Mesec: december 2018

Programska oprema oziroma programje – tista zadeva, ki iz kopice strojne opreme naredi računalnik uporaben človeku. Oprema, ki lajša življenje. Pa je res vedno tako?

Programska oprema je ravno tako kot vsi drugi sestavni deli informacijskega sistema primerna in deluje dobro, če se uporablja nadzorovano. To ne pomeni, da nas nekdo neprekinjeno spremlja, ko tipkamo in klikamo po računalniku, ampak da programska oprema deluje, kot smo želeli in da dela samo tisto, kar smo želeli in nič drugega. Aja – da dela tako, kot želimo glede vsebine in pravočasnosti, pa je seveda naš dnevni izziv…

Da bi bila uporaba programske opreme kar najbolj varna je smiselno upoštevati določena pravila uporabe oziroma smernice uporabe. Ker je že uporaba programske opreme lahko zapletena, bomo vsaj pravila poenostavili. Ker pravijo, da so vedno najboljše stvari tri, bomo predstavili tri pravila:

Prvo pravilo: Če nisi želel – ne nameščaj

Velik del spletnih groženj je osnovanih na eni od človekovih lastnosti – radovednosti. Ta se lahko s pridom uporabi tako pri pošiljanju okuženih priponk elektronske pošte, kot pri kraji prijavnih podatkov z metodo ribarjenja (»phishing«) ali nameščanju dodatnih modulov spletnega brskalnika ali celotne aplikacije.

Sugestije za nameščanje programske opreme se pogosto pojavijo preko pojavnih oken, ki se odprejo pri brskanju po spletni strani. Pojavna okna navadno pričnejo z dramatičnim opozorilom, ki se nanaša na varnost računalniške naprave – sporočila v smislu »Na vaši napravi smo zaznali preko 10 različnih virusov« ali podobno. Seveda preko istega okna ponujajo še nameščanje programske opreme, ki odkriva viruse in jih tudi počisti. Seveda to naredijo učinkovito in brezplačno, ker ste tako dober človek. No, tukaj lahko vidimo, da gre za očitno prevaro, kjer lahko hitro ugotovimo, da je ponudba enostavno preveč dobra, da bi lahko bila resnična – nekdo naj bi torej imel skupino strokovnjakov in programerjev, ki razvija in podpira super programsko opremo, ki je zaznala viruse in bi jih radi tudi brezplačno odpravili, ker so dobri po srcu. Alarm zdrave kmečke pameti nas opozarja, da nekaj ne bo najbolj v redu. Potem pa je tu še nekoliko bolj tehnični vidik vsega skupaj – res je, da se lahko naredi marsikaj, da pa bi takole enostavno preiskali trdi disk, ki ga uporabljate, brez kakršnegakoli dodatnega potrditvenega okna in brez da je trdi disk doživel daljšo obremenitev, pa je tudi nekoliko predrzna.

No, sugestije za nameščanje programske opreme, se lahko nekoliko bolj prefinjeno zakrijejo. Tako se nam lahko na primer med brskanjem po spletni strani, ki ponuja čudovito vrtno rastje, odpre okno, kjer nam ponujajo ogled čudovitega video posnetka najlepšega vrta po ocenah bralcev spletne strani. Seveda, brez pomisleka kliknemo, potem pa nas brskalnik prijazno opozori, da je za ogled potreben poseben kodek, ki ga je potrebno prenesti in namestiti. Zopet se nahajamo tam, kjer se nismo želeli – nameščanje programske opreme, ki je dejansko ne potrebujemo. Spet uporabimo malo razuma – z računalnikom je sicer možno gledati vse filme in videoposnetke, tokrat pa ne gre. Pri tem pa dobro vemo, da vsi razvijalci spletnih aplikacij stremijo k temu, da uporabljajo kar najbolj standardne rešitve, saj tako zagotavljajo, da je njihova vsebina vidna in berljiva kar najširšemu krogu uporabnikov oziroma obiskovalcev spletne strani.

