XP: האמת על הבאג

בשבועיים האחרונים עולם המחשבים סוער בעקבות ההודעה על ליקוי אבטחה שנתגלה ב- Windows XP. ידיעות בנושא פורסמו בעיתונות המחשבים, כמו גם בעיתונות הכללית. גם בערוץ המכובד הזה. רוב העובדות שנמסרו בפרסומים השונים נכונות, אבל חלק מהפרטים שפורסמו מטעים, ובעיקר ישנה בעיה עם רוח הדברים. אחרי שהרבה משתמשים מפוחדים פנו אלינו, החלטנו לשפוך קצת יותר אור על הנושא, ולהעמיד דברים על דיוקם.
דעתנו הצנועה אך בלתי משוחדת: לא רק שאין כאן איום חמור, אלא שנראה שיש כאן שיתוף פעולה בין הרבה בורות להרבה אינטרסים. אם תרצו - כמעט קונספירציה.

בכמה מילים: מה הבעיה?

ההסבר הבא יישמע בתחילה מעט מסובך. אפשר לדלג עליו, אבל אם תקראו לאט, פעם נוספת אם יש צורך - ואפילו אין לכם ניסיון בתכנות או ידע באבטחה - תראו שלא צריך להיות גאון כדי להבין איך זה עובד.
ליקוי האבטחה שנתגלה קשור לרכיב תוכנה בשם UPnP (ר"ת של Universal Plug and Play), הרחבה של תקן "תקע והפעל" המוכר, המאפשרת זיהוי אוטומטי של חומרה חדשה שמחוברת לא רק למחשב, אלא גם לרשת המקומית. UPnP משתמש ברכיב בסיסי יותר, בשם SSDP, שאחראי על הגילוי של אותה חומרה חדשה. כאשר חומרה כזו מתגלית, SSDP "מודיע" על כך ל-UPnP, שפועל בהתאם. מסתבר שניתן לזייף הודעה כזו, וכך להשתלט על מנגנון UPnP של מחשב מסויים.
כאן נוצרות שתי בעיות. ראשית, מכיוון שאין מגבלה לגודל ה"הודעה", ניתן להשתמש בגישה ל-UPnP כדי להציף את המחשב המותקף בזרם אינסופי של נתונים, עד שבסופו של דבר הוא יקרוס בגלל מצב של "מניעת שירות" (DoS, בדומה להתקפות שהיו פופולריות בשנה האחרונה באינטרנט). בעיה נוספת - ניתן להשתמש בהודעה כזו כדי לדרוס אזור זיכרון כלשהו של מערכת ההפעלה (Access Violations). כתוצאה מכך, יופרע רצף הריצה המקורי של המשימות במחשב, באופן שמאפשר לשתול קוד מבחוץ. קוראים לזה "Buffer Overrun", וזהו סוג הפרצות החביב ביותר על ההאקרים המקצוענים.
פורץ, שרוצה לנצל את הפרצה החדשה, יכול לנסות לשלוח הוראה מזוייפת למחשב מסויים, או לקבוצת מחשבים. במקרה הראשון, עליו לדעת את כתובת ה-IP של המחשב - משימה מורכבת עד בלתי אפשרית (זה מסובך כשמדובר במשתמש ארגוני שנמצא מאחורי שרת שמחלק כתובות באופן דינמי. משתמשים המחוברים לרשת בחיוג, מקבלים כתובת IP חדשה מספק האינטרנט שלהם, בכל פעם שהם מתחברים). מנגנון Firewall אישי, כמו זה שמגיע עם Windows XP או כל אחד אחר המותקן במחשב, אמור להגן עליו במקרה כזה.
אם הפורץ בוחר בדרך השנייה, כלומר - לשלוח הודעת SSDP מזוייפת לקבוצת מחשבים בבת אחת (שיטה הידועה בשם Multicast או Broadcast), הוא אינו זקוק לכתובת ספציפית. מצד שני, רוב הנתבים וכלי ה-Firewall המותקנים בשרתי רשת ארגוניים, חוסמים הודעות כאלו באופן אוטומטי.
מתי בכל זאת קל יחסית לבצע תקיפה כזו? כאשר הפורץ מנסה לתקוף מחשבים הנמצאים ברשת הפנימית שלו, כלומר מחוברים לאותה רשת ביתית או ארגונית אליה הוא מחובר. זו לא סיטואציה בלתי אפשרית, אבל היא לא אופיינית להאקרים. מלבד זאת, הפרצות מסוג Buffer Overrun הן הנפוצות ביותר שיש. האקר מנוסה, שגילה Buffer Overrun שאף אחד לא יודע עליו, משול לרץ מרתון בנקודת הפתיחה - הדרך משם ועד לשליטה במחשב שלך עדיין ארוכה מאד. אין לו סיבה לבחור דווקא בפרצה המוגבלת יחסית הזו, ואכן לא ידוע על פריצה כלשהי למחשב או לרשת, שהתבססו עליה.
השורה התחתונה: ליקוי האבטחה החדש של XP הוא הרבה פחות נורא מכפי שהצטייר בתקשורת. חוץ מזה, יש כבר תיקון. מיקרוסופט, אגב, ממש ממש ממליצה להתקין אותו (קישור להורדת הטלאי - מימין).

