Kāda tārpa biogrāfija — «Sasser»

Datu plūsma pārslogo tīklus, un tie pārstāj darboties. Datori nepārtraukti tiek pārlādēti, paralizējot banku, aviolīniju un slimnīcu darbu. Iemesls — datortārpa «Sasser» uzbrukums, kas šā gada maijā piecas dienas bija pārņēmis internetu, inficējot miljoniem datoru.

Tik bīstami vīrusi kā «Sasser» uzbrūk datorlietotājiem straujāk nekā jebkad. 2004. gada pirmajā pusē jaunu «Windows» vīrusu skaits bija četrkāršojies, salīdzinot ar tādu pašu periodu 2003. gadā. Tā kā ļaundari uzglūn no visām pusēm, izpētījām sistēmu, kurai būtu mūs jāaizsargā.

Kas radīja «Sasser»? Īsi var atbildēt — ļaunprātīgs hakeris. Taču «Sasser» ir arī tās pašas sistēmas produkts, kurai būtu jāaizsargā datorlietotāji. Drošības robu, ko «Sasser» izmanto, lai iekļūtu datoros, atklāja kādas Kalifornijas drošības firmas darbinieks. Un, izlaižot labojumu šim robam, «Microsoft» apgādāja visas pasaules hakerus ar visiem tehniskajiem datiem, kas vajadzīgi tā izmantošanai. Vārdu sakot, jādomā, vai ārstēšana neizrādījās vēl ļaunāka par pašu slimību.

Lai atbildētu uz šo jautājumu, kā arī lai izpētītu labojumu sistēmas labās un sliktās puses, mēs sekojām «Sasser» pa pēdām.

Aliso Vjeho, Kalifornija, 2003. gada 8. oktobris

Judži Ukai darba pienākumi ir atrast jaunas iespējas iefiltrēties svešos datoros. Lai gan darba laiks uzņēmumā «EEye Digital Security», kur Ukai strādā pie apdraudētības pārvaldības programmatūras (to izmanto lielas firmas, lai pasargātu savus datortīklus no hakeru uzbrukumiem), sen jau beidzies, viņš joprojām atrodas pie savas darbstacijas.

Būtu jau laiks iet uz mājām, taču Ukai nolēmis mazliet izklaidēties. Bet izklaidēties, viņaprāt, nozīmē neatlaidīgi meklēt drošības trūkumus miljonos programmatūras kodu rindu, kas darbina pasaulē visplašāk lietoto operētājsistēmu.

«EEye» produkti cenšas paredzēt hakeru nākamā uzbrukuma mērķi un bloķēt to ceļu. Klienti cer, ka «EEye» aizsargās to datorus pat tad, ja kādai problēmai nav oficiāli izlaista labojuma. Tāpēc «EEye» pētnieki pastāvīgi pēta «Windows», meklējot vājos punktus, kas vēl nevienam nav zināmi.

Šo uzņēmumu pietiekami labi raksturo tā sasniegumi. Tikai pēdējo 30 dienu laikā Ukai un viņa kolēģi ir konfidenciāli brīdinājuši «Microsoft» par atrastiem sešiem jauniem «Windows» vājajiem punktiem. Vienu no tiem — neviena neizmantotu komandu «Windows» daļā ar nosaukumu «Workstation Service» — atklāja Ukai.

Nojauta viņu brīdina, ka arī citām sistēmas daļām ir šāda pati vājā vieta. Tāpēc šovakar viņš pēta DLL failus, meklēdams kļūdu. Viņš sāk ar pakalpojumu (services) – programmu, kas darbina dažādas «Windows» OS daļas un ir aktivizētas pēc noklusējuma.

Gandrīz tūlīt Ukai atrod vēl vienu robu. Tā atrodas Local Security Authority Subsystem Service (LSASS). LSASS pārvalda visus konkrētā «Windows» datora drošības aspektus. Ukai var panākt, lai šī funkcija tiktu slēgta, uz neilgu laiku atņemot «Windows» visu aizsardzību. Viņš var arī panākt, lai LSASS iedarbina kādu viņa izvēlētu programmu, tādējādi pārvēršot «Windows» drošības sargu par tādu kā spiegu, kas darbojas viņa labā, ļaujot pārņemt savā kontrolē «Windows 2000» un «Windows XP» datorus. To pašu var paveikt arī hakeri, ja zina par šo drošības robu un ir pietiekami prasmīgi, lai to izmantotu.

