Mají vaše Windows virus? Budete odpojeni od internetu, navrhuje viceprezident Microsoftu

Vysoký představitel společnosti Microsoft navrhuje nový způsob, jak si poradit s napadenými operačními systémy Windows. Uživatelé, jejichž "počítače" byly infikovány viry a různým jiným malwarem, by měli být odstřiženi od internetu.

Windows se od počátku své existence potýkají se záplavou virů, které je napadají. Škodlivého softwaru je slušná hromada, počet vzorků sžírající Windows činí řádově desítky milionů. Toto číslo narůstá každým dnem o další desítky tisíc. Loni, jak uvedla bezpečnostní softwarová firma Panda Security, každý den vznikalo 55 tisíc nových aktivních vzorků.

Microsoft kvůli problémů se zabezpečením – a vůbec celému konceptu – operačních systémů rodiny Windows čelí kritice a různým posměškům také po celou svou historii. Stačí uvážit jen to, že v době všudepřítomných sítí jeho vlajková loď a vůbec nejúspěšnější operační systém Windows XP (který je stále používán největším počtem uživatelům po celém světě) neuměl nijak zvláště dobře pracovat s uživatelskými účty. Drtivá většina uživatelů Windows XP používá (a kvůli špatně naprogramovanému softwaru třetích stran musí používat) Windows XP v režimu administrátora (s nejvyššími právy). Málokdo (pokud z domácích uživatelů vůbec někdo) používá účet s omezenými právy.

Už jen tento fakt nahrává velkou měrou šíření malwaru (škodlivého softwaru) mezi počítači. I když Windows Vista a nové Sedmičky přišly s lepším konceptem víceuživatelského rozhraní a funkcí UAC – v poněkud marné snaze přinést do Widnows techniku "sudo" z unixových a linuxových systémů –, malware se šíří vesele dál. Překonány byly poměrně rychle i nové techniky zabezpečení (jako ASRL / Address Space Layout Randomization). Zdá se, že nepomáhá nic tak, jak by mělo.

Microsoft to ví, ví to jeho představitelé. Jeden z nich nyní přišel s dalším radikálním, až absurdním nápadem. Aby se zabránilo šíření malwaru mezi počítači a aby nevznikaly tzv. botnety (sítě botů), nakažené systémy (tedy počítače) by neměly mít přístup k celosvětové síti. Poskytovatelé internetu mají zkontrolovat, zda jejich klient má čistý a dobře zabezpečený počítač a až po splnění všech bezpečnostních bodů jej připojit do sítě.

Tuto myšlenku prezentovat na konferenci ISSE v Berlíně Scott Charney z Microsoftu. Charney podobnými nápady vyrazil dech komentátorům už v minulosti – stačí si přečíst článek z počátku letošního března: Chcete Windows bez virů? Plaťte třeba daň z internetu, řekl viceprezident Microsoftu.

Tehdy Charney řekl, že pokud lidé chtějí bezpečné Windows, měli by platit speciální daň z internetového připojení.

Sáhl přitom k analogii se zdravotnictvím. Podle něj je nutné zavést preventivní kontroly "zdraví počítačů (chápejte, zdraví Windows). „Když je váš počítač nakažen, je hrozbou také pro okolí,“ řekl tehdy. Peníze na preventivní prohlídky, prováděné poskytovateli internetu (nebo nově vzniklými firmami?), by šly přímo od uživatelů Windows, a to formou všeobecného zdanění internetu.

Netřeba říkat, že tento nápad u mnoha lidí vzbudil spíše úsměvy. Kvůli tomu, že Microsoft není schopný přijít s operačním systémem koncepčně navrženým tak, aby bezpečnost byla vyšší, mají ještě lidé platit, když už zaplatili za licenci za takový nezabezpečený systém?

Ostatně tuto analogii se zdravotnictvím Charney rozvíjí nadále. Strategii "boje s malwarem" přivedl do dalších dimenzí. Novinkou je zmíněná "karanténa" (když člověk nemá čistý počítač, tedy operační systém Windows, a nepoužívá účinná zabezpečení, bude mu odepřen přístup k internetu). Myšlenky viceprezidenta Microsoftu si můžete přečíst na jeho blogu, kde jsou dostupné i jeho "studie" na toto téma.

I když různé berličky v podobě antivirových programů (a dalších různých anti-něco) zlepšují bezpečnost Windows, zároveň v uživatelích budí falešný dojem bezpečí. Tím se míní to, že anti-programy nejsou všemocné a nemohou systém zabezpečit tak, aby se do něj nějaký škodlivý kód opravdu nedostal (v poslední době jsem řešil problémy s počítači lidí, kterým žádný – ani komerční – antivirový produkt infekci nehlásil, přitom binární zoo měli na disku půvabné).

Tohle je vlastně problém, který během let řešila již řada lidí z IT průmyslu. Své rozhořčení nad Windows a principem antivirů vyjádřil i bezpečnostní šéf společnosti Cisco, který antiviry označil za vyhozené peníze.

„Je-li záplatování a antivirus to, za co utrácím peníze, a přesto se stále potýkám s infekcemi a stále musím čistit počítače a pořád musím obnovovat uživatelská data a pořád musím reinstalovat systém, pak mi vychází jen jedno: jsou to oknem vyhozené peníze,“ řekl před dvěma roky. Sám by volil cestu whitelistu před blacklistem – viz článek Viry jsou jiné. Jsou antiviry jen vyhozenými penězi?

Paralela, jíž se Charney snaží vymáčknout z toku svých myšlenek mezi skutečnými viry napadající lidi a Windows, je zarážející a absurdní. Zatímco neumíme vytvořit "lepší lidi", s železnou imunitou vůči virovým nákazám, naopak umíme udělat lepší operační systémy.

Ty jsou s námi od 60. let minulého století. Microsoft by si tohle už mohl uvědomit a ne se tvářit, že z jeho dílny přišel samotný koncept operačních systémů a jejich bezpečnosti. Ani jedno nebylo dítkem Microsoftu. Proto stejně jako v březnu musím říct jediné. Chce-li Microsoft bránit lidem v přístupu na internet kvůli virům, tak pokud Windows nejsou připravené na to, aby zaručily bezpečnost v sítích, měl by jim být odepřen přístup k internetu – neměly by se šířit kanálem OEM s přístroji vybavenými síťovými kartami.

15. 10. 2010

Autor: Oldřich Klimánek