C Z L U G

Reakce CZLUGu na článek „Drahé slovo: Zdarma“

---

České sdružení uživatelů operačního systému Linux se důrazně ohrazuje proti subjektivním závěrům, které prezentuje autor článku jako fakta. (Týdeník EURO str. 60, č. 17, ročník 06). V celém článku převládají argumenty, které jsou buďto zcela zcestné a nebo jsou v kontextu článku zcela irelevantní.

Teoretická rizika má každý software. Teoretická šance snadnějšího odhalení chyby zákeřným útočníkem je pouze jedna strana mince. Vůbec nic nevypovídá o tom, jestli v daném kódu skutečně nějaká chyba je, či zda tato chyba může přispět k úniku informací.

Obecně nelze nikdy zjistit, kdy byla daná chyba poprvé nalezena. Každá chyba může být nalezena nezávisle na sobě mnoha lidmi. Jediný okamžik, který lze stanovit přesně je okamžik zveřejnění chyby. Ne každý, kdo chybu nalezne ji zveřejní. Společnosti zabývající se průmyslovou špionáží nebudou vykládat každému na potkání, jak získávají pro své zákazníky informace. Naopak jiné týmy si dělají reklamu tím, že zveřejňují chyby a soupeří s ostatními, kdo jich nalezne více čí po kom bude daný exploit pojmenován. K profesionální etice druhé skupiny patří, že nejdříve o chybě informují výrobce a poskytnou mu čas k vyřešení problému. Podstatným ukazatelem je, jak dlouho výrobci trvá odstranění chyby. Tady produkty s otevřeným zdrojovým kódem vítězí na celé čáře a dokonce dávají zákazníkovi, který takové řešení zakoupí, možnost si daný problém vyřešit samostatně nebo alespoň zablokovat danou část aplikace a používat zbytek nerušeně dál, a to i v případě, že původní autor aplikace není dostupný.

Zde je nutné podotknout, že specialistům soustředěným na hledání chyb, kterými bezpochyby tvůrci programů pro průlom do systému jsou, nečiní uzavřenost zdrojového kódu příliš velkou překážku pro odhalení chyby, protože k jejímu odhalení není potřeba úplná znalost činnosti programu, pouze stačí objevit špatně ošetřené místo. K jeho nalezení stačí přivést program do autorem neplánovaného stavu, např. tím, že je vložena nečekaná vstupní hodnota.

Smutným faktem z praxe bohužel je to, že komunitě crackerů stačí řádově hodiny na to, aby se znalosti o chybě a jejím využití k průniku dostala do širokého povědomí jejich členů. Následně je pouze otázkou času, kdy se objeví první škodlivý kód, který danou chybu využívá. A to, že po několika dnech od zveřejnění takového kódu, si zkouší průniky i ti, jež jsou neschopní si takovou chybu objevit je už jen nepodstatný detail.

Bohužel, každý systém, který obsahuje nějaká citlivá data, musí odolávat nenechavcům, a zde počet potencionálních útočníků roste úměrně v závislosti na ekonomické či politické důležitosti daného systému bez ohledu na to, jaký systém ho tvoří.

Citace z článku: „V případě programů s uzavřenými zdroji se drtivá většina chyb odhalí již uvnitř autorské firmy.“ Toto je sice pravda, ale to samé platí i o většině „otevřených“ produktech, za kterými stojí nějaká větší firma. Kde je psáno, že společnost vyvíjející např. MySQL nechává hledání chyb pouze na nadšencích.

Autor zde zcela chybně do jedné roviny postavil model vývoje a hotový produkt. Je pravda, že u otevřeného modelu vývoje jsou zveřejňovány průběžně testovací verze a chyby v nich jsou hledány betatestery. Tento model vývoje úspěšně sází na to, že nejvíce chyb je nalezeno při skutečném užívání produktu k zamýšlenému účelu a nikoliv při syntetických testech omezeným okruhem interních pracovníků. Tyto průběžné verze ale nejsou nasazovány do ostrého provozu. Teprve když se všichni společně dohodnou, že výsledek jejich snahy je bez známých chyb, které by bránily jeho nasazení, je vydána finální verze produktu a zahájen další vývojový cyklus.

A přitom příkladů úspěšného nasazení otevřeného modelu vývoje je jistě víc, například Sun uvolnil až na výjimky všechny zdrojové kódy ke svému systému. Nebo například MacOS, který je postavený na jednom z derivátů jádra BSD, které je také „otevřené“.

Mimo to, podobné vyhledávání chyb funguje i v ryze nekomerčních projektech, za zmínku stojí systém verzí u linuxové distribuce Debian, kdy jednotlivé verze prochází vývojovými stádii „unstable“, „testing“, „stable“. Tento model má i u korporací jako například Microsoft svůj ekvivalent.

Dalším omylem je, že stát v ohledu tvorby software coby zákazník nějak odlišuje. Jediným rozdílem oproti jiným je pouze to, že se jedná o veřejný subjekt. Ale i každá soukromá firma si svá data musí chránit, bez ohledu na to, zda používá otevřený či uzavřený systém. Dále pak, a to se i v rámci státní správy mění, se používá různě nastavená bezpečnostní politika, a zde je otázka nasazení „otevřeného“ či „uzavřeného“ softwaru spíše druhořadá. Nejde proto o konkrétní úpravy daného systému. Daleko podstatnější je, zda daný systém vyhoví daným pravidlům té či oné společnosti, tedy jde o to, zda je možné daná pravidla na něm realizovat.

Omylem by bylo se domnívat, že pro nasazení ve státní správě je potřeba jakýkoliv „krabicový“ software nějak upravovat přímo na míru. A i kdyby, ten, kdo by byl tvůrcem nějakého neveřejného rozšíření, jak se v článku také píše, je nadále povinen ho udržovat a, což je daleko podstatnější, opravovat. Úpravy uzavřeného systému třetí stranou jsou už od počátku znemožněny, kdežto právě otevřené systémy může kdokoli upravovat na přání zákazníka. Vzhledem k vlastnostem některých OpenSource licencí (GPL, LGPL) pak má přímo třetí strana povinnost poskytnout zákazníkovi zdrojové kódy jejích úprav a ten má možnost si nechat prověřit jejich kvalitu a bezpečnost.

Také není pravda, že TCO (Total Cost of Ownership, celkové náklady na vlastnictví) je potřeba sledovat pouze u OSS, ten existuje u každého systému, každý systém, a je lhostejno zda postavený na „otevřených“ či „uzavřených“ programech, musí někdo udržovat v chodu. Samotný fakt, zda je daný produkt „otevřený“ nebo „uzavřený“ je pouze jeden z mnoha parametrů, které se při nasazení konkrétního produktu musí zvážit.

Nutno také poznamenat, že tam, kde hrozí riziko napadení, je potřeba mít nastavené účinné kontrolní a bezpečnostní mechanizmy bez ohledu na to, o jaký systém se jedná. Vymýšlet speciální auditování pouze otevřených řešení je proto zcela zcestné a navíc by ve faktickém důsledku došlo v lepším případě pouze ke zdvojení stávajících činností.

O dobrých zkušenostech s nasazením otevřeného systému například hovořil ředitel českého portálu Seznam.cz.

Za České sdružení uživatelů operačního systému Linux