Najprej operacijski sistemi. Ti so polni »lukenj«, kar je do neke mere razumljivo. Večji in kompleksnejši je sistem, pri tem mislimo sistem kot teoretični pojem, višja je njegova entropija, težnja, da postane neurejen in da ne deluje več tako, kot je bil zamišljen. Varnostne luknje v operacijskih sistemih niso zato, kot nekateri mislijo, ker je izdelovalec brezbrižen in površen, temveč ker vse skupaj postaja vedno manj obvladljivo. Toda kljub temu bi bilo logično, da če je zaradi luknje v sistemu spletni kriminalec lažje opravil svojo početje in nekoga oškodoval, da za to izdelovalec operacijskega sistema odgovarja. Tako ali drugače. Če proizvajalec prodaja vrata, za katera trdi, da jih s kladivom ni mogoče razbiti, potem pa bi se izkazalo, da ni tako in kladivo kar zleti skozi, bi ga tožili in dobili odškodnino. Če pride do vdora v računalnik, pa izdelovalcu sistema, tudi če mu luknjo dokažemo, ne moremo nič. Velja namreč, da odprta vrata še ne pomenijo, da je notranjost prosto na voljo. A ta miselnost bi se morala spremeniti. Res je, da potem ne bi bilo nove različice vsake tri leta, saj je za podrobno in celovito testiranje in odpravljanje napak potreben čas. A kaj potem! Je pomembnejši velik donos ali kakovosten izdelek na trgu? Če mislite, da kakovost, se motite. A želeti si ni greh.

Podobno kot za operacijske sisteme velja tudi za aplikacije, v katerih napake omogočajo ali pa lajšajo vdore in širjenje škodljive kode. A tudi tu izdelovalec aplikacij, pa naj gre za licenčne ali odprtokodne, ni kriv. Če pride do težav, je kriv uporabnik, ki morda ni pravočasno namestil popravkov ali pa je preprosto program uporabljal na neustrezen način.

Nisem še slišal, da bi kdo uspel v tožbi zaradi varnostne luknje v operacijskem sistemu ali v aplikacijah. Izdelovalci obeh so nas dovolj dolgo preprečevali in nas očitno tudi prepričali, da oni niso krivi. Podobno počno izdelovalci varnostnih rešitev. Sicer ne trdijo neposredno, da njihove rešitve stoodstotno varujejo, ker vedo, da takšna varnost ne obstaja in da bi takšno oglaševanje zagotovo sprožilo materialne odškodninske tožbe, vendar subtilno in med vrsticami spodbujajo pri uporabniku lažen občutek varnosti.

Tudi če pride do kraje denarja na računu prek sistema e-bančništva, je spet kriv uporabnik, banka nikoli. Govorim o percepciji. Uporabnik je res odgovoren za »zdravje« svojega sistema, vendar je na drugi strani tudi banka odgovorna in dolžna sisteme varnostno prilagajati novim grožnjam, ne glede na to, kaj počne uporabnik na svoji strani! A ko se zgodi nedojemljivo, vedno slišimo, da je kriv uporabnik. Nikoli banka!

S tem pa seznama »nikoli krivih« še nisem izčrpal. Naslednja so telekomunikacijska podjetja. Tudi ona niso kriva, če se nekdo »obesi« na njihovo infrastrukturo (fiksno ali mobilno) in kot mož na sredini prestreza komunikacije, izvaja prisluh, vdira v sisteme in podobno. Če pride do vdorov in kraje, so spet krivi uporabniki, ki niso dovolj naredili za lastno varnost, čeprav tudi omrežje operaterja v tem primeru ni bilo dovolj dobro fizično varovano. Ali lahko TK-infrastrukturo enačimo s cestami? Je ceste mogoče povsod nadzirati? Cest ne, nepooblaščen dostop do infrastrukture pa. Popolnoma ne, v veliki meri pa. Ali se to počne?

In tu so še lastniki takšnih in drugačnih spletnih strani. Oblikovali so jih zaradi lastnega interesa, komercialnega ali ljubiteljskega, ni pomembno. Če to stran okužijo in postane vir novih okužb s škodljivo kodo, lastnik strani, ki običajno niti ne ve, da je njegova stran po novem vir neželenih kod, seveda za to ni kriv. Krivi smo spet uporabniki, ki smo bili tako neumni, da smo to stran obiskali in se pustili okužiti. To je tako, kot če bi gostinec vedel, da je njegova hrana okužena s salmonelo, pa bi deloval naprej, brez obveznosti in občutka krivde. Pa tudi če ne bi vedel, ima do svojih gostov določeno odgovornost, saj jim jo je on serviral.
In na koncu nismo krivi niti uporabniki. No, vsaj tu lahko govorimo o doslednosti, ko nismo krivi, če smo dopustili, da je naš računalnik postal del omrežja botnet in ga kot takega uporabljajo za spletni kriminal. Nismo krivi niti, če pustimo računalnik prižgan, ko ga ne potrebujemo, ne poskrbimo za varnost in smo brezbrižni in nemarni glede lastne spletne varnosti. Nismo krivi, če prek našega računalnika naredijo škodo drugim, smo pa krivi vedno, ko škodujejo nam!

Deljene krivde, ki jo poznamo marsikje drugje, tu ni! Pa bo, in to kmalu, ko bo spletni kriminal postal večja grožnja od trgovine z drogo (je na dobri poti) in vsem tistim oblikam kriminala, proti katerim se države bojujejo skupaj in organizirano. Vsi vpleteni bodo morali sprejeti svoj delež odgovornosti in plačati ustrezen delež škode. Kar ne bo tako slabo, saj če se želimo bojevati proti spletnim zlorabam, potrebujemo resnično trpežnejše in manj varnostno vprašljive sisteme in aplikacije, sodelovanje operaterjev, sodelovanje bank pri iskanju in preprečevanju poti ukradenega denarja in tudi večje sodelovanje držav pri preprečevanju spletnega kriminala.

1/5

Moj mikro, Januar 2010 | Marjan Kodelja | Zoran Banovič |