Ukai ziņo savam priekšniekam, ka atklājis pārsteidzoši vienkāršu pakļaušanas metodi LSASS. Jau pēc dažām stundām «EEye» amatpersonas telefoniski sazinās ar «Microsoft», ka ievērojamai daļai visas pasaules datoru ir būtisks drošības trūkums. Par laimi, tas ir zināms tikai «EEye» un «Microsoft» (vai viņi paši vismaz tā domā). Tagad «Microsoft» jāizlabo šis trūkums, pirms par to uzzinājis vēl kāds.

«EEye» sniegtie pakalpojumi ne tikai aizsargā šīs firmas klientus, bet arī vienlaikus sadala «Windows» lietotājus divās kategorijās — vieni ir pasargāti no jaunatklātiem draudiem («EEye» klienti), bet visiem pārējiem jāgaida (reizēm mēnešiem ilgi) «Microsoft» labojums, turklāt neko nezinot par potenciālajām briesmām viņu datoriem.

Redmonda, Vašingtonas štats, 2003. gada 8. oktobris

«Microsoft» drošības reaģēšanas centrā (Microsoft Security Response Center — MSRC) — pavisam ikdienišķa izskata biroja telpās pašā programmatūras giganta sirdī — darba grupas desmit galvenie speciālisti drudžaini rosās kā ātrās palīdzības ārsti, cenzdamies glābt ievainoto «Windows».

Glābšanas komanda vispirms analizē ziņojumu un atveido šo problēmu, stāsta MSRC direktors Kevins Kīns. Pēc tam viņi piesaista «Drošas «Windows» iniciatīvas» (Secure Windows Initiative — SWI) darba grupu — «Windows» drošības trūkumu likvidēšanas operatīvo vienību, kurā ir programmētāji un produktu menedžeri, kas izveido labojumu. Kad viņi atraduši labu paņēmienu, kā labot kļūdu, MSRC veic ilgu un rūpīgu lietojuma testu, lai pārliecinātos, ka šis labojums ir kvalitatīvs, paskaidro Kīns.

LSASS gadījums drīz vien izvēršas par ļoti liela apjoma pasākumu. Nepilnas nedēļas laikā desmit analītiķi tajā iesaista simtiem programmētāju, produktu menedžeru un kļūdu testētāju.

Par spīti tam, ka iespējama draudoša katastrofa, Kīns un uzņēmuma drošības programmu vadītājs Stīvens Tulūzs vēl var uzelpot brīvi, jo «EEye» ievēro programmatūras industrijas džentlmenisko vienošanos, ka atklājējs atbild par kļūdas izpaušanu. Pēc šiem neoficiālajiem norādījumiem, apdraudējuma atklājējs atvēl attiecīgajam programmatūras ražošanas uzņēmumam noteiktu laiku risinājuma izstrādei un tikai pēc tam dara zināmas atklātībai visas tehniskās detaļas.

Atbildība par iespējamo draudu izpaušanu uz laiku aizsargā sabiedrību vismaz teorētiski. Ja «EEye» darbinieki būtu nekavējoties publicējuši šo informāciju internetā, Kīna darba grupai būtu jāpiedzīvo īsts murgs, jo vienlaikus būtu jāmeklē risinājums drošības kļūdai un jācīnās ar jauniem hakeru uzsūtītiem vīrusiem un datortārpiem. Taču informācijas noklusēšana var radīt arī mānīgu drošību. Kamēr «Microsoft» gatavo labojumu, kāds noziedzīgs hakeris var atklāt šo drošības robu un slepus to izmantot.

Kīns stāsta, ka vairākums drošības pētnieku atturas no informācijas publicēšanas, kamēr nav izlaisti labojumi, kaut gan agrāk šāda rīcība bija liels retums. Tādējādi «Microsoft» var veltīt visu uzmanību labojumu gatavošanai bez papildu sarežģījumiem. Taču šim procesam vajadzīga testēšana, un šajā gadījumā — ilga, neatlaidīga un apjomīga testēšana.