אז על מה כל ההיסטריה?

את הליקוי גילתה לראשונה חברת אבטחת המידע eEye, שפרסמה הודעה מתאימה באתר הבית שלה. NIPC, חטיבה בתוך ה-FBI שאחראית להגנת התשתיות הלאומיות, הזדרזה לפרסם הודעת אזהרה משלה. אתרים שונים, כמו זה של Gibson Research Corporation, שמציגה את עצמה כמי שמתמחה באבטחה, מיהרו להציג הערכות בדבר הנזקים הכספיים שייגרמו כתוצאה מהבאג.
בכלי התקשורת בעולם ובארץ הצטרפו לחגיגה, ונזפו במיקרוסופט שהבטיחה את "מערכת ההפעלה לצרכן המאובטחת ביותר שפותחה על-ידי מיקרוסופט אי פעם", ואכזבה. מיקרוסופט עצמה מיהרה ופרסמה תיקון למערכת ההפעלה, ופירטה בצורה מסודרת כיצד יש לנהוג על מנת לנטרל את רכיב ה-SSDP, כדי להתגונן באופן מושלם מפני האיום החדש.
אבל כשמסתכלים על כל העניין מקרוב, קל להבין שהדברים יצאו מפרופורציות. eEye היא חברה שמפתחת כלים לסריקת רשתות ומציאת ליקויי אבטחה. לגילוי של ליקוי כזה במערכת הפעלה חדשה, יש חשיבות גדולה מבחינת היוקרה שלה ולכן אין פלא שנתנה לו פרסום. גם ב-NIPC, וב-FBI בכלל, לוקחים את החיים מאד ברצינות, בעיקר באווירה שקיימת בארה"ב מאז ה-11 לספטמבר.
איך זה התגלגל משם והלאה כולנו יכולים לנחש. יש המון עיתונאים שצריכים משהו לכתוב עליו, ויש המון אינטרסנטים - ביניהם שלל יריבי מיקרוסופט, וכל מי שמתפרנס מאבטחה. כולם ישמחו להסביר לנו מדוע מדובר בפרצה חמורה ומסוכנת. אבל האמת המרה היא ש"באג האבטחה החמור", איננו באג, וגם אינו כל-כך חמור.

