Jak sprawić, by internauci byli bezpieczni? Proste: nie pytać ich, czy tego chcą
Miałem wczoraj coś na kształt objawienia - grając w głupią grę na XBoksie uświadomiłem sobie, jak sprawić by w Internecie zrobiło się znacznie bezpieczniej. Recepta nie jest specjalnie skomplikowana - wystarczy zrezygnować z namawiania użytkowników do aktualizowania swojego oprogramowania. Zamiast tego trzeba ich zacząć do tego zmuszać. Proste? Proste. Jeszcze kilka lat temu powiedziałbym, że coś takiego nie ma szans się sprawdzić. Praktyka pokazuje jednak, że jest zupełnie inaczej - pokazał to najpierw Microsoft, a później Google.
Objawienie nie było specjalnie spektakularne. Młody chciał zagrać w Burnouta (którego nie uruchamiałem od lat), więc włożyłem płytę do napędu i wtedy pojawił się komunikat o możliwości zainstalowania aktualizacji. Komunikat był podły, bo ta "możliwość" była tylko pozorna: mogłem albo zainstalować łatę, albo tego nie zrobić - ale wtedy konsola natychmiast zostałaby odłączona do usługi Xbox Live. Czyli jeśli chciałem korzystać z pełnego "Xbox experience", to de facto wyjścia nie miałem.
To oczywiście nic nowego - oprogramowanie na Xboksa 360 jest aktualizowane w tym modelu od zawsze. Tyle tylko, że do tej pory zawsze mi się wydawało, że tego rozwiązania nie da się przenieść do świata pecetów. Dziś myślę, że chyba jednak się da.
Luki w oprogramowaniu nie są oczywiście jedyną przyczyną problemów z bezpieczeństwem w Internecie - ale z całą pewnością są jedną z jedną z najważniejszych. To dzięki temu, że do Sieci podłączają się setki milionów użytkowników z dziurawymi Windowsami, Javami, Adobe Readerami, QuickTime'ami (itp itd.) bycie cyberprzestępcą jest dziś tak łatwe - wystarczy napisać lub kupić trojana i zacząć masowo infekować komputery. Producenci oprogramowania od pewnego czasu starają się coś z tym zrobić - jednym wychodzi to lepiej (Microsoft), innym gorzej (Adobe), ale wszyscy się starają. Ogólna tendencja jest taka, że błędów w nowym sofcie jest coraz mniej, a stary jest łatany coraz sprawniej.
Tyle tylko, że często nie na wiele się to zdaje, bo znaczna część użytkowników i tak nie instaluje poprawek - efekt jest taki, że najpopularniejsze trojany czy wormy z powodzeniem infekują miliony komputerów korzystając z luk, na które poprawki są dostępne od roku czy dwóch. Specjaliści ds. bezpieczeństwa i media od lat tłumaczą wszystkim, jak ważne jest aktualizowanie softu - wszystkie te apele trafią w próżnię. Dlatego też wydaje mi się, że jeśli cokolwiek ma pomóc, to tylko rozwiązania radykalne.
Recepta jest prosta - aktualizacje obligatoryjne. Włączasz komputer, pojawia się komunikat o nowej aktualizacji krytycznej i informacja, że albo ją zainstalujesz, albo twój komputer zostanie odłączony od Internetu. Poprawka powinna zostać od razu pobrana - tak, by po zablokowaniu Sieci jej instalacja była wciąż możliwa. Nie ma co popadać w przesadę - niech obowiązkowe będą tylko łatki realnie poprawiające bezpieczeństwo, inne mogą pozostać opcjonalne. Oczywiście, to tylko bardzo ogólny zarys pomysłu - szczegóły są do dopracowania (np. kwestia dużych organizacji, w których poprawka przed wdrożeniem zwykle jest testowana pod kątem zgodności z firmowymi aplikacjami).
Jeśli ten model wydaje się komuś mało realny, to spieszę donieść, że jest już jeden producent, który wdrożył coś nawet bardziej radykalnego. To Google, który aktualizując swojego Chrome'a w ogóle nie pyta użytkownika o zdanie - przeglądarka po prostu się aktualizuje i każdy praktycznie zawsze korzysta z najnowszej wersji. Czyli się da.
Tak samo zresztą działają aplikacje webowe - taki Facebook czy Gmail jest przecież stale aktualizowany i rozwijany bez żadnego konsultowania się z użytkownikiem i pytania go, czy chce nową wersję. Wiem oczywiście, że w chmurze kwestia rozwijania oprogramowania wygląda inaczej niż w aplikacjach desktopowych - ale tu nie chodzi o technikalia, tylko o filozofię. O spójne rozwijanie oprogramowania (a nie jednoczesne utrzymywanie kilku wersji tego samego produktu - vide rozczłonkowanie Firefoksa), o szybkie usuwanie potencjalnych problemów z bezpieczeństwem i sprawne wdrażanie/popularyzowanie nowych funkcji.
Gdyby ten model rozszerzyć na wszystkie - a przynajmniej większość - aplikacji instalowanych w komputerach, Internet z pewnością zrobiłby się znacznie bezpieczniejszym miejscem. Nagle spadłaby liczba botnetów, zmniejszyłaby się ilość spamu itp. Innymi słowy, zrobiłoby się nagle nieco fajniej i bezpieczniej...