Redmonda, 2004. gada 13. aprīlis

Kopš Ukai atklājuma pagājuši vairāk nekā seši mēneši. «Microsoft» izlaiž labojumu kopā ar sīku informāciju par LSASS problēmu konsultatīvā ziņojumā ar nosaukumu MS04-011. Tik ilgi vilcinoties, «Microsoft» pārkāpusi norādījumu, ka kļūdas atklājējs atbild par informācijas izpaušanu. Drošības firmas parasti vienojas, ka labojumiem jāparādās 30 dienu laikā pēc kļūdas atklāšanas. Kīns paskaidro, ka šis labojums likvidē ne tikai Ukai atklāto LSASS kļūdu, bet arī vēl 13 citas ar to saistītās vājās vietas.

«Windows» lietotājiem un IT speciālistiem šis labojums jāinstalē steidzami, lai nepakļautu savus datortīklus ļaundaru iebrukumiem. Tehniskajā ziņojumā, ko izmanto sistēmu administratori, lai izvērtētu drošību, lietojot šos labojumus datoros, ir sniegti arī tehniskie dati, ko augsti kvalificēts hakeris var izmantot, lai pārveidotu labojumu un uzrakstītu programmas, kas ļautu uzbrukt datoriem, kuros nav šā labojuma.

Krievija, 2004. gada 29. aprīlis

Tikai pēc 16 dienām pulksten 15 pēc vietējā laika Krievijas hakeris, kas pazīstams ar segvārdu Houseofdabus, izlaiž koncepcijas pierādījuma paņēmienu (proof-of-concept exploit) LSASS drošības kļūdai — programmu, kas parāda, kā pārņemt savā kontrolē datorus, kuros nav instalēts šis labojums.

Houseofdabus uzrakstītais kods ir profesionāla līmeņa darbs. Tā autors apgalvo, ka izmēģinājis šo programmu ar desmit dažādām «Windows XP» un «Windows 2000» versijām krievu un angļu valodā. Programmā iekļautajā ziņojumā teikts: «Šis koncepcijas pierādījuma kods tiek piedāvāts tikai izglītojošiem mērķiem un testēšanai, ko veic pilnvarotas personas ar attiecīgām atļaujām.» Neviens netic, ka to izmantos tikai pilnvarotās personas, jo vīrusu autoriem, kuru kvalifikācijas līmenis parasti ir zemāks nekā exploit autoriem, šis kods ir īsti gards kumoss.

Houseofdabus rīcības motīvi nav skaidri, bet vīrusu eksperte Sāra Gordona, kas intervējusi daudzus vīrusu rakstītājus, stāsta, ka lielākā daļa exploit kodu autoru uzskata, ka ilgā kavēšanās ar labojumu ieviešanu liecina par datorlietotāju un uzņēmumu slinkumu. Viņi uzskata, ka šādu exploit parādīšanās internetā pamudinās visus ātrāk aizlāpīt drošības robus.

Redmondā Kīns saņem ziņu par Houseofdabus kodu un nosaka MSCR modru ikdienas darba režīmu — trauksmes stāvokli, kad analītiķi pastāvīgi uzrauga internetu, meklējot pazīmes, kas liecinātu par mēģinājumu izmantot exploit kodu.

Helsinki, Somija, 2004. gada 1. maijs

Pulksten 7.02 pēc vietējā laika Helsinku pretvīrusu produktu firmas «F-Secure» analītiķi uzzina, ka atklātībā parādījies jauns datortārps, kas izmanto LSASS drošības kļūdu. «F-Secure» nosūta biļetenu par šo datortārpu citiem pretvīrusu pētniekiem un nosauc tārpu par «Sasser».

«Sasser» izplatās strauji, liekot neaizsargātiem datoriem avarēt vai pārlādēties bez brīdinājuma. Tas nenodara kādus tīšus bojājumus inficētajiem datoriem, taču paralizē to darbu, tārpam pārpludinot vietējo tīklu, mēģinot replicēties.

Kad ziņas par «Sasser» nonāk «Microsoft», inženieri sāk pētīt šo datortārpu testu laboratorijas datorā, lai noskaidrotu, kā tas izplatās. Kīns savukārt sapulcina produktu darba grupas, kas jāiesaista, kā arī «Microsoft» komunikāciju sektora darbiniekus, kas vadīs sadarbību ar sabiedrību un klientiem. «Tagad tā ir diennakts režīma operācija,» paziņo Kīns. «Ierīkosim vairākus kaujas štābus un noteiksim maiņu darba režīmu.»