K pravilu glede nameščanja programske opreme proti svoji volji je potrebno biti tudi nekoliko previden – nekatera opozorila, da ni nameščene ustrezne programske opreme, so povsem realna in na mestu. Tu je potrebno upoštevati napotek, da se programska oprema, ki se namešča preko spleta prenaša neposredno preko spletne strani proizvajalca programske opreme. V kolikor se izvaja nameščanje programske opreme preko portalov, kjer je programska oprema na voljo (dowload.com majorgeeks.com) je potrebno vedeti, da sicer upravitelj spletne strani pravi, da je vsa oprema, ki jo ponujajo preko portala, preverjena glede delovanja – vseeno pa je na tem mestu smiselno preveriti, kakšni so odzivi in komentarji uporabnikov, ki so programsko opremo namestili in jo uporabljajo.

Ja – da ne pozabim. Ko prejmete sporočilo elektronske pošte, da je potrebno namestiti kakšno programsko opremo zaradi pomoči ali funkcionalnosti prijave v spletno bančništvo, družbena omrežja, spletno pošto ali podobno, prosim, da ne klikate na povezave, ki so navedene v sporočilu elektronske pošte, ampak, da se oglasite na spletni strani in tam preverite resničnost potrebe po nameščanju programske opreme. Saj veste… …phishing.

Drugo pravilo: Če si namestil – posodabljaj

Redno posodabljanje predstavlja eno osnovnih pravil kibernetske varnosti. Tako kot vsak moški ve, da je potrebno vsake toliko posodobiti vozni park in tako kot vsaka ženska ve, da je potrebno vsake toliko posodobiti zbirko čevljev in celotno kuhinjo, tako ve tudi vsak informatik, da je potrebno (poleg voznega parka) tudi redno posodabljanje programske opreme. In tako ve tudi vsaka informatičarka, da je potrebno poleg čevljev in pohištva nadgraditi tudi programsko opremo.

Večina neinformatikov misli, da se posodabljanje programske opreme nanaša zgolj in samo na operacijske sisteme – narobe.

Posodobitve programske opreme se poleg posodobitev operacijskega sistema (po domače vindovsov) nanaša tudi na ostalo programsko opremo, ki je nameščena na računalniku. Napadalci pogosto uporabljajo za zlorabe računalnikov in za izvajanje nepooblaščenih dostopov ravno standardne pakete programske opreme, ki jih ima nameščenih večina Zemljanov (Java, Adobe PDF Reader, Flash, QuichTime player…). Proizvajalci te programske opreme sicer nekajkrat letno izdajo nove posodobitve. Nekaj časa po izdaji posodobitev (to je lahko nekaj dni ali nekaj tednov) nekateri od teh programov tudi sami opozarjajo, da bi bilo potrebno izvesti nadgradnje ali posodobitve. Nekako očitno se nam zdi, da tovrstno opozarjanje na posodobitve ni najbolj učinkovito. Nekateri proizvajalci programske opreme so prepoznali to pomanjkljivost in pripravili in razvili programske pakete, ki opozarjajo na zastaranost opreme. Primer tovrstnega programa je na primer Secunia Personnal Software Inspector, ki ga poleg dobrega delovanja odlikuje še brezplačnost. Program deluje na način, da redno izvede pregled nameščene programske opreme, nato pa preveri stanje verzij in sporoči glede potrebnih posodobitev. Obstajajo tudi druge rešitve, kot je na primer FileHipo.

Tretje pravilo: Če več ne potrebuješ – odstrani

Programska šara predstavlja enega najpogostejših razlogov, da računalnik ne deluje skladno s svojimi zmogljivostmi strojne opreme. Nekateri proizvajalci strojne opreme opremijo svoje računalnike z različnimi paketi neuporabne programske opreme, ki pa zasede veliko diskovnega prostora in delovnega pomnilnika, končni uporabnik pa tovrstne programske opreme niti ne uporablja, niti ne želi uporabljati. Povprečen uporabnik si preko cikla uporabe namesti na računalnik še kupe dodatnih vtičnikov, aplikacij in neuporabne programske opreme, ki se zbira skozi mesece in leta uporabe računalnika in seveda drastično vpliva na delovanja računalnika. Veliko programov je določenih na način, da se njihovo delovanje sproži neposredno ob zagonu računalnika, kar pomeni, da se zaganjajo tudi ob vsakem ponovnem zagonu računalnika. In vemo, da je potrebno čakati. Čakati. In čakati. Približno tako, kot je potrebno čakati barvo, ki se mora posušiti… Zavedati se je potrebno tudi, da več programov, kot je nameščenih na računalniku, več programov je potrebno tudi posodabljati. Tipičen primer takšnega programskega paketa je Java, ki predstavlja ogromen programski paket, ki se prenese enkrat, ker ga potrebujemo za zagon katere od aplikacij, na njegovo posodabljanje pa pozabimo, oziroma ga zaradi velikosti paketa niti ne izvajamo. Seveda pa to vedo tudi napadalci in s pridom izkoriščajo ravno takšne namestitve programske opreme. Priporočilo – če ne potrebuješ Jave, jo odstrani in jo namesti, ko jo zopet potrebuješ. Če celovita odstranitev Jave ne more biti izvedena, potem je smiselno, da onemogočiš njeno izvajanje v spletnem brskalniku.

