Are Microsoft to blame for "hidden" malware costs and will Windows 7 make any difference?
By Ryan Cartwright, 2009-11-07
Theo: http://www.freesoftwaremagazine.com/columns/microsoft_hidden_malware_costs_windows_7
Bài được đưa lên Internet ngày: 07/11/2009
Lời người dịch: Bạn có bao giờ phải tính tổng chi phí sở hữu TCO của các hệ điều hành phần mềm tự do và Windows chưa? Bài viết này sẽ dạy cho bạn những lý lẽ trong những tranh luận như vậy đấy.
Một vài câu chuyện đã được giật tít trong năm nay có liên quan tới giá thành khổng lồ mà một vài chính quyền địa phương ở Anh phải chịu khi làm việc với các cuộc tấn công bằng phần mềm độc hại trên các máy tính Windows của họ. Nếu bạn quên chúng, thì Hội đồng Thành phố Manchester đã bị lây nhiễm duy nhất một USB với sâu Conficker và đã phải trả giá - hãy tự bạn kết nối lấy – 2.4 triệu USD trong đó 1.9 triệu USD chi cho IT, trong đó choáng người là 980,000 USD đã bỏ ra cho chi phí tư vấn bao gồm cả tiền cho Microsoft. Sau đó ít lâu, Hội đồng Ealing Borough đã bị đánh với giá khoảng 800,000 USD khi họ cũng đã bị đánh bởi chỉ một USB chứa Conficker. Một số người trong ngành công nghiệp này đã viết trên Twitter và Blog điều này như là một “giá thành ẩn của việc sử dụng Microsoft Windows”. Trong thảo luận kế tiếp theo, nhiều người đã chỉ ra rằng giá thành cao thực sự là vì thiếu chính sách vá và phục hồi thảm họa phù hợp tại hội đồng. Thế thì cái gì là đúng? Liệu việc làm việc với các phần mềm độc hại có là một giá thành ẩn của việc sử dụng Windows hay là vì một chiến lược IT kém cỏi?
Đặt các lỗ hổng lên trên mạng
Ngay cả hầu hết các fan hâm mộ mãnh liệt nhất của Windows cũng không thể thực sự viện lý với thực tế rằng hệ điều hành ưa thích của họ có một số lượng khổng lồ các phần mềm độc hại đe dọa chống lại nó hơn bất kỳ hệ điều hành phần mềm tự do nào có. Lý do phổ biến được đưa ra cho điều này là tỷ lệ cao các máy tính chạy Windows tạo thành mục tiêu thèm muốn cho những người đứng sau các phần mềm độc hại. Điều này là một lý lẽ hợp lý nhưng nó không thể được nắm lấy như là sự kháng cự duy nhất ở đây. Nếu số lượng cài đặt là tỷ lệ với số lượng các mối đe dọa, thì vì sao chúng ta không thấy ngay cả một sự gia tăng nhỏ nào trong số lượng các phần mềm độc hại đe dọa chống lại các hệ điều hành tự do? Sau tất cả số lượng các máy tính GNU/Linux và *BSD đối mặt với Internet bây giờ được tính vào khoảng cao hơn đáng kể so với số lượng của 5 năm về trước. Ngay cả việc cho phép thực tế rằng số phần trăm các máy tính để bàn sử dụng một hệ điều hành tự do có thể đã không tăng (và tôi không tin đó là lý do chính đáng bằng bất cứ cách gì), thì số lượng thực sự các máy tính chắc là đã gia tăng. Vâng chúng ta không thấy những người viết phần mềm độc hại hướng vào những người sử dụng các hệ điều hành tự do gia tăng.
Không, bất kỳ phân tích nhạy cảm nào cũng sẽ xem xét rằng số lượng cao của các sản phẩm phần mềm độc hại cho Windows cũng có thể là lý do từ tính có thể dễ bị tổn thương của nó đối với họ. Sau tất cả, nếu bạn đang muốn thâm nhập một căn nhà, bạn muốn chắc chắn chọn một căn với cửa sổ để mở, phải thế không bạn? An ninh cố hữu được xây dwungj trong các hệ thống dạng Unix được thiết kế dẫn tới những chỗ dễ bị tổn thương có thể khai thác được là ít hơn, trước hết là như vậy. Bản chất mở tự nhiên của phần mềm tự do cũng có nghĩa là ngay cả những chỗ dễ bị tổn thương nhỏ có xu hướng sẽ được vá hoàn toàn nhanh. Thực tế là hệ thống càng có thể bị tổn thương bao nhiêu, thì càng là mục tiêu cám dỗ cho những người viết phần mềm độc hại bấy nhiêu. Nếu hệ thống y hệt đó có một tỷ lệ người sử dụng cao thì càng tốt hơn nhưng chỉ lý lẽ về số lượng không thôi là không đứng vững được nếu bạn hỏi tôi.