Apmēram pēc desmit stundām «F-Secure» radara ekrānā parādījies jau otrs «Sasser» variants — «Sasser.B». Tas krietni atšķiras no sava priekšgājēja, lai pretvīrusu programmu ražotājiem būtu no jauna jāizlaiž programmu atjauninājumi tā atklāšanai un likvidēšanai.

Redmonda, 2004. gada 2. maijs

«Microsoft» 24 stundas pēc «Sasser» parādīšanās nolemj sākt plašu publicitātes kampaņu, kas ilgs visu nedēļu. Tās ietvaros notiks tiešraides internetā, informācijas publicēšana «Microsoft» interneta lapā, tiks izplatītas reklāmlapiņas un informācija datoru ražotājiem un galvenajiem sadarbības partneriem. Turklāt tiks samaksāts pat «Google», lai panāktu, ka ikviens, kas meklēs informāciju par šo datortārpu, redzētu reklāmu, kas norāda uz «Microsoft.com», kur atrodams labojums un citi lejupielādējami materiāli.

Par spīti visiem šiem pūliņiem, «Microsoft» nav viegli savaldīt «Sasser». Pienāk arvien vairāk ziņojumu par tā nodarījumiem — paralizēts «Goldman Sachs» un «British Airways» darbs, inficēti puse Taivānas pasta nodaļu datoru, «Sasser» apsēdis datorus Honkongas valdības aģentūrās un uz naftas platformām okeānā pie Meksikas krastiem.

«Sasser» izraisītā haosa apjomi ir satriecoši — pārstāj darboties 5000 datoru un ar tiem saistītā rentgena aparatūra Lundas slimnīcā Zviedrijā; 1200 datoru Eiropas Komisijas galvenajā birojā Briselē nevar pieslēgties internetam; ASV bankas «Sun Trust» un «American Express» interneta pieslēgums pazūd uz vairākām stundām.

Vēlu svētdienas vakarā gandrīz 1,5 miljoni cilvēku ir lejupielādējuši «Microsoft» bezmaksas rīku, kas iznīcina «Sasser». Taču tārps vēl ne tuvu nav uzvarēts.

Vafensena, Vācija, 2004. gada 3. maijs

Šajā ciematā, kurā ir tikai 900 iedzīvotāju un kurš atrodas Vācijas ziemeļrietumos apmēram 21 jūdzi no Brēmenes, 18 gadu vecais vidusskolnieks Svens Jašans it kā esot veselus trīs mēnešus rakstījis un atjaunojis interneta datortārpu sēriju, ko viņš pats sauc par «Skynet», bet pretvīrusu programmu ražotāji dēvē par «Netsky». Šī agrākā datortārpa — viena no izplatītākajiem internetā — varianti katru mēnesi atkal un atkal inficē desmitiem tūkstošus datoru. Taču «Netsky» mērķis nav izraisīt haosu nevainīgu liecinieku datoros, jo tas ir ierocis karā pret diviem citiem datortārpiem — «Bagle» un «Mydoom» —, kas inficētos datorus padara par surogātpasta izplatīšanas tīklu. «Netsky» pārņem savā kontrolē šos inficētos datorus un izdzēš datortārpus — surogātpasta sūtītājus.

Šodien — mazliet vairāk nekā divus mēnešus pēc pirmā «Netsky» datortārpa izlaišanas — Jašans it kā esot izlaidis sava darinājuma 29. versiju — «Netsky.A.C.» — skolas datortīklā. Tāpat kā iepriekšējās versijās, arī tajā ir apslēpts ziņojums, taču tieši šajā ziņojumā autors apgalvo, ka esot uzrakstījis «Sasser».

«Hei, pretvīrusu firmas, vai jūs zināt, ka mēs esam programmējuši «Sasser» vīrusu? Jā, tā tas ir! Kāpēc jūs to nosaucāt par «Sasser»? Padoms: salīdziniet FTP servera kodu ar «Skynet» kodu. V!!! LooL!!! Mēs esam «Skynet»…»

Helsinki, 2004. gada 4. maijs

Otrdienas rītā pretvīrusu produktu ražotāji cenšas pārbaudīt «Netsky.A.C.» apslēptajā paziņojumā izteiktos apgalvojumus. «F-Secure» vīrusu analītiķi sīki izķidā «Sasser» un «Netsky» un izveido detalizētu diagrammu, kurā atspoguļoti abu datortārpu paradumi.

