Dokončení včerejšího článku...
IT oprava č. 5: Konec hesel
Dny alfanumerických hesel již zjevně skončily, ale nikdo si toho, zdá se, zatím nevšiml. Když přecházíte mezi weby, aplikacemi a operačními systémy, najdete velkou různorodost požadavků na sílu hesla. Některé jsou směšně laxní, jako třeba bankovní weby, které nezřídka odmítají akceptovat speciální znaky v řetězci, až po takové, které vyžadují natolik složitá hesla, že si je uživatel bude muset téměř vždy zapsat, aby je mohl příště zadat. Oba tyto extrémy způsobují stejný problém: ostudně slabé zabezpečení.
Existují také významné obtíže při zadávání silných hesel pomocí mobilních zařízení. S fyzickou klávesnicí nebo bez ní – může to představovat významné potíže. Nehledě na to, jak to vyřešíte – hesla jsou prostě špatný nápad.
Ale co je může nahradit? Čipové karty a USB klíče jsou skvělé pro jednu síť nebo jedno zařízení, ale problém je zřejmě poněkud větší. Ve světě cloudových služeb, iPadů a operačního systému Chrome OS nejsou tokeny řešením. Tím může být jedině „to, co máte u sebe“ a co je stejně praktické a mobilní jako heslo. A co lze použít pro různé systémy a zařízení? Biometrickou autentizaci. Potom by však každé klientské zařízení muselo být vybaveno požadovaným snímačem otisků prstů nebo skenerem oční duhovky.
Biometrie je ale poněkud problematická z uživatelského hlediska. I když takové obavy autor tohoto příspěvku nutně nesdílí, už slyšel několik lidí zmiňovat, že by dost neradi přišli o prst, který by chtěl nějaký lump použít při pokusu vloupat se do jejich bankovního účtu. Také existuje problém v případě vyzrazení biometrického kódu příslušného uživatele – prostě ho nejde jen tak smazat, protože je neměnitelný a trvalý.
Rozpoznávání hlasu, rozpoznávání tváře či jakákoli další forma rozpoznávání budou muset případně nahradit běžné heslo – doufejme, že to nastane dříve než později.
IT oprava č. 6: Spam
Pokud by bylo možné přesměrovat jinam čas a úsilí vynaložené na antispamové a antimalwarové programy za minulých deset let, měli bychom asi již kolonie na Marsu a možná novou formu obnovitelné energie.
Vypadá to však, že na tom nejsme o mnoho lépe než před pěti lety. Objem nevyžádané elektronické pošty zůstává celkem stejný, někde na hranici mezi 95 a 98 procenty všech e-mailů. Je možné, že se počet spamových zpráv, který nakonec dorazí do schránek příjemců, trochu zmenšil díky pokročilým filtrovacím technikám a armádě lidí zaměstnávaných v různých antimalwarových firmách, které jsou schopny označit jako nežádoucí běžný spam. Problém však zůstává nezmenšen.
Při těchto objemech už není spam jen určitou nepříjemností – způsobuje skutečné snížení dostupnosti služeb organizacím, ať už to je pro snížení šířky pásma kvůli příchozím nechtěným zprávám, zvýšení nákladů za další servery nebo služby nutné pro boj s touto záplavou, nebo jen ztracený čas, když legitimní e-maily skončí omylem ve složce spamů nebo se dokonce navždy ztratí.
Politováníhodnou skutečností navíc je i to, že tu nějakou dobu existují metody pro snižování a odstraňování spamu, jako jsou například whitelisty nebo to, že poskytovatelé připojení k internetu zpoplatní každý e-mail malou částkou, ale jsou tak přísné, že by mohly téměř zničit původní koncept e-mailu. Nesmíme vylít z vaničky vodu i s dítětem, ale nemůžeme jen doufat a smutně potřásat hlavou.
Myriády různých „řešení“ tohoto problému se točí kolem filtrování elektronických zpráv. Například greylisting zavádí tzv. období zpoždění pro neznámé odesílatele a způsobuje, že spam mine své cíle.