Kako pa je to urejeno v poslovnem okolju?

Enostavno. Skoraj celoten nadzor nad tem področjem ima IT služba. Računalniška oprema je zaradi zagotavljanja ustreznega nivoja varnosti nastavljena na način, da nameščanje programske opreme ni omogočeno (prvo pravilo). Seveda obstajajo določene možnosti, kako to pravilo zaobiti, vendar to deluje zgolj za določene sisteme in rešitve. Več ne smem povedati.

Posodobitve operacijskih sistemov in programske opreme (drugo pravilo) se v poslovnih okoljih izvajajo centralizirano in nadzorovano. To pomeni, da se centralno določi, katere posodobitve se nameščajo kdaj na katere računalnike. Tisti drugi del, ki pa omenja nadzor, pa dejansko pomeni, da se posodobitve najprej namestijo na določen testni obseg računalnikov, kjer se potem preveri ustreznost izvedbe in delovanja opreme po izvedenih posodobitvah. Šele če vse deluje kot je predvideno, se posodobitve namestijo na širok krog uporabnikov informacijskega sistema organizacije.

Če pogledamo informacijski sistem organizacije preko vidika odstranjevanja programske opreme, ki se ne uporablja, je tu zadeva nekoliko enostavnejša in nekoliko kompleksnejša. No, tole ravno ni najbolj razumljivo – torej – najprej je potrebno razumeti, da se programske opreme, ki se ne uporablja na računalnike, niti ne namešča. Tako iz varnostnih kot tudi iz ekonomskih vidikov – vsaka namestitev in vsaka licenca se na določen način plača. Plača se proizvajalcu, vzdrževalcem, analitikom… vsem. To ja ta – enostavnejši del. No, kompleksnejši del pa je spremljanje uporaba programske opreme, ki se izvaja sistematično zaradi optimizacije licenc programske opreme. Takšno spremljanja je del sistematičnega upravljanja korporativnih informacijskih sistemov in ne predstavlja nič posebej novega ali drugačnega. Je del dobrega gospodarjenja.

Aha – še Java. Jave v večini poslovnih okolij ne marajo. Poleg navedenega ima še eno zelo muhasto lastnost – določene aplikacije za delovanje zahtevajo določeno različico Jave. To v praksi pomeni, da je potrebno imeti za delovanje nekaterih aplikacij potem nameščeno še varnostno sporno podporno programsko opremo.

OK. Prebral si do konca. Videl si, da za varno uporabo programske opreme v poslovnih okoljih pravzaprav relativno dobro skrbijo IT sistemci. Zakaj sem potem to pisal in zakaj si ti to bral? Enostavno – zdaj nekatere omejitve uporabe informacijskega sistema tudi razumeš in jih lažje sprejmeš. Jaz pa sem tole napisal, ker mi ni vseeno zate in za tvoje znanje.

Izsek nekega drugega dialoga

A: Kako pa imaš zadeve urejene doma?
A: Aha, vsi lahko nameščajte vse. Ja, ja, razumem. Rabite…
A: Kaj sicer delaš z računalnikom doma? Zakaj ga uporabljaš?
A: Aha, nič posebnega – malo surfanja, pošta in plačevanje položnic. Klasika.
A: Si že kdaj slišal za kraje identitete, kraje prijavnih podatkov, škodljivo programsko opremo?
A: Aha, to se tebi ne bo zgodilo, ker si mala riba…

ali pa vzporedno razmišljanje – zakaj točno:

Lepo je, če razmišljamo vedno. Zelo lepo je, če razmišljamo tudi taktat, ko uporabljamo računalnik. Pametno pa je, če razmišljamo o pravih stvareh.