Šis grafiskais attēlojums palīdz viņiem salīdzināt kodu un autora stilu. ««Sasser» uzrakstījis tas pats puisis, kas ir «Netsky» autors,» norādot uz diagrammu secina «F-Secure» pretvīrusu pētījumu direktors Miko Hiponens.

Pēc pretvīrusu uzņēmumu un «Microsoft» aprēķiniem katra no četrām «Sasser» versijām inficējusi no pusmiljona līdz daudziem miljoniem datoru. Katra inficēšanās liek «Windows XP» un «2000» datoriem bez brīdinājuma sākt 60 sekunžu atskaiti līdz pārlādei. Kad biroja darbinieki pirmdienas rītā ierodas darbā, to neaizsargātajos datoros sākas datortārpu uzbrukuma vētra, kas negrib vien rimties un inficē datorus ātrāk nekā jebkurš cits līdz šim zināmais datortārps.

Vafensena, 2004. gada 5. maijs

Ziņai par «Sasser» nonākot pasaules mediju uzmanības centrā, tā autora medībās iesaistās FIB. Kā Jašans pats pastāstījis Vācijas žurnālā «Stern», viņš vēstulē kādam savam draugam, kurš zināms tikai ar segvārdu MarleB, paziņojis, ka pārtrauc datortārpu rakstīšanu. Jašans gatavojas iznīcināt sava datora cieto disku.

Pirms sešiem mēnešiem «Microsoft» izraisīja īstu sensāciju vīrusu un datortārpu rakstītāju aprindās, nodibinot piecu miljonu ASV dolāru fondu, ko izmantos informācijas sniedzēju atalgošanai, kas būs palīdzējuši noķert un apcietināt par ļaunprātīgu kodu izplatīšanu atbildīgas personas.

Vēlāk tajā pašā dienā MarleB un vēl kāds no jaunekļa skolasbiedriem piezvana uz «Microsoft» Vācijas galveno biroju, lai uzzinātu, vai «Microsoft» viņiem maksās 250 000 ASV dolāru, ja viņi atklās «Sasser» autora personību. Šis zvans tiek pāradresēts Hemanšu Naidžemam, «Microsoft» korporatīvajam juristam, kas vada pretvīrusu atlīdzības programmu. «Mēs paziņojām personām, kas bija pie mums vērsušās, ka mēs labprāt samaksāsim atlīdzību,» stāsta Naidžems. Taču, kā paskaidro Naidžems, lai ziņotāji iegūtu šo naudu, tiem jāsniedz dati, ko «Microsoft» var tehniski analizēt, lai noteiktu apgalvojuma patiesumu. MarleB atsūta kādas «Sasser» versijas avota kodu. Kā viņš to dabūjis, neviens neizpauž.

«Mūsu drošības inženieri saņēma un analizēja šo informāciju un secināja, ka ir pierādījumi, kas liecina, ka informētāji tiešām zina, par ko runā,» stāsta Naidžems.

«Microsoft» rodas arvien pamatotākas aizdomas, ka vainīgais ir Svens Jašans. Šis kļūs par pirmo gadījumu atlīdzības programmas vēsturē, kad ziņu pienesēja dota norāde tiešām novedusi pie aresta.

Sietla, 2004. gada 7. maijs

Tūlīt pēc apstiprinājuma saņemšanas no inženieriem par «Sasser» Naidžems ziņo Federālajam drošības dienestam. Sietlas FIB darbinieki nekavējoties sazinās ar Vācijas Lejassaksijas policiju. Vēlāk tajā pašā dienā Vācijas tiesībsargi iebrūk kotedžā, kur 18 gadu vecais Svens dzīvo kopā ar vecākiem, un konfiscē Jašana datoru. Pratināšanā Jašans esot pilnībā atzinis savu vainu «Sasser», «Netsky» un to variantu izveidē.

Tikai divas stundas pēc aresta, kamēr Jašans vēl atrodas policijas uzraudzībā, internetā parādās «Sasser» piektā versija. Daži drošības eksperti domā, ka «Sasser» izplata citi hakeri vai arī Jašana atzīšanās ir viltus. Pagaidām Vācijas varasiestādes vēl ir pārliecinātas, ka vainīgais ir notverts. Varbūt Jašans izlaida «Sasser.E» tikai dažas minūtes pirms policijas ierašanās, apgalvo Vācijas likumsargi.

