego zaprojektowania i wykonania. Ale problem polega na tym, że w przypadku technologii IT, przy poziomie złożoności na jakim bazują rozwiązania użytkowe w tej dziedzinie i tempie zmian - wiara w perfekcyjnie, czy chociaż przyzwoicie dopracowane systemy IT równa się niemal naiwności.
Kolejnym krokiem w patrzeniu na bezpieczeństwo IT jest uznanie, że bezpieczeństwo jakiegoś systemu użytkowego zależy od ludzi którzy go konfigurują i nadzorują, czyli powiedzmy administratorów. Pojawia się tu jednak dodatkowe ryzyko dla bezpieczeństwa - tzn. kwestia kompetencji i dostępności odpowiednich fachowców. Przykład? Proszę bardzo - ten nieszczęsny pomiatany Win - kto go instaluje? kto konfiguruje? jak często system ten jest używany z domyślnymi konfiguracjami, bez żadnego hardeningu? (i mam tu na myśli systemy produkcyjne, teoretycznie "administrowane" przez fachowców, o komputerach prywatnych nie warto wspominać).
Niestety w ciągu ostatnich 15 lat boleśnie mogliśmy się przekonać, że świat jest jeszcze bardziej skomplikowany. 11 września i parę innych ataków terrorystycznych, wycieki Snowdena, Wikileaks itp. oraz nieformalne wojny toczone przez światowe mocarstwa w przestrzeni cyfrowej (mam na myśli ataki hackerskie wykonywane prawdopodobnie za wiedzą lub wręcz z inspiracji władz poszczególnych krajów na infrastrukturę innych państwa) uświadomiły wielu ludziom iż:
1) szacowanie ryzyka w oparciu o zakładane racjonalne i oparte na finansowej kalkulacji działanie atakującego może być poważnym błędem;
2) bezpieczeństwo systemów często jest iluzoryczne co udowadniają działania różnych mniej lub bardziej tajnych służb i organizacji, które dysponują wiedzą i narzędziami, o których nie ma pojęcia wielu specjalistów od bezpieczeństwa IT, że nie wspomnę o zwykłym "statystycznym" adminie.
Wszystko powyższe prowadzi moim zdaniem do defetystycznie brzmiącego wniosku, że bezpieczeństwa na przyzwoitym poziomie nie da się zapewnić, można tylko się starać.
Wracając do argumentów padających w tej dyskusji:
Szymon Szuszwalak:
Elektrownie atomowe śmigają na jeszcze starszym oprogramowaniu. Mniej bezpieczne? Niech
ktoś znajdzie specjalistę, który potrafi się włamać do czegoś co jest programowane w niemalże
wymarłym języku.
Na prawdę nie ma powodu do obaw?
Może prawdopodobieństwo włamania jest niewielkie, ale za to jak efektowne mogą być konsekwencje...
Po pierwsze - ludzi, którzy na prawdę będą chcieli zaatakować elektrownię atomową nie powstrzyma fakt, że język oprogramowania niemal wymarł. Będą mieli środki i sposoby, żeby pozyskać odpowiedniego fachowca. Najbardziej oczywistym przykładem jest Stuxnet, ale tu i ówdzie słychać o innych przypadkach, np. polecam historię o niewyjaśnionych do końca ingerencjach w firmware centrali telefonicznych należących do Vodafone (wiedza nt. tego firmware jest teoretycznie zamknięta do dość wąskiego grona osób), opisaną tutaj:
https://zaufanatrzeciastrona.pl/wielka-grecka-afera-pod...
W te sprawie pojawił się też wątek z branży o.d.o. - "Grecki odpowiednik GIODO wymierzył grzywnę 76 milionów euro dla Vodafone za celowe utrudnianie śledztwa oraz dla Ericssona w wysokości 7,36 milionów euro, a z kolei odpowiednik UKE ukarał Vodafone grzywną w wysokości 19 milionów euro".
Po drugie - skoro język niemal wymarły, tzn, że stopniowo zamiast ryzyka włamania mamy ryzyko braku dostępu do odpowiednich, "oblatanych" fachowców, którzy potrafią sobie z tym językiem dobrze poradzić. Obym był kiepskim prorokiem, ale może się zdarzyć, że kiedyś powieje radioaktywny wiatr bo starzy fachowcy wymarli, a nowi nie do końca sobie poradzili z archaiczną technologią...
Grzegorz Krzemiński:
Starsze często są bezpieczniejsze, bo mają dużo mniej syfu. Wystarczy popatrzeć na obciążenie
procesora na starych systemach i już jest odpowiedź - mniej procesów.
Hmmm, jeżeli w domu zamiast 6 okien (i mam tu na myśli takie z szybami, nie windows) są 2 okna, ale stare i spaczone, to ryzyko włamania maleje?
A porzucając porównania - w IT jest tak, że czasami po wielu latach znajdowane są luki, które dotyczą wielu systemów wstecz i nie są już w tych systemach poprawiane. "Zainteresowani" bez problemu mogą w Internecie znaleźć informacje o tych lukach i je wykorzystać.
Owszem, jak pisze Szymon, na dopracowanie Win XP poświecono wiele lat, a na nowsze Windy niewiele, ale nowe luki które dotyczą XP nie są już łatane (tak, wiem, że jest pewien myk, który do roku 2019 zapewnia im aktualizację, choć trzeba dodać, że bez gwarancji poprawności działania systemu ze strony MS).
No i tu też mamy to drugie ryzyko - jak wyżej, tzn. znów mamy ryzyko, że stopniowo coraz mniej fachowców od tych starszych systemów.
Grzegorz Krzemiński:
WIN 3.1 kontroluje systemy pogodowe na wielu lotniskach
Pytanie czy trzymanie się 3.1 wynika z przekonania o bezpieczeństwie tego systemu,
bo na moje wyczucie to może być raczej kwestia ekonomiczna - taki specjalizowany dla lotnisk system za pewne nie był tani, w dodatku jego wymiana może się wiązać z wymianą też pewnie nie tanich urządzeń wykorzystywanych przez systemy pogodowe, więc być może opłaca się go utrzymywać przy życiu, tak długo jak się da.
Podsumowując - zgadzam się z tezą, że nie ma co aktualizować wszystkiego na siłę, ale z bronieniem starych systemów też bym nie przesadzał, z powodów o których napisałem powyżej.
PS. Sorki, że się tak rozpisałem, ale postanowiłem sobie w piątkowy wieczór trochę poszaleć ;-)