Každé druhé úterý v měsíci podstupují uživatelé milionů počítačů známý, leč poněkud iritující rituál: v tento den vydává společnost Microsoft aktualizace pro Windows, Office nebo například Internet Explorer. V tento záplatový den (tzv. patch day) obvykle většina uživatelů příliš mnoho práce neudělá – stahování deseti či více záplat zpomaluje připojení k internetu a jejich instalace později zpomalí i počítač. Jde však o nutnost: většina aktualizací opravuje nedostatky v zabezpečení, a celá řada z nich dokonce ty extrémně kritické. Jako příklad lze uvést loňskou listopadovou opravu: ve verzích Office 2003 až 2010 mohli útočníci využít chyby, která se objevila při zobrazování grafických souborů ve formátu TIFF, a na napadený počítač nainstalovat malware. Než však k takovým útokům dojde, stávají se digitální obchodní centra svědky zběsilé bitvy o nejnovější softwarové mezery a exploity, což jsou malé programy, které tyto mezery používají například k propašování malwaru do počítače. Účastníky tohoto boje jsou výzkumní pracovníci bezpečnostních firem, hackeři a specializovaní dealeři exploitů, nebo dokonce výrobci softwaru a vládní úředníci. Každý z nich sleduje své vlastní cíle či zájmy. Jinými slovy – někoho sem dostala touha po zisku, někoho možnost útoku v rámci kybernetické války či prevence negativního PR. Bezpečnost uživatelů obvykle není starostí většiny nakupujících – nebo má přinejmenším nižší prioritu.
Tomuto obchodu, který z principu probíhá na náklady uživatelů, se daří jen proto, že vývojáři softwaru zfušují programování. V bestselleru zvaném Code Komplete jeho autor, bývalý zaměstnanec Microsoftu Steve McConnell, píše, že 1 000 řádků programového kódu obsahuje 15 až 50 chyb – pro ilustraci dodáme, že například Windows 7 jsou vytvořena z kódu, který čítá asi 40 milionů řádků. I bez znalosti složité matematiky si tak určitě dokážete představit, kolik chyb lze v tak rozsáhlém kódu najít.
Podrobnější informace najdete v článku v Chipu 3/2014, který vychází 21.2.
5 foto
