Наверное, ни для кого не будет открытием, что пользователи практически всех операционных систем периодически подвергаются опасности. Существуют настолько дырявые ОС, что вокруг них развилась целая антивирусная индустрия с многомиллиардными оборотами. На дырявости делаются огромные состояния, а лохам доверчивым покупателям сообщается, что очередная версия ОС будет еще более безопасной и тогда уж вирусы точно будут повержены, главное плати.
В то же время, специалист по безопасности операционных систем Роджер Гримс предлагает два простейших шага, которые позволят радикально обезопасить любую операционную систему.
Два простейших шага
1. Белые списки. Запускаться должны только те программы, запуск которых однозначно санкционирован. Казалось бы, очень простая мера, но она сразу отсеивает вредоносное ПО, переносимое на флешках, присылаемое по email, отсеиваются все вирусы, трояны и шпионское ПО. Если пользователь не в состоянии самостоятельно составить белый список, то может воспользоваться услугами специалистов по безопасности. Можно даже реализовать белые списки, распространяемые через сеть из доверенных источников.
2. Настройка службы обновления на оптимальный режим. Существуют пользователи, которые редко обновляются, либо не обновляются вовсе. И таких легкомысленных граждан очень много. Стоит ли говорить, что их компьютеры очень быстро превращаются в помойку, рассадник вирусов и элемент ботнетов? Безопасная операционная система должна проверять и устанавливать обновления как можно чаще.
Другая проблема состоит в том, что некоторые разработчики популярного ПО частенько проявляют преступную халатность и годами не закрывают опаснейшие уязвимости (не будем показывать пальцем в сторону Oracle Java, Adobe Flash и др.). Если производитель программы пренебрегает элементарными мерами компьютерной гигиены, то такой софт лучше не использовать.
Конечно, эти два шага не являются панацеей от всех угроз, ведь существует еще перебор паролей, SQL-инъекции, браузерные XSS-атаки, уязвимости нулевого дня и много других нехороших занятий. Возможно, именно вы когда-нибудь придумаете как защитить человечество и от них. Но белые списки и частые обновления способны уберечь от наибольшей части самой распространенной заразы и уж точно принесут гораздо больше выгоды, чем трата денег на очередную "еще более безопасную" ОС, которая падает без антивируса в первый же день эксплуатации.
Немножко помогло бы, наверное!
Но.
В виндовсе вирусы прицепляются ко всяким программкам — запустишь программку "из белого списка", а оно запустится "с дополнительными функциями";-))
И с обновлениями в виндовсе проблемка наметилась:
ставишь десяток-другой "жизненно-необходимых" программ разных производителей, и у каждой своя служба обновлений, которые потом всей кучей грузятся и параллельно работают, и в памяти, и в интернете. Весь этот зоопарк скорости и стабильности никак не добавляет.
Не запустишь. Хэш же.
Хотя казалось бы, что мешает сделать условием сертификации требование распространять обновления через службу самой операционной системы. Заодно такие обновления проверялись бы на надежность. Но в MS почему-то не хотят делать свой дуршлаг хоть чуточку менее дырявым (слово дуршлаг здесь исключительно для Мистера Бизона — прим. ред.:).
Тогда надо, чтобы хэши хранились с этим белым списком, и обновлялись – для новых версий программ.
Следующий логичный шаг, в таком случае, помещать все программы в единый репозиторий...
И открытый код — для контроля и развития...
В общем, "так недолго и до танцев докатиться" ;-)))
>> Хотя казалось бы, что мешает сделать условием сертификации требование распространять обновления через службу самой операционной системы.
Тогда у серверов майкрософта никаких ресурсов бы не хватило для того, чтобы распространять обновления для _всего_ софта.
Если популярным дистрам линукса приходится создавать сотни "зеркал" для того, чтобы обеспечить своевременную доставку обновлений, то вы себе представляете, сколько серверов должен будет содержать Microsoft для обновлений к ПО для своей в 50-100 раз более популярной ОС?
Линуксы, например для распространения дистрибутивов, торренты используют...
Вообще-то, для распространения дистрибутивов, а не обновлений.
Зависит от количества скачивающих, и от объёмов. С обновлениями в несколько десятков мегабайт вполне справляются десятки зеркал репозиториев убунты или дебиана. А для дистрибутивов, по гигабайту с лишним, уже торренты потребовались.
Когда количество установленных линуксов сильно увеличится, то и обновления пойдут через торренты.
Так что "в 50-100 раз более популярная" ОС не должна, вроде как, испытывать недостатка в раздающих((-:
Там другая проблема будет. Микрософтам придётся как-то торрент-технологию модифицировать, чтобы не давать обновлений халявщикам с пираццкими виндовсами.
У микрасофта же политика такая!
И микрософтов не колышит, что "владельцы" необновляемых пираццких виндовсов распространяют потом заразу и "честно заплатившим" (вернее "купившим" виндовс в нагрузку к компьютеру:)).
>> Когда количество установленных линуксов сильно увеличится, то и обновления пойдут через торренты.
Как бы у протокола BitTorrent есть своя ниша. И для _оперативной_ доставки сотен мелких файлов он не очень хорошо подходит. Сначала потребуется, чтобы обновления распространились по всем узлам, потом -- чтобы об этом узнали клиенты... И для этого клиентам нужно будет постоянно поддерживать соединения...
Плюс, протокол не должен нагружать машину лишними операциями. Он должен быть прост в реализации (именно поэтому всякие P2Pшные альтернативы DNS обречены на провал). Если бы вдруг обнаружилось, что какая-то популярная проприетарная программа насильно расходует процессор и трафик в таких целях, возник бы скандал. (Со Skype ещё понятно, ибо это программа конкретно для общения по сети, но если бы так вела себя вся винда?...)
И да, легко представлять себя умнее глав майкрософта, предлагая такого рода идеи. У МС наверняка есть свои очень неплохие причины, по которым они ничего такого не делают.
надо исключить человеческий фактор, возможно когда разработкой софта и кода будет заниматься только AI, с полиморфическими модулями....то....человеку будет отведена роль лишь потребителя контента, и явно множество в IT-индустрии пойдет на свалку истории...А пока есть слабое звено, прослойка между клавой и стулом....то о чем можно говорить, белые и черные списки....песочницы, виртуалки...права доступа для доверенных приложений...это всего лишь иллюзия защищенности:)