Naproti tomu vytváření dobrých whitelistů a blacklistů vyžaduje mnoho manuálního úsilí a navíc mohou tyto seznamy způsobit problémy se spolehlivým doručením e-mailu. Žádné z těchto řešení však nic neudělá s lavinou spamů, která se šíří internetem, polyká šířku pásma a výpočetní prostředky po celém světě. Pokud tedy obranné prostředky vůbec zafungují, ochrání nás před příchodem spamu do našich schránek, což je sice náplast, ale ne řešení problému.
IT oprava č. 7: Virtualizované softwarové appliance
Instalace nové a drahé aplikace pro firemní servery by neměla vyžadovat dvoutýdenní školení. Měla by být dodávána ve stavu připraveném na práci, se všemi nutnými závislostmi, opravami a dalšími drobnostmi, které obvykle doprovázejí masivní kolekce kódu.
Namísto žonglování s instalačními disky DVD a trávení úmorných hodin sledováním indikátorů průběhu instalace, které se pomalu plazí přes obrazovku, potřebujeme virtuální stroj, který lze importovat a rovnou spustit.
V mnoha případech se tyto bezútěšné instalační procedury objevují i ve virtuálních počítačích, takže přeskočme prostředníka. Zajistěme návrh virtuálního počítače jako výchozího mechanizmu dodávky aplikace namísto instalátoru systému Windows a namísto zabalení do jednoho komprimovaného souboru.
Čas, úsilí, složitost a náklady za podporu, které by mohly být ušetřeny mnoha firmami při takovém přístupu, jsou značné. Tím nechceme říci, že by neměla existovat možnost provést standardní instalaci, ale právě jako výchozí by měla být použita metoda s virtuálním počítačem.
IT oprava č. 8: IPv6
Kdyby vznikl tento článek před pěti lety, zcela jistě by byl tento bod také přidán do seznamu. Dnes totiž nejsme globálnímu přijetí protokolu IPv6 o nic blíže než v roce 2005.
Součástí problému je to, že jsme se příliš dlouho spokojili se známým způsobem adresace IPv4, který připomíná telefonní číslo. Tvar 192.168.1.100 je přece mnohem jednodušší na přečtení i zapamatování než 3eff:4960:0:1001::68.
Je ale také pravda, že velká většina IT organizací si zcela dobře vystačila s interními rezervovanými IP rozsahy po celé desetiletí. Odpovědnost není jen v obrovském úsilí při přečíslování, ale je také vyžadováno ověření, že všechny aplikace a služby budou fungovat přes IPv6 správně, a to mnohé potenciální implementátory velmi odrazuje. Je to v zásadě ztracený případ všude tam, kde není k dispozici poměrně velký IT rozpočet.
Problém s protokolem IPv6 je v tom, že pro většinu firem neexistuje znatelný přínos, ale jen hromada práce, kterou je nutné vykonat. Když jsou IT rozpočty přiškrceny, tak to nikdo nebude dělat.
Tyto potíže však mohou být zastíněny ještě větším problémem – vyčerpáním adresového prostoru IPv4. Tato obtíž sice není zas tak velká, jak by si teď mohli mnozí myslet, ale adresy postavené na protokolu IPv6 mizí alarmující rychlostí, zejména s tím, jak Čína rozšiřuje internetové služby do odlehlých oblastí. A samozřejmě existuje obrovský počet mobilních zařízení připojených k internetu.
Je-li opravdu nějaká naděje na vytvoření skutečného tlaku pro nasazení protokolu IPv6 ve světě počítačů, tak by se to mělo stát rychle. Každý den, kdy jsme v naší hlouposti a natvrdlosti spokojení se svým privátním rozsahem adres IANA a realizujeme překlad adres na firewallu, je jen dalším dnem spojeným s opilostí protokolem IPv4. Rozšíření v jeho případě už prostě není možné…