יום: 22 בפברואר 2005

משום מה, ההפניה של ynet לחלוטין הרסה את יעד ההפניה הנכון. הגבתי על כתבה ב-YNet (תגובה מס’ 7), שהפנתה לקטע שכתבתי על SHA-1. אלא שהמערכת של ynet אכלה את ה-&, מה שגורם למי שעוקב אחרי הקישור להגיע הנה ולחשוב שאני סוחט כניסות לבלוג.

אז התכוונתי לקשר לקישור שלעיל.

שחר

סמנו ביומנכם את ה-12 באפריל. זהו היום שבו כדאי להדליק את המחשב שלכם מאוד בזהירות. ב-12 באפריל מיקרוסופט עומדת להפוך את ההתקנה של SP2 על המחשבים לברירת המחדל.

למעשה, זהו אחד הניסויים המענינים ביותר, לדעתי, שנעשו בתחום אבטחת המידע בשנים האחרונות.

כאשר באים להתמודד עם איומי אבטחת מידע נהוג לדבר על “חלון החשיפה” (Window of exposure). ז”א, עד כמה אני צפוי לראות התקפות מוצלחות על באג נתון.

בגדול, הגרף של חלון החשיפה נראה כך:


הנקודות המעניינות הן אילו. נקודת הקימור כלפי מעלה היא הנקודה שבה הבאג נהייה נחלת הכלל. נקודת הקימור כלפי מטה היא הנקודה שבה מתחילים להתקין את התיקון, אחרי ששוחרר.

מבחינת ההשפעה על הגרף:
– ככל שהבאג מפורסם יותר מאוחר, הקימור כלפי מעלה מתחיל מאוחר יותר.
– ככל שהתיקון מתפרסם מוקדם יותר, הקימור כלפי מטה מתחיל מוקדם יותר.
– ככל שקצב ההתקנה גדול יותר, כך שיפוע הירידה תלול יותר.

על הסיבה שבגללה, על אף מה שנראה מהגרף, זה לא אומר שכדאי לא לפרסם פגיעויות אם מוצאים אותן אני אדבר בפעם אחרת. בשתי מילים – הגרף מתאר מצב קיים תחת הנחת Full disclosure. אם משנים את הנחת ה-Full disclosure, הגרף משתנה באופן מאוד קיצוני.

מה שכן רלוונטי להפעם זה הנסיון של מיקרוסופט להקטין את החלון באמצעות הגדלת קצב ההתקנה של התחנות. שלא תבינו אותי לא נכון. אני, בעיקרון, בעד שאנשים יתקינו עדכוני אבטחה בצורה מהירה ככל שאפשר. לא שם הבעיה.

הבעיה היא בעיית האמינות.

סטטיסטית, ונגד זה אין מה לעשות, קורה שעדכון תוכנה דופק משהו. כאשר יצא SP2 לראשונה, כחמישה אחוז מהמחשבים שהתקינו אותו לא הצליחו לעשות boot אחר כך. בהיסטוריה של מיקרוסופט היו לא מעט עדכוני אבטחה שפגעו בפונקציונליות. למשל, אם המחשב שלכם מציג את כותרות החלונות בעברית משמאל לימין כאשר החלון מוקטן, זה בגלל עדכון אבטחה מספר MS04-011. אחוזי עדכוני האבטחה שמיקרוסופט דופקת הם לא גבוהים במיוחד. מצד שני, כשיש כל כך הרבה מהם….

ואז עומד מנהל אבטחת מידע מול הודעה כמו זו שיצאה על MS04-011, ומסתכל על ה-known issues. בינהם: המחשב לא עולה, אי אפשר לעשות login, אורקל מפסיק לעבוד, וכן הלאה וכן הלאה.

במצב כזה יש רק פתרון אחד. לא להתקין את העדכון. זה שתולעת Sasser יצאה, שמנצלת את אחד החורים ש-MS04-011 אמור היה לפתור, כאשר עדיין אין פתרון משביע רצון להתקנה של העדכון, לא שיפר את המצב.

וזאת עלינו להבין. פירסום מוקדם של עדכונים מקטין את חלון הסכנה, אבל פרסום של עדכונים לא אמינים מגדיל את חלון הסכנה, הן של הפגיעות הנוכחית והן של כל פגיעות עתידית. ברגע שזכית בשם של ספק שמוציא עדכונים לא אמינים, אנשים יהססו למהר להתקין את מה שאתה מוציא.

מיקרוסופט מנסה להלחם בתופעה. זה בסדר כל עוד העדכונים שלה אמינים. מה יקרה, אבל, בפעם הבאה שייצא עדכון באותה רמת גימור של MS04-011? האם מיקרוסופט תיקח אחריות על אבדן הפריון של 10% ממחשבי העולם שהפסיק לעבוד בבת אחת? רשיון משתמש הקצה שלה טוען שלא.

ובגלל זה ה-12 באפריל הוא תאריך מעניין. אחרי הכל, את המצב של SP2 אנחנו כבר דיי מכירים. אנחנו כבר יודעים שיש תוכנות שמאבדות יכולות אחרי ההתקנה, ויש תוכנות שממש מפסיקות לעבוד. האם מיקרוסופט תפצה אתכם במקרה שאתם, בלי שידעתם, תקבלו תקלה במחשב באותו היום? אל תצפו ליותר מידי.

שחר