Hlavní navigace

Proč nechci, aby byl svobodný software všude

8. 4. 2009 13:57 Svatopluk Vít

I když titulek vypadá kontroverzně, nehledejte za tím nic zvláštního. V posledních několika dnech jsem dostal pár hlášení o tom, jak řádí škodlivý software. V konečném důsledku mne to přivedlo na téma tohoto příspěvku.

Mí známí, kolegové a rodinní příslušníci mne už dlouhá léta vyhledávají a ptají se mne na to, jaký software používat. Obvykle je to kvůli tomu, že chtějí mít dobrý pocit z toho, že mají vše v pořádku a také kvůli tomu, aby ušetřili.

Podíváme-li se do hlavy nejednoho přívržence FOSS, najdeme tam zasunutou ideu o tom, jak tento software vytlačí komerční firmy na okraj zájmu, protože prostě bude výhodné používat FOSS. Můžeme polemizovat o tom, zda to je či není reálné (no dobře, v tuto chvíli určitě ne a do budoucna to taky nějak výrazně jinak než teď taky nevidím).

Čím více se nad tím zamýšlím, tím mne přepadává až skoro kacířská myšlenka v tom, že mi současný stav jaksi vyhovuje. Tedy existuje FOSS, já jej používám, ale v žádné z klíčových oblastí nedominuje (výrazněji) i když se mnoho z nás snaží to změnit. Jistě, u jednotlivců určitě dominuje, ale už třeba ne na úrovni jednotlivých států.

Začnu zdánlivě nesouvisejícími příklady. Dnešní vymoženosti vám umožňují, abyste si koupili tzv. elektronickou chůvičku.  Je to zařízení, které se skládá z vysílače a z přijímače. Vysílač umístíte k posteli malého dítěte a přijímač si vezmete s sebou do jiné, nepříliš vzdálené místnosti. V reálném čase pak slyšíte (u některých modelů i vidíte), co se ve vedlejším pokoji děje. Výrobců těchto zařízení je pár. Obejdete obchody, prolezete internet a vyberete si jeden konkrétní model, jednoho výrobce. Vše funguje jak má, vypadá to dobře. Jenže pak zjistíte, že v paneláku, kde bydlíte, s vámi na patře žijí ještě dvě rodiny s malými dětmi. A ve vedlejším vchodě také a o patro výš či níž je ještě jedno dítě. Všichni rodiče jsou moderní a chůvičky používají. Vámi dlouho vybíraný výrobek má celkem 5 různých frekvenčních kanálů. Vy jej spustíte a zjistíte, že chytáte sousedovo dítě. Přepnete na jiný kanál a tam je zase jiné dítě. A nakonec z toho vyjde, že všech 5 kanálů je obsazených a na vaše dítě se nedostane. Až pozdě zjistíte, že jste si koupili nejprodávanější chůvičku, kterou má každá třetí rodina. Řešením je pustit chůvičku dříve a modlit se, že to vyjde.

Nemusíme chodit daleko – dnes populární tzv. meteostanice. Fungují na bázi přijímače a vysílače. Jednu část máte za oknem, hlavní stanici v bytě a můžete krásně vidět, kolik stupňů je za oknem, aniž byste museli vystrkovat nos. Velmi dobré a výhodné do té chvíle, než zjistíte, že u vás v paneláku je ještě asi dalších 10 lidí, se stejnou stanicí a že vy nemáte možnost chytit své „čidlo“ a že přijímáte informace od souseda.

Také si koupíte auto (třeba od jednoho tradičního českého výrobce) a když přijedete na parkoviště zjistíte, že stejný model má asi tak 50 dalších lidí. Když se objeví zloděj, může si vybrat a vy máte o starost více.  Pak jdete po ulici a před vámi se kolébá vaše dcera. Protože už chce šlápnout do té louže plné vody, okřiknete ji. Zavoláte na ní „Terezo!“ a na ulici se otočí ještě pět dalších holčiček…

U všech jmenovaných příkladů se může osvědčit metoda zvaná „nesplynout s davem“ tj. vybrat si něco jiného, nemasového. Ne vždy to samozřejmě jde, ale ve většině případů ano. Mluvím o tom hlavně proto, že jsem se tento týdnem dozvěděl o případu hacku internetových stránek. Když daný zodpovědný správce prováděl analýzu, zjistil, jak byl útok proveden. Útok přišel z počítače osazeného operačním systémem Microsoft Windows. Že je to masovka, souhlasíte. Navíc byl jako FTP klient použit Total Commander (také masovka u Windows uživatelů). Posledním střípkem do skládačky byl úspěšný útok na seznam uložených hesel pro přístup na FTP server právě v TC FTP klientovi. Jinými slovy – útočník využil konkrétní OS s konkrétní aplikací (vše masově rozšířené) a získal informace k FTP účtu, skrz který pak mohl provádět nekalé rejdy na stránkách oběti.  Řešením samozřejmě je to, že si do TC nebudu ukládat hesla. Druhým řešením je použít jiného FTP klienta (rozuměj ne tolik rozšířeného). TC se prostě stal takovou samozřejmostí, že s ním útočník může počítat téměř najisto. A v tomto případě prostě můžete zabezpečovat své stránky jak chcete, nepomůže vám nic.

A tím se dostávám k jádru věci. Proč skoro neexistují viry pro Linux? Je to skutečně tím, že je tak bezpečný? Částečně možná ano, částečně je to tím, že se prostě útočníkům nevyplatí psát škodlivý kód pro (pro ně) minoritní systém. Proč skoro neexistují makro viry pro OpenOffice.org? Možnosti jeho makro jazyka jsou velmi podobné VBA v MSO. Opět se útočníkům nevyplatí vytvářet škodlivý kód pro minoritní software.

Mám velmi blízký vztah k projektu Joomla! a sleduji jej od prvních krůčků. S tím, jak se objevují nadšené vyjádření vývojářů, uživatelů a investorů, že prostě Joomla! je pro ně to pravé, nebývale stoupá množství útoků na stránky založené na tomto redakčním systému. Když byla Joomla jen na okraji zájmu, málokdo se mohl „pochlubit“ hackem (to už ho opravdu někdo neměl rád a zaměřil se na něj). S tím jak množství uživatelů roste, roste i zájem hackerů. To se v tuto chvíli děje s Microsoft Windows,   Total Commanderem a třeba Joomlou.

Kdyby se někdy zrealizovala vize o nadvládě alternativních poduktů (třeba Linux, OpenOffice.org aj.), určitě by se o ně strhl zájem i u hackerů. A to mne v podstatě v tuto chíli vede k myšlence, vyjádřené v titulku.

Sdílet