Вчера я почитал презентацию с ZeroNights, после которой долго не мог заснуть, даже к Медведовскому в фейсбук полез (что вообще полное безобразие). Я говорю о http://www.slideshare.net/abeshkov/zeronigths Андрея Бешкова. Первый раз я читал эту презентацию (за другим авторством) около 12 лет назад и я серьезно огорчен тем, что со времен “Get The Facts” ничего не изменилось: основной упор делается на формальное количество обнаруженных уязвимостей в определенной версии продукта. Такая метрика популярна, например, многие антивирусы выдают в отчет Главный График в виде количества обнаруженных в системе вирусов. Это нехорошая, негодная метрика: на ее основе нельзя принимать решения. Что нам 10 закрытых уязвимостей, если есть неизвестные нам незакрытые? Что нам сертификации, если есть бекдоры? Зачем нам знать сколько уязвимостей закрыто, если в Adobe внедрена похожая на SDL технология (слайд 8), а информационных поводов про уведенные пароли всех пользователей меньше не становится? Что нам дает SDL, если IIS как был непредсказуемой могилой, так и остался?
Но я, конечно же, не могу выступать по данному вопросу, я любитель ИБ. Зато как у профессионала в поддержке, у меня есть опыт общения с конечными пользователями и системными администраторами низкой и средней квалификации, а так же опыт общения с той частью отдела ИБ, которая раньше носила форму (и не только в этой стране). Типичный сисадмин средней-низкой квалификации отключает обновления Windows и UAC потому что они очень плохо спроектированы и для него несут угрозу полного выключения вверенного сервиса: после обновления может произойти перезагрузка после которой система не поднимется и потребуется ее восстановление из резервной копии, которой у админа средней-низкой квалификации может не быть. Конечно можно заявить, что в открыты продуктах ровно та же проблема, однако, это не совсем так в силу второго фундаментального недостатка закрытого софта: чтобы интеллектуальная собственность его хозяев не просочилась в массы, а курсы по обучению были дороги и востребованы, у закрытого софта нет отладочной информации. Когда что-то происходит, то его админ даже не подумает разобраться в причинах, так как искать что такое ошибка -23414 долго, нудно и неинтересно, можно просто восстановиться из эталонной копии, отключить обновления и радоваться стабильности. Да, у открытого софта может быть более высокий порог вхождения для сисадмина, но он рискует только собственным местом, а владелец – всем бизнесом и умно ли ему будет экономить на сисадминах? Да, у открытого софта нет никаких гарантий, что код кто-то качественно проанализировал. Но у закрытого гарантии даются не пользователям, а владельцам интеллектуальной собственности: если контора умирает, софт вместе с ней и аудита не будет до тех пор, пока ущерб от провалов не привесит стоимость аудита. Каких только процедур качества не введено в прекраснейшей Тойоте, а контроллер впрыска на Camry с 11 000 глобальных переменных прошел в серию. Да, у открытого софта могут быть проблемы с проприетарными форматами, зато у закрытого для разработчиков есть гарантии владения этими форматами, что делает их частичным владельцами данных их пользователей. Я давно уже не фанбой OSS и FSF, но от проприетарных технологий и софта, когда программы исчезают, а данные остаются, пострадал. Думайте на 2 шага вперед: что будет, если Microsoft исчезнет? Не придется ли перестраивать все с нуля и в срочном порядке? Sun и DEC тоже когда-то были лидерами рынка, казавшимися нерушимыми империями.
Leave a Reply