דז'ה וו: באג הפנטיום

הסיפור הזה מזכיר לנו מאד באג אחר. באג הפנטיום, או בכינויו הידוע "FDIV Bug", נתגלה ביוני 1994 על-ידי מתמטיקאי אמריקני בשם תומס ר. רינקלי. לאחר שהריץ על המחשב החדש שלו מודלים מתמטיים מורכבים וקיבל מספר שגיאות מוזרות, הוא השאיר הודעה בנושא בקבוצות הדיון comp.sys.intel, וזכה למספר עצום של תגובות.
הפנטיום היה אז כבן שנה ועדיין לא קנה לעצמו נתח שוק משמעותי, אבל הכל ציפו לירידת המחיר שתהפוך את המעבד רב העוצמה הזה למשהו שאפשר גם לקנות. הסיפור על באג מסתורי בחישובי הנקודה הצפה (Floating Point. חישובי שברים עשרוניים), משך תשומת לב רבה בקבוצות הדיון, אבל חלפו עוד שישה חודשים (!) עד שהגיע לעיתונות.
אינטל טיפלה בנושא באופן מגושם. תחילה לא הגיבה, אחר-כך הכחישה, ובהמשך הצליחה לקנות את שתיקתו של רינקלי. ההתנהלות הזו רק משכה אש, ליבתה תיאוריות הקונספירציה, ובסופו של דבר הביאה את אנדי גרוב, נשיא אינטל, להודות שאכן קיים באג ולהבטיח להחליף את כל מעבדי הפנטיום הפגומים שנרכשו.
בינתיים התגלגלה הפרשה לכדור שלג. לאורך דצמבר 1994 מלאו העיתונים בידיעות וכתבות עוקצניות בנושא. לפחות עשר תביעות נזיקין הוגשו נגד אינטל על-ידי חברות ענק, וחלקן הוסיפו האשמות בסעיפים של הונאה, פרסום כוזב, והפרת חוקי צרכנות שונים. הגדילה לעשות IBM, שהכריזה כי תפסיק לגמרי לספק מערכות מחשב מבוססות פנטיום. היא פרסמה נתונים שונים שנתקבלו מבדיקות שלה, וקבעה חד-משמעית: אצל משתמש ממוצע בתוכנות גיליון אלקטרוני, התקלה צפויה להופיע לפחות פעם אחת בכל 24 יום.
בחברה שיש בה 500 עובדים, זה אומר 20 תקלות חישוב יומיות - ומה אם מדובר בחברת רואי חשבון? נשמע נורא ואיום. בדיעבד, התברר ששכיחות התקלה הייתה קטנה פי 200 מהנתונים שהציגה IBM. התקלה הזו שיבשה בדרך-כלל סיפרה אחת, במקום התשיעי או העשירי מימין לנקודה העשרונית, בכל תשעה מיליארד חישובים בממוצע. כלומר, זה ממש לא צריך היה לעניין רואי חשבון אלא לכל היותר מתמטיקאים שמריצים מודלים מתמטיים מורכבים, ואולי מדענים אחרים שהריצו יישומים עתירי חישוב. אז וגם היום, הם היו ונשארו נדירים כמעט כמו התקלה הזו.
ועכשיו לצימוק: מקורו של באג הפנטיום היה טעות אנוש ביישום של פתרון שנועד לשפר את ביצועי הנקודה הצפה של המעבד. בזה ניסתה אינטל למחוק את היתרון שהיה אז למעבדי ה-RISC בחישובים כאלה, שחשובים, כאמור, בעיקר ביישומים מדעיים. לא היתה לזה חשיבות רבה למשתמש הממוצע, כשם שהבאג לא היה צריך לעניין אותו במיוחד.
לעומת זאת, הבאג עניין מאד את IBM, שניסתה אז להתחרות באינטל על שוק המחשבים האישיים עם מעבד חדש בשם PowerPC. האם יש לזה קשר? אין שום דרך לדעת. מה שברור הוא שאינטל הייתה "האיש הרע", בפרשייה מגוחכת, שבה מיליארדית(!) אחת הולכת לאיבוד פעם בחמש-עשרה שנה בממוצע.

הלקח: לא להתרגש

חזרה לתקופתנו. ליקויי אבטחה במוצרי מיקרוסופט - ובכלל - הם לא תופעה חדשה. נתקלנו בהם בעבר, אנו נתקלים בהם עכשיו, ורוב הסיכויים (אלא אם כן מיקרוסופט תאמץ טכנולוגיית חוצנים), שניתקל בהם גם בעתיד. השאלה היא איך מתייחסים לליקויים האלה.
יש כמה דברים מטרידים בכל הפרשה הזו. עניין מטריד אחד הוא, שרוב ה"מומחים" שהתייחסו ל"באג", לא ציינו שהוא קיים גם במהדורת Windows Me, שנכון לעכשיו עדיין נפוצה יותר מXP-. מטריד גם להבין בין השורות, שרובם לא טרחו לעיין בהודעה המאוד מפורטת שפרסמה מיקרוסופט בנושא. ומטריד גם לראות את ההיסטריה שבה מיקרוסופט עצמה התייחסה לפרשה, וכמה בקלות נוצר Hype כשהנושא קשור לאבטחה.
Windows XP עדיין ראויה לכל המחמאות שהעניקו לה בנושא האבטחה - אין ספק שליקוי האבטחה הזה נופח מעבר לכל פרופורציה. ולפני שמשתמשי לינוקס מתחילים לחבוט בנו - אנחנו ממליצים להם לקרוא דוחות לגבי מספר ליקויי האבטחה במערכות הפעלה השונות. בדו"ח האחרון שפרסם האתר SecurityFocus, למשל, נמצאו 96 ליקויי אבטחה בגירסאות לינוקס, לעומת 42 בלבד במערכות Windows NT/2000. אפילו בבדיקה של חבילות לינוקס פופולריות ועדכניות כמו Mandrake 7.2 ו-RedHat 7.0 נמצאו עדיין יותר ליקויים מאשר ב-Windows 2000.
האם זה אומר שלא כדאי להשתמש בלינוקס? בכלל לא. בדיוק כשם שאין סיבה שלא להשתמש ב-Windows XP, שהיא בסופו של דבר מערכת הפעלה חיובית בהחלט. הפרצה החדשה לא גרועה יותר מרבות אחרות, ויש עבורה כבר תיקון מתאים. איתה או בלעדיה, המחשבים שלנו לא יהיו מוגנים אם לא נשתמש בכלי אבטחה. וכאן מגיע העניין המטריד האחרון: מי לדעתם ירוויח מכל הפרשייה הזו - עם או בלי כתבה כמו זו שקראתם זה עתה - אם לא חברות האבטחה?