A couple of stories have hit the headlines this year concerning the huge cost that some UK Local Governments incurred when dealing with malware attack on their Windows machines. If you missed them, Manchester City Council had a single USB infected with the infamous Conficker worm and it cost them — brace yourself — £1.5m ($2.4m) of which £1.2m (US$1.9m) was spent on IT, of which a staggering £600,000 (US$980k) went on consultancy fees including money to Microsoft. A while later, Ealing Borough Council were hit with a cost of £500000 (about US$ 800k) when they were also hit by a single USB stick containing conficker. Some in the industry tweeted and blogged this as being a “hidden cost of using Microsoft Windows”. In the ensuing discussion, many pointed out that the high cost was really due to the lack of a proper patching and disaster recovery policy at the council. So which is right? Is dealing with malware a hidden cost of using Windows or of a poor IT strategy?
Putting the holes in the ‘net
Even the most ardent Windows fan can’t really argue with the fact that their favourite OS has a significantly greater number of malware threats against it than any free software OS will have. The popular reason given for this is the high proportion of Windows boxes makes for a tempting target for the people behind the malware. This is a reasonable argument but it cannot be taken as the only defence here. If the number of installs is proportional to the number of threats, why have we not seen even a small increase in the number of malware threats against free OS? After all the number of Internet-facing GNU/Linux and *BSD machines around now measures considerably higher than the number for say five years ago. Even allowing for the fact that the percentage of desktop machines using a free OS may not have increased (and I don’t believe that’s a valid argument anyway), the actual number of machines is likely to have increased. Yet we do not see malware writers increasingly targetting free OS users.
No, any sensible analysis will also consider that the high number of malware products for Windows may also result from it’s vulnerability to them. After all, if you are looking to break into a house, you’d surely choose the one with the open window, wouldn’t you? The inherent security built into the way Unix-style systems are designed leads to fewer exploitable vulnerabilities in the first place. The open nature of free software also means that even small vulnerabilities tend to be spotted and patched quite quickly. The fact is that the more vulnerable the system, the more tempting a target it makes for malware writers. If that same system has a high proportion of users then so much the better but the numbers argument alone doesn’t stand up if you ask me.
Đóng các cửa sổ
Được tranh luận rằng - đặc biệt trong trường hợp của Hội đồng Thành phố Manchester - một chính sách và quá trình vá kém cỏi là lý do thực tế đằng sau giá thành làm việc với các phần mềm độc hại. Hội đồng Ealing đã (trong tháng 09/2009) vẫn còn “lên kế hoạch để nâng cấp lên Windows XP”. Lấy sự tương tự về động thổ ngôi nhà của tôi, lý lẽ này giống như việc nói rằng để cửa sổ nhà bạn mở là yêu cầu về sự lo lắng vậy. Thường thì tôi đồng ý nhưng có 2 vấn đề ở đây. Đầu tiên là việc bạn (chủ ngôi nhà) đã không để cửa sổ mở. Thay vì người xây nhà đã lắp đặt các cửa sổ theo cách mà chúng có thể bị mở một cách dễ dàng từ bên ngoài và tệ hơn nữa: các bức tường và cửa ra vào là chính xác y như vậy! Hãy cho phép tôi chuyển những điều tương tự nhưng nếu bạn thường xuyên găm các ngón tay của bạn vào các lỗ cắm trong con đập, thì bạn cuối cùng sẽ làm bay mất những ngón tay đó. Vấn đề thứ 2 là ý tưởng rằng việc áp dụng miếng vá thế nào đó sẽ đảm bảo an ninh cho hệ thống Windows của bạn. Nó đã không làm được vậy. Nó chỉ sửa được lỗ hổng đó trong ngôi nhà của bạn. Kẻ thâm nhập ngôi nhà bây giờ sẽ chỉ cố tìm ngôi nhà khác và bạn nhảy vào cuộc chơi với hy vọng cái cửa sổ bị phá được vá bởi người xây nhà trước kẻ đột nhập vào nhà và rằng người xây nhà lưu ý bạn và cung cấp miếng vá đúng lúc.
