-
Ασφάλεια και Ευθύνη
-
Πρόσφατα, κατά τη διάρκεια του ταξιδιού μου προς Λονδίνο με σκοπό μια αμερικανική βίζα, και στην τετράωρη αναμονή για να έρθει η συνέντευξη με τον υπάλληλο της πρεσβείας, διάβασα το βιβλίο Beyond Fear του Bruce Schneier. Στο βιβλίο για να είμαι ειλικρινής δε βρήκα κάποιο ιδιαίτερο insight σχετικά με την ασφάλεια και την καθημερινή ζωή, ίσως γιατί απευθύνεται σε ανθρώπους που δέχονται χωρίς ενδοιασμούς τα μέτρα ασφάλειας που τους επιβάλλουν οι εκάστοτε υπεύθυνοι, και εγώ (όπως οι φίλοι μου πολλάκις έχουν ζήσει), όχι μόνο δεν είμαι τέτοιος, αλλά με τρώει ο κώλος μου να κρίνω συνεχώς το τι και το γιατί πίσω από κάθε τι που αυτεπάγγελτα δηλώνει ότι είναι για το καλό μου.
Το βιβλίο είχε ως σκοπό, μέσω τις διαπαιδαγώγησης γύρω από την ασφάλεια, να κάνει τον αναγνώστη να σκεφτεί ότι πολλά μέτρα ασφάλειας που του επιβάλλονται δεν αυξάνουν την ασφάλεια του, και κάποια από αυτά στην πραγματικότητα τη μειώνουν. Σε μένα προσωπικά, το βιβλίο είχε μάλλον το αντίθετο (θετικό κι αυτό) αποτέλεσμα: με έκανε να καταλάβω ότι κάποια μέτρα ασφάλειας, όσο ηλίθια και να είναι, πράγματι αυξάνουν την ασφάλεια και είναι καλύτερα από το να μην υπήρχαν καθόλου (υπό την προοπτική της ασφάλειας αυτής καθ’ εαυτής, χωρίς να λαμβάνουμε υπόψιν την ποιότητα ζωής κλπ), κι αυτό ίσως επειδή ήμουν λίγο τυφλωμένος από την κουταμάρα τους και έκρινα την ύπαρξη τους λίγο αυστηρά. Για παράδειγμα, μπορεί η απόφαση του να μη βγεις από το σπίτι σου να μη συνεπάγεται ότι είσαι απόλυτα ασφαλής (αφού τόσα και τόσα μπορεί να σου συμβούν μέσα στο σπίτι σου), ωστόσο η αλήθεια είναι ότι μειώνει την πιθανότητα να σου συμβεί κάτι.
Παρόλη λοιπόν τη χαλάρωση των απόψεων μου, όταν έμαθα ότι για να συνδεθεί ένα σύστημα Windows στα δίκτυα των εστιών των πανεπιστημίων του Stanford και του Stony Brook, απαιτείται από τον χρήστη του να εκτελέσει ένα αρχείο για να συνδεθεί στο δίκτυο, έγινα έξω φρενών! Δε λέω, αυτό το μέτρο αυξάνει κατά πολύ την ποιότητα των υπηρεσιών του δικτύου, αφού όλοι όσοι χρησιμοποιούν Windows είναι υποχρεωμένοι να έχουν όλα τα updates τα οποία κλείνουν τις κάτι εκατοντάδες τρύπες που έχει το χωρίς-service-pack σύστημα, οι οποίες χρησιμοποιούνται από script kiddies για να κάνουν επιθέσεις DDOS και άλλες κακόβουλες ενέργειες.
Αυτό όμως, πρώτον, δε συνεπάγεται πλήρη ασφάλεια, αφού, ως ένα απλούστατο παράδειγμα, χρήστες δηλώνουν τη διεύθυνση MAC του router τους, και πίσω από αυτήν έχουν ανενημέρωτα συστήματα τα οποία ανταλλάζουν torrents αρκετών TB. Αλλά πιο σημαντικό, είναι ότι δε συνεπάγεται ότι το πρέπει να το εκτελέσω εγώ, ο Δημήτρης. Πέραν του ότι δεν τρέχω καν Windows (δεν ξέρω ποια είναι η πολιτική για Linux συστήματα), αλλά και να έτρεχα, θα είχα φροντίσει προσωπικά το σύστημα μου να είναι ασφαλές και θα ήμουν διατεθειμένος να αναλάβω την ευθύνη για αυτό προσωπικά κι όχι να την παραπέμψω σε ένα ρομποτάκι.
[Δεύτερον, απαιτώ να έχω τον πηγαίο κώδικα αυτού που εκτελώ. Όχι μόνο γιατί μπορεί να μην εμπιστεύομαι αυτούς που το έγραψαν (τα ονόματα των οποίων δεν αναφέρονται πουθενά), αλλά επειδή μπορεί να μην εμπιστεύομαι πολλούς κρίκους στην αλυσίδα από την οποία έφτασε το αρχείο στον υπολογιστή μου, όπως για παράδειγμα, τον εξυπηρετητή από τον οποίο κατέβασα το αρχείο. Αυτό μπορεί να μην είναι απόλυτα σχετικό, ωστόσο δείχνει μια αδιαφορία προς τη διαφάνεια των διαδικασιών, και μια ενίσχυση της ιδέας του “all your action are belong to us”.]
Και όχι, δε μου αρκεί το “αν στείλεις ένα email στην ομάδα δικτύων, σιγά, θα σε αφήσουν να συνδεθείς απλά”. Θέλω ένα checkbox στο οποίο να μου επιτρέπουν να αναλάβω πλήρη ευθύνη για τα πεπραγμένα που βγαίνουν από την ethernet μου. Το να θεωρείς ότι πολλοί δεν έχουν τη γνώση να κάνουν κάτι σωστά είναι ένα πράγμα. Το να θεωρείς ότι κανείς δε διαθέτει ικανότητα ανάληψης ευθύνης για να το κάνει σωστά, είναι κάτι εντελώς διