Změní bezpečnostní rizika a chytré telefony povahu Internetu?

Společnost Symantec zveřejnila výsledky průzkumu, z nichž vyplývá, že 65 % programů, uvolněných v roce 2007, je pro uživatele škodlivých. Základem zabezpečení nebudou už možná moci být virové definice nebo blacklisty, ale postupně zřejmě přejdeme k opačnému přístupu – ve výchozím nastavení bude jakákoliv komunikace či uživatelská akce zakázaná.

Více informací o studii Symantecu najdete např. na SecurityWorld.cz či v tiskové zprávě na Lupě. Podle Symantecu k takovému poměru došlo v dějinách softwarového průmyslu poprvé a tento stav se navíc bude i nadále zhoršovat.

Samozřejmě zůstává otázka, jak se poměr škodlivého a prospěšného kódu počítá (kdybychom se třeba soustředili pouze na velikost programů, pak by operační systémy asi přece jen převážily), takže si čísla trochu doplňme. Jak to s poměrem prospěšného a škodlivého obsahu vypadá jinak? Většina e-mailového provozu je už dávno spam (75 až 90 procent), z hlediska datového objemu však nevyžádaná pošta naopak představuje zanedbatelný objem. Útoky DDoS a další škodlivé akce odpovídají jen asi 3 procentům provozu (tady záleží samozřejmě na tom, zda za škodlivý označíme třeba provoz ve výměnných sítích porušující autorská práva, ale v naší logice tomu tak není, protože vše funguje tak, jak chtějí uživatelé).

Pokud si vezmeme nejnebezpečnější národní doménu (Hongkong), pro uživatele představuje bezpečnostní riziko stále jen asi pětina stránek. V nejnebezpečnější generické doméně .info je škodlivých serverů asi 12 % (studie McAfee). Nicméně i řada serverů, které projdou testy zabezpečení, ve skutečnosti bezpečná pro uživatele není – umožňují třeba cross-site scripting jako v nedávném případu díry na webu ČSOB. Podíl nebezpečných serverů může být tedy mnohem vyšší.

Další čísla? Ve většině firemních sítí dnes existují počítače, které jsou součástí botnetů, v univerzitních sítích je tento podíl dokonce prakticky 100 %. Z online kontrolovaných počítačů jich byla infikována téměř polovina (výzkum Eset). Jak tedy vidno, tvrzení, že většina dnes vyvíjeného kódu škodí, se tak docela nevymyká celkovému stavu. Převahu škodné nebo alespoň její významný podíl nalezneme i v jiným oblastech Internetu/světa IT.

Rizika promění Internet

Jonathan Zittrain, profesor internetového práva na Oxfodu a Yale, ve své knize The Future of The Internet (knihu mimochodem pochválil i Lawrence Lessig) tvrdí, že právě bezpečnostní rizika budou jedním z rozhodujících faktorů, který změní povahu Internetu. Za dosavadním úspěchem a rychlým rozvojem Internetu stejně jako světa PC stála podle Zittraina „otevřenost“ (generativity), s jakou mohly třetí strany vytvářet nové aplikace. Tato éra je možná u konce.

Systém dosud funguje dobře jen díky zdrženlivosti autorů počítačových virů. Stačilo by pouhých pár řádek navíc a viry by mohly mazat celé harddisky nebo měnit data v uložených dokumentech. Vezměte kterýkoli z desítky nejrozšířenějších virů, přidejte kapku jedu – a většina světa se nedostane na Internet.
Jonathan Zittrain

Druhým trendem, který povede ke změně povahy Internetu, je podle Zittraina budoucí převaha nějak „svázaných“ (tethered) zařízení nad PC – do této skupiny patří chytré telefony nebo herní konzole či hudební přehrávače stejně jako zařízení komunikující z automobilů. Zařízení jsou uzavřená – to není otázka dostupnosti kódu, ale spíše snadnost rozšiřitelnosti, zveřejněná rozhraní a to, v jaké míře má výrobce zařízení má nad těmito rozšířeními kontrolu. (Kód Windows je také uzavřený a o úspěchu této platformy rozhodlo především množství nezávislých vývojářských firem dodávajících vlastní aplikace.) Nakonec samotný pojem „software jako služba“ znamená podle Zittraina podobnou situaci vlastně i ve světě PC.

Otevřenost versus bezpečnost

Jak vidno, nastíněné otázky jsou dost komplikované a lze se do nich snadno zamotat. Například: jde nám spíše o to, aby nad zařízením měl kontrolu jeho uživatel, nebo na snadnost, s jakou mohou vyvíjet dodatečné aplikace třetí strany? Když mluvíme o otevřenosti, máme na mysli technologii (asi jako nad nižší vrstvy internetové architektury lze snadno přidávat aplikace fungující na vyšších úrovních) nebo spíše ochotu uživatelů experimentovat a používat nové věci nebo vytvářet vlastní obsah? Zittrain v této souvislosti mj. analyzuje otázku, zda by řešením problému nemohla být virtualizace: všichni bychom měli minimálně dva virtuální počítače, jeden s důležitými daty a aplikacemi, druhý na experimentování…

Když se vrátíme k původní otázce bezpečnosti, tedy k novému paradigmatu „ve výchozím nastavení je všechno zakázáno“, řada pracovních náplní projde nejspíš změnami. Například IT oddělení ve firmě nebude řešit bezpečnostní incidenty, ale spíše bude zavaleno žádostmi o povolení toho či onoho: představte si třeba, že by se musely po řadě povolovat jednotlivé e-mailové adresy ke komunikaci. Ale možná, že s chytrými telefony a softwarem jako službou budou prostě tyto procesy probíhat ještě jinak.

UX16

Nakonec se třeba ukáže, že období „generativního“ Internetu se krylo pouze s érou PC, která ve své původní podobě skončila mj. v důsledku nepřiměřených bezpečnostních rizik. Stále více budeme Internet používat se zařízeními, která budou spíše jednoúčelová (to neznamená, že budou bezpečná, ale my sami budeme mít méně možností, jak si něco způsobit). Nové funkce a aplikace budou uváděny ve spolupráci s operátorem nebo dodavatelem přístroje, přes nějž bude probíhat centrální distribuce. Zittran je k tomuto trendu kritický a podtitul jeho knihy The Future of the Internet nese přímo podtitul And How to Stop It.

Ale ačkoliv těžko předvídat, jaké změny potkají bezpečnostní paradigmata, obecně lze říci prostě to, že Internet se vyvíjí způsobem, který nějak odpovídá potřebám a preferencím uživatelů i firem, které v něm podnikají. Když autoři knihy Who Controls the Internet (na Lupě o knize viz Rádoby globální médium aneb Jak se Internet rozpadá) ukazují jiný trend způsobující odklon od původní univerzality Internetu, totiž to, jak se Síť rozpadá na jednotlivé národní podsítě, vývoj prostě shrnují: Něco jsme tím ztratili, mnohem více jsme však získali.

Anketa

Myslíte si, že cesta "co není povoleno, je zakázáno" může být řešením bezpečnostních rizik na Internetu?

10 názorů Vstoupit do diskuse
poslední názor přidán 19. 6. 2008 18:53
Zasílat nově přidané názory e-mailem

Školení PPC reklamy pro začátečníky

  •  
    Principy fungování PPC reklamy.
  • PPC nejsou jen ve vyhledávačích.
  • Zjednodušte si správu šikovnými nástroji.

Detailní informace o školení PPC reklamy »