Công bằng mà nói phần 2 áp dụng được cho mọi hệ điều hành, không chiri cho Widows nhưng sự thực là việc với một hệ điều hành tự do, không chỉ người xây nhà (hoặc các nhân viên của anh ta) mà họ đang tìm kiếm các cửa sổ có thể bị tổn thương, mà điều này cho bất kỳ chủ nhà nào khác. Còn tốt hơn những người mà những chủ nhà khác chỉ không thể vá sự yếu kém mà - nếu họ có các kỹ năng - cung cấp một sự sửa lỗi.
Closing the windows
It has been argued that — particularly in the case of Manchester City Council — a weak patching policy and process is the real reason behind the cost of dealing with malware. Ealing Council were (in September 2009) still “planning to upgrade to Windows XP”. Taking my house-breaking analogy, this argument is like saying that leaving your window open is asking for trouble. Generally I agree but there are two issues here. The first is that you (the house owner) did not leave the window open. Rather the house builder installed the windows in such a way that they could be opened easily from the outside and worse: the walls and door are exactly the same! Permit me to switch analogies but if you are constantly plugging your fingers in to plug holes in the dam, you will eventually run out of fingers. The second issue is the idea that the applying the patch somehow secures your Windows system. It doesn’t. It just fixes that hole in your house. The house-breaker will now just try to find another one and you enter the game of hoping the broken window is spotted by the builder before the house-breaker and that the builder notifies you and supplies a patch in time.
To be fair the second part there applies to any OS, not just Windows but the truth is that with a free OS, it’s not just the builder (or his employees) who are looking for vulnerable windows, it’s every other house-owner. Better still those other house-owners can not only spot the weakness but - if they have the skills - provide a fix.
Các dạng tấn công
Có lẽ hợp lý để viện lý rằng dạng tấn công thường thấy của phần mềm độc hại tập trung vào các dữ liệu hơn là vào sự truy cập hệ thống. Tất cả các tài khoản ngân hàng và những nhận dạng đáng yêu này là lý do đằng sau sự phổ dụng của các cuộc tấn công bằng phishing. Chúng được đi kèm bởi các thư điện tử có sâu mà biến các máy tính bị lây nhiễm thành các máy sống dở chết dở mà chúng gửi đi nhiều hơn các thư điện tử cám dỗ người sử dụng đăng nhập vào một phiên bản giả mạo ngân hàng của họ. Thư điện tử phishing không chỉ đặc biệt tập trung vào những người sử dụng Windows, tôi có rất nhiều về chúng (tất cả bị chộp bởi các bộ lọc spam là phần mềm tự do của tôi tất nhiên rồi) và tôi chắc bạn cũng thế. Nhưng những con sâu này được tập trung vào các máy tính Windows, chủ yếu vì những lý do mà tôi đã đưa ra ở trên. Trong khi Microsoft đã nói rằng Windows 7 là Windows an ninh nhất, thì họ cũng nói rằng mỗi lẫn và vâng số lượng các phần mềm độc hại đe dọa chống lại Windows tiếp tục gia tăng. Những lý do thông thường để gác chống lại những mối đe dọa này là để vá, các phần mềm diệt virus và các tường lửa của người sử dụng và hãy giáo dục người sử dụng của bạn. Nghe có vẻ là một chính sách nhạy cảm nhưng liệu điều đó cũng là vì nó đã trở nên quá là vấn đề thực tế (ít nhất là trong thế giới Windows) mà chúng ta chấp nhận nó như là thứ bình thường chăng? Hãy hỏi những phần mềm chống virus nào phải sử dụng trên một danh sách thư của Windows và bạn chắc là sẽ bắt đầu một cuộc chiến nóng bỏng về cái gì là tốt nhất. Hãy hỏi câu hỏi y như vậy trên một danh sách thư của GNU/Linux và bạn có lẽ sẽ có hầu hết mọi người nói cho bạn hãy đừng lo lắng.
Việc giáo dục người sử dụng trong phần mềm - sử dụng là một ý tưởng tốt. Việc giáo dục họ về những mối nguy hiểm của thư điện tử phishing cũng là ý tưởng tốt. Việc giáo dục họ không mở một tệp đính kèm từ một nguồn mà họ nghĩ họ có thể tin tưởng là hoàn toàn chống lại trực giác. Những sâu bọ tới như các tệp đính kèm trong các thư điện tử đôi khi “được gửi” từ một địa chỉ thư điện tử mà bạn sẽ nhận ra được.
