21-08-2005, 14:34
|
|
|
חבר מתאריך: 12.09.03
הודעות: 33
|
|
אנחנו לא מכירים אבל
בתגובה להודעה מספר 57 שנכתבה על ידי The_Equivocator שמתחילה ב "זה פתרון מצויין למשתמש בייתי ממוצע, חברה שלי לא תתבסס על מוצרים של מיקרוסופת..."
אני מזמין אותך לעשות בדיקה קטנה אצל חלק מחברות ההיטק הגדולות בארץ ולשאול אותן מי מהן אמר יפה שלום לרשת שלו כש- CODE RED או NIMDA או BLASTER התפרץ. רשימה חלקית מאוד - קומברס, חלק מצ'קפויינט (מכיר FIREWALS?), חלק נכבד מהצבא (לא כולם, אבל שימי יאשר), עיתון הארץ, קופ"ח מכבי ועוד ועוד.
כך שהמסקנה להשתמש ב- FW וזהו לא ממש ישימה לחלק גדול מהאירגונים שדווקא כן משתמשים ולא רק ב- FW אחד. מסתבר שמחשב נייד שחטף את החולירע בבית ומתחבר למחרת ברשת הוא הרסני לא פחות.
אין לדעתי מקום לנהל ויכוח מתלהם בנושא האם MS שולטת בעולם בשוק מע' ההפעלה או לא (והיא כן, לצערם של חלק מהנוכחים). הויכוח הוא רק על האם להתקין SP ו- HOTFIXES או לא. אני טוען שגם כאן אין לרוב האירגונים ברירה והם חייבים לבצע יישור קו.
לא מדובר רק בעידכוני אבטחה, אלא גם בשינויי פונקציונאליות מהותיים. אני משוכנע שחלקכם יודעים את הרשימה העצומה של שינויים שבוצעו ב- SP2 ל- XP, או ב- SP1 ל- 2003, אבל כמה מכם יודעים מה בדיוק השתנה ב- AD בין W2K SP3 ל- SP4, ובין WIN2003 ל- WIN2003 SP1. אני מודע לכך שחלק מהמשתמשים הביתיים לא אוהבים את מה שהיצרנית דוחפת להם בכוח לגרון, אבל חלק גדול מהשינויים שבוצעו נעשו מתחת לפני השטח, מקום שאחוז גדול מהמשתמשים לא מודע אליהם.
משתמש ביתי שיעשה מה שהוא רוצה, בסוף הוא גם ישלם על זה. אבל למנהל רשת של ארגון שמכבד את עצמו אין ממש ברירה. אמנם יש כאלה (כדוגמת אינטל) שלא מתקינים ישר את ה- HOTFIX אלא מקמפלים אותו בעצמם, אבל כאלה אין הרבה בארץ. לרוב האירגונים הדילמה היחידה צריכה להיות רק כמה TESTING אתה מבצע לפני שאתה מתקין את זה. אבל גם כאן נתקלתי בלא מעט חוכמולוגים שפשוט מתקינים בלי שום בדיקה. אם אני עובד עם W2K SP4 אני לא יכול לעשות דברים אל מול לקוח שמתעקש להישאר על SP2. אם אני שם חצי DC של 2003 בלי SP1 וחצי עם, אני יורה לעצמי ברגל. אז לא לשים בכלל? למה לא ללכת קדימה? רק כדי להגיד שאני חכם יותר מכולם?