Hannovere, Vācija, 2004. gada jūnijs

Lai gan Jašans atzīstas, saskaņā ar Vācijas likumiem ir vajadzīga tiesa. Jašana lieta tiek uzticēta Lejassaksijas prokuroram Helmutam Trentmanam, un tā tiks iztiesāta šā novada galvaspilsētā Hannoverē 2005. gada janvārī.

Trentmans raksturo Jašanu kā jaunekli, kas visu brīvo laiku pavada, strādādams ar datoru. Apsūdzētais ir «savādnieks un ļoti gudrs», atzīst Trentmans. Pamatojoties uz «Microsoft» datoru ekspertu un «Microsoft» liecībām, Trentmans ir pārliecināts, ka Jašans ir izstrādājis un izplatījis «Sasser» un ir rīkojies ar ļaunu nodomu. «Vairākos piegājienos viņš izvietoja «Sasser» internetā un veica šos piegājienus viens pats,» uzskata Trentmans. «Turklāt par paveikto viņš stāstīja saviem draugiem un ar to lepojās.»

Taču Jašana ļaunprātība vēl jāpierāda, atzīst Trentmans. «Manuprāt, viņa mērķis bija uzlabot savu programmēšanas prasmi,» saka Trentmans. «Tā bija kā sava veida sacensība. Taču dažas dienas pirms aizturēšanas viņu pārņēma bailes. Viņš bija dzirdējis par FIB izmeklēšanu. Un tas viņam šķita pārāk nopietni.»

Lai gan Jašana tiesiskais statuss joprojām nav skaidrs, viņam varbūt var rasties izdevība izmantot savas prasmes godīgiem mērķiem. Kāda Vācijas ugunsmūru ražošanas firma vēlas pieņemt viņu darbā par programmētāju.

Hannovere, Vācija, 2004. gada septembris

Trentmans nopratina piecus ziņotājus, no kuriem četri ir Jašana skolasbiedri. Trentmans un citi izmeklētāji uzskata, ka daži no šiem ziņotājiem, iespējams, palīdzējuši Jašanam izplatīt «Sasser» internetā.

Taču pa šo laiku parādījušies vismaz divi jauni «Sasser» paveidi, kas liecina, ka Jašana līdzzinātāji vēl aktīvi darbojas. 23. augustā internetā lodāja «Sasser.G» — jaunākais tā variants šā raksta tapšanas brīdī. Agrākas «Sasser» versijas joprojām turpina inficēt datorus, kuriem nav aizsardzības. Un arī Jašana noslēpumainie sāncenši — surogātpasta cienītāji, kas ražo «Bagle» un «MyDoom», — nesēž bez darba, bet ik pēc dažām dienām izlaiž kādu jaunu vīrusu.

Visas šajā lietā iesaistītās puses apgalvo, ka to darbības palīdz citiem. «EEye» un Ukai LSASS drošības roba atklājums palīdzēja šā uzņēmuma klientiem, kas būtu apdraudēti, ja šo trūkumu pirmais būtu atklājis ļaunprātīgs hakeris. «Microsoft» izlaistais labojums ļāva lietotājiem paglābties no briesmām.

Houseofdabus paziņoja, ka exploit tika izveidots tikai izglītojošiem mērķiem. Arī Jašans apgalvo, ka izdarījis labu pakalpojumu internetam kopumā. «Sasser» galvenais mērķis bija pēc iespējas ātrāk izplatīties, turpretī «Netsky» uzbruka datoriem, kas bija inficēti ar vīrusiem «Bagle» un «MyDoom» (kas kopīgi tiek dēvēti par surogātpasta zombijiem), neļaujot šiem datoriem sūtīt surogātpastu visiem pārējiem.

Ja jau visi tik ļoti rūpējas par datorlietotāju interesēm, kāpēc tad mums nemitīgi uzbrūk arvien ļaunāki vīrusi un datortārpi, bojājot datus, pārslogojot tīklus un paralizējot datorus?

Praksē labojumu sistēma neaizsargā visus. Tā aizsargā tikai tos, kas nekavējoties instalē labojumu. Drošības firmas «Qualys» izpilddirektors Gerhards Ešelbeks zina teikt, ka tikai puse no visiem datorlietotājiem izmanto labojumus trīs nedēļu laikā pēc to parādīšanās. Tātad otra puse paliek neaizsargāti no datortārpiem, kas varbūt nemaz nebūtu parādījušies, ja nebūtu izlaists labojums.