Người sử dụng nháy vào chúng vì các xã hội của chúng ta dạy chúng ta làm thế. Một bức thư đóng si gửi tới bạn, với địa chỉ ngân hàng của bạn trên mặt sau, thả vào thảm chùi chân của bạn. Bạn sẽ làm gì? Bạn sẽ gọi điện. Một thư điện tử tới nói “xin hãy đọc lưu ý về an ninh gắn kèm” và những ví dụ khác. Việc quảng cáo cho Windows nói cho chúng ta nó dễ dàng làm sao để sử dụng những thứ như các khóa USB, làm cho cuộc sống dễ dàng hơn (hình như vậy). Vâng một trong những phản ứng của Hội đồng Thành phố Manchester đối với cơn ác mộng về an ninh Windows của họ đã từng là cấm người sử dụng không được sử dụng chúng. Quả thực các cổng USB đã bị làm liệt trên tất cả các máy tính để bàn. Tôi đã có thể nghe thấy mọi người gật đầu đồng ý và phần của tôi góp vào nhưng khi bạn tới được cái điểm nơi mà nền tảng được lựa chọn của bạn ép bạn phải ra lệnh cho người sử dụng làm những thứ theo một cách chống lại trực giác, thì bạn cần thay đổi nền tảng của bạn. Đâu là ưu điểm của một hệ thống mà nó nói sẽ trao cho bạn một “cách kết nối tốt hơn để kinh doanh” nếu nó cũng cung cấp một cách kết nối tốt hơn để tấn công bạn?
Types of attack
It could be reasonably argued that the prevalent type of malware attack focuses on data rather than system access. All those lovely bank accounts and identities are the reason behind the popularity of phishing attacks. These are accompanied by worm-ridden e-mails which turn infected machines into zombies that send out more e-mails tempting users to log into a fake version of their bank. Phishing e-mails are not specifically targetted at Windows users, I get lots of them (all caught by my free software spam filters of course) and I am sure you do too. But the worms are targetted at Windows machines, mostly for the reasons I’ve given above. While Microsoft have said that Windows 7 is the most secure Windows yet, they do say that every time and yet the number of malware threats against Windows continues to increase. The usual arguments to guard against these threats are to patch, user anti-virus software and firewalls and educate your users. Sounds like a sensible policy but is that also because it’s become so matter-of-fact (in the Windows world at least) that we accept it as normal? Ask what anti-virus software to use on a Windows mailing list and you’ll likely start a flame-war over which is best. Ask the same question on a GNU/Linux list and you’ll likely have most people tell you not to bother.
Educating users in software =et - usage is a good idea. Educating them on the dangers of phishing e-mails is also a good idea. Educating them not to open an attachment from a source they thought they could trust is entirely counter-intuitive. Worms come as attachments in e-mails sometimes “sent” from an e-mail address you’ll recognise. Users click them because our societies teach us to do so. A sealed letter addressed to you, with your bank’s address on the back, drops onto your doormat. What do you do? You open it. Your telephone rings and your caller ID system tells you it’s your bank, what do you do? You take the call. An e-mail arrives saying “please read the attached security notice” and the “from” address is your bank’s. What do you do? Ignore it. As I said, counter-intuitive and there are other examples. Advertising for Windows tells us how easy it is to use things like USB keys, making life easier (apparently). Yet one of Manchester City Council’s reactions to their Windows security nightmare was to ban users from using them. Indeed USB ports have been disabled on all the desktops. Already I can hear people nodding in agreement and part of me concurs but when you get to the point where your chosen platform forces you to instruct users to do things in an entirely counter-intuitive way, you need to change your platform. Where’s the advantage of a system which claims to give you a “better connected way to do business” if it also provides a better connected way to attack you?