אני אעיז ואשווה את נושא עידכוני הגירסה לנושא החיסונים בילדים. ברור שיוצר התוכנה לא עשה עבודה מושלמת, יש כאלה שיוצאים דפוקים מרגע ההתקנה (למרות שאיתחול הילד לא ממש יעזור ). יש כאלה שנראים יפה אבל דפוקים מבחינת המערכת החיסונית. אין מה לעשות. אבל גם כאלה שעובדים טפו טפו טפו לא רע חייבים להתקין עידכונים, ואתה יודע מה, לא רק בגלל עצמם אלא גם לרווחת החברה ככלל. כשכל הילדים יהיו מחוסנים ממחלה X אז כמות הוירוסים שמסתובבים חופשי לא תוכל לתקוף אותם, וככל שיהיו פחות חולים כך תקטן כמות הוירוסים. ברור שיש וירוסים שעוברים מוטציות, אבל הנה, ע"י עידכון גורף של כל אוכלוסיית הילדים בעולם הצליחו להעלים מספר מחלות וכעת הם שומרים אות הוירוסים שלהם רק למזכרת (או עבור פרק עתידי של 24...). האם כמות המחלות בעולם קטנה? לא, להיפך. אבל האם זה פוטר אותי מאחריות כהורה לשני ילדים? לא חושב.
אותו דבר לגבי עידכוני תוכנה. אולי לך זה לא מזיז כי אתה נזהר וחי בבועה שיצרת לעצמך. אבל ל- 90% מהאוכלוסיה אין את הידע/יכולת הזו, ולשם כך ועבורם אנחנו חייבים לבצע את המעשים הנכונים כדי להקטין את הסיכון ואת התפרצות המחלה כשהיא תתפרץ.
תאר לעצמך שהתגלתה פירצה במערכת הפעלה X (שרק במקרה 80% מהעולם משתמשים בה). הפירצה כל כך מהותית ופוגעת במנגנון כל כך קריטי עד כדי כך ש- 80% ממחשבי העולם נמצאים בדרגת סיכון גבוהה.
לשם הויכוח נוריד רגע מאחריותה של היצרנית לכך שהפירצה לא היתה אמורה כלל תהיות שם. מה שקרה קרה.
היצרנית מגלה בעצמה ו/או מגלים לה שיש פירצה. היצרנית מחוייבת להוציא מיד, תוך פרק זמן סביר, קוד עידכון שמתקן בצורה סבירה את הפירצה. היצרנית אכן מוציאה כזה עידכון, ומפיצה אותו בחינם לציבור, תוך כדי אזהרה חריפה שעל הציבור לחסן את עצמו מיד.
עכשיו, החבר'ה הרעים שגילו את הפירצה (או שקראו עליה מאיזה IRC או באתר כלשהו) מיד מייצרים תולעת/וירוס/קוד זדוני שמנצל את הפירצה שהתגלתה. אולי הם ידעו על הפירצה קודם לכן, אולי לא. אבל עכשיו הם יודעים, ועכשיו הם באטרף של "בואו נדפוק את כולם ונראה להם כמה אנחנו חכמים".
מה צריך לעשות הציבור האחראי? מה צריכים לעשות מנהלי הרשת האחראים? מה צריכים לעשות מומחי האבטחה, כל אלה שמבינים משהו? בהנחה שממילא 80% מהעולם משתמש במוצר, ולכן 80% מהם פגיעים, האם הם צריכים לעלות על כיסא ולצעוק בקולי קולות כמה הם חכמים וכמה הם ידעו קודם וכמה היצרנית מונופול וכמה הם בחיים לא ייפגעו? מה צריך לעשות האזרח הקטן בבית? האם הוא צריך לקטר על מר גורלו?
יש מחלה, לא משנה באשמת מי היא. יש תרופה, אנחנו יודעים מי ייצר את התרופה. אני טוען שאני צריך לבלוע, ואם לא בשבילי אז בשביל כל אלה שאני משמש להם כדוגמה, או כל אלה שאני מתחזק אותם. אם כולם יעשו את זה אז ליצרן הוירוס/תולעת יהיה חלון זמן קטן מאוד לייצר ולהפיץ את מרכולתו. מי שעידכן בזמן לא חטף, מי שלא, דפוק. ככל שיהיו פחות כאלה שיחטפו כך תפחת הסכנה הגורפת לכולם. פרצות ימשיכו להתגלות, וירוסים ימשיכו להיווצר, אבל חלון הזמן לנזק יקטן.
זו טענתי. מה אתם אומרים?
נערך לאחרונה ע"י דניאל פטרי בתאריך 21-08-2005 בשעה 14:40.
|