Protams, no esošās labojumu sistēmas nevar vienkārši atteikties. Ļaunprātīgi hakeri vienmēr cītīgi meklēs programmatūras vājās vietas arī bez «Microsoft» netīšas palīdzības. Šādi hakeri, darbojoties nemanāmi, varētu nodarīt vēl daudz lielākus kaitējumus — visus datorlietotājus tad apdraudētu datu un identitātes zādzības un uzņēmumiem varētu uzglūnēt rūpnieciskie spiegi.

Ideāls risinājums būtu tādas programmatūras ražošana, kas ir droša jau kopš tās izlaišanas brīža. Pagaidām ikvienas iesaistītās puses prioritātei jābūt labojumu sistēmas uzlabošanai. Un lietotājiem pašlaik ir tikai viena reāla iespēja — ātri un bieži ieviest labojumus.

Cik liels laikaposms ir pārāk ilgi?

Daži drošības eksperti uzskata, ka programmatūras ražotāji pārāk lēni gatavo labojumus, atstājot datorus neaizsargātus mēnešiem ilgi.

LSASS drošības roba gadījumā «EEye» vecākais programmatūras inženieris Judži Ukai ir pārsteigts, cik ilgs laiks «Microsoft» bija vajadzīgs vienas koda rindas izlabošanai. «LSASS nebija sarežģīts labojums, tāpēc es nespēju saprast, kāpēc viņiem vajadzēja veselas 188 dienas, lai sagatavotu labojumu,» viņš saka. «Nerakstīts likums prasa, lai programmatūras ražotājiem tiek dotas 30 dienas šādas problēmas risināšanai un 60 dienas, ja labojums ir sarežģīts.»

Drošības un labojumu pārvaldības ražošanas firmas «PivX Solutions» izpilddirektors Robs Šivlijs ir vienisprātis ar Ukai. Viņš uzskata: ja «PivX» būtu sniegusi kādam uzņēmumam pietiekamus pierādījumus, ka pastāv drošības robs, «PivX» vēlētos, lai programmatūras ražotāji mēneša laikā izlabotu šo trūkumu. Ja labojums nekavējoties nav pieejams, vainīgajam ražotājam būtu jāpublicē kāds pagaidu kompromisa variants (parasti tas ir saistīts ar programmas apdraudētās funkcijas dezaktivēšanu), «lai lietotāji nebūtu pamesti likteņa varā,» viņš paskaidro.

Aizstāvot «Microsoft», Drošības reaģēšanas centra direktors Kevins Kīns un «Microsoft» drošības programmu vadītājs Stīvens Tulūzs apgalvo, ka ikviens drošības robs vai labojums ir unikāls uzdevums. Atklājot LSASS, bija jālabo arī 13 citas ar to saistītas vājās vietas, skaidro Tulūzs. «Microsoft» jāievēro līdzsvars starp operativitāti un kvalitāti, uzskata Kīns. «Mēs nevēlamies uzņemties riskus, kas mazinātu cilvēku uzticību labojumam.»

Taču drošības labojums, kura izstrādei nepieciešams vairāk par sešiem mēnešiem, nav pieņemams pat tad, ja tas ir labi pārbaudīts un pilnīgi uzticams, kad beidzot parādās, uzskata daži biznesa datorlietotāji. Pasaules Bankas vecākais datu riska menedžeris Toms Kellermans saka: «Mums nepieciešami labojumi, pirms noziedznieki atraduši iespējas izmantot trūkumus.»

Lielā mērā tomēr ir vainīgi arī paši datorlietotāji, atzīst Kellermans. Viņaprāt, lietotājiem jāinstalē labojums 24 stundu laikā kopš tā izlaišanas. Kad tiek atklāts kāds trūkums drošībā, «hakeri saož ūdenī asinis un laužas pa sētas durvīm tūkstošos datortīklu, kamēr lietotāji gudro, kad ieviest labojumu».

Firmas «Janus Risk Management» izpilddirektors Makdonels Ulšs saka: ja lietotāji vēlas kādreiz saņemt programmatūru, kas ir droša kopš tās iegādes brīža, tiem jāpieprasa izmaiņas. Bet pagaidām šķiet, ka neviens to organizēti nepieprasa.