Tổng chi phí sở hữu TCO
Trong quá khứ tôi đã tranh luận chống lại việc mang giá thành vào lý lẽ của phần mềm theo tự do. Điều đó chủ yếu vì nó làm chệch hướng khỏi lợi ích chính của phần mềm tự do - sự tự do. Tuy nhiên lý lẽ được thường xuyên sử dụng chống lại phần mềm tự do và đổ đồng TCO trong số những người lan truyền sự sợ hãi, không chắc chắn và nghi ngờ (FUD). Lý lẽ về “giá thành ẩn của phần mềm độc hại” này rơi tốt vào giữa TCO. Nếu hệ điều hành được chọn của bạn có nghĩa là bạn phải mua và cài đặt các phần mềm chống virus lên các máy trạm và các máy chủ, hãy thuê thêm nữa các nhân viên để vá và duy trì nó và hãy trả tiền thông qua mũi để thuê những người đến sửa một vấn đề nào đó đã gây ra bởi những chỗ bị tổn thương trong hệ điều hành này rồi thì những thứ này phải được bổ sung vào TCO. Một lý lẽ về TCO chống lại phần mềm tự do thường là các quản trị viên hệ thống của phần mềm tự do giá nhiều hơn và một lý do khác là việc phần mềm tự do khó duy trì. Lý do thứ 2, như tôi đã mô tả trước đó, là một sự bất lực và lý do đầu bị thổi bay khỏi mặt nước nếu sử dụng Windows đồng nghĩa với việc bạn cần các nhân viên được đào tạo tốt hơn (và đắt giá hơn) để duy trì nó một cách phù hợp. Nếu Windows là dễ dàng sử dụng và duy trì, và là an ninh như thế, thì vì sao chúng ta lại cần các phần mềm chống virus?
Nói về sự lựa chọn phần mềm của bạn, một chính sách vá kém cỏi là một ý tưởng rất tồi nếu bạn đánh giá cao tính toàn vẹn của hệ thống. Nhưng nếu bạn đi tranh luận cho trường hợp của bạn về TCO, thì Microsoft, sau đó sẽ không cố lẩn tránh nói về những giá thành bổ sung cho việc duy trì, vá và làm sạch một hệ thống dựa trên Windows.
Tôi chắc chắn rằng nhiều người sẽ nghĩ rằng Windows 7 là để giảm ảnh hưởng của phần mềm độc hại có trên các hệ thống của bạn. Tôi hy vọng họ là đúng - chỉ nếu vì lợi ích của hàng triệu người sử dụng Windows mà họ phải thanh toán hóa đơn khi các hệ thống có thể bị tổn thương của họ bị lộ ra. Kinh nghiệm nói cho tôi rằng “Windows an ninh nhất” vẫn còn chưa là đầu đề để trở thành sự tự hào.
Một thứ cuối cùng. Khi thông tin về Conficker giật tít, thì thế giới Windows đã đi trong sự báo động (vâng một số trong số họ đã). Đối với một số người mà thông tin này đã không lọc được ngay lập tức, thì nó đã là một bài học đắt giá chờ để xảy ra. Thế giới phần mềm tự do có lẽ đã lưu ý tới nó (trong trường hợp một số người được hỏi) và sau đó đã tiếp tục với các công việc của họ.
TCO
In the past I’ve argued against bringing cost into the pro-free software argument. That’s largely because it detracts from the main benefit of free software - freedom. However the argument is frequently used against free software and acronyms like TCO abound among the FUD spreaders. This “hidden cost of malware” argument falls well within the TCO. If your chosen OS means you have to buy and install anti-virus software on clients and servers, hire more staff to patch and maintain it and pay through the nose to hire people to fix a problem caused by vulnerabilities in the OS then those things should be added to the TCO. One TCO argument against free software is usually that free software sys-admins cost more and another is that free software is harder to maintain. The second one, as I have described before, is a complete crock and the first is blown out of the water if using Windows means you need better trained (and more expensive) staff to maintain it properly. If Windows is so easy to use and maintain, and is so secure, why do we need anti-virus software?
Regardless of your software choice, a poor patching policy is a very bad idea if you value system integrity. But if you going to argue your case on TCO, Microsoft, don’t then try to dodge talk of the additional costs for maintaining, patching and clearing a Windows-based system.
I am sure that many people will be thinking that Windows 7 is about to reduce the impact malware has on their systems. I hope they’re right - if only for the sake of the millions Windows users who have to foot the bill when their vulnerable systems ae exposed. Experience tells me that “the most secure Windows yet” is still not a title to be proud of though.
One final thing. When news of Conficker hit the headlines, the Windows world went on alert (well some of them did). For those whom the news didn’t filter down to immediately, it was an expensive lesson waiting to happen. The free software world would have probably noted it (in case someone asked) and then got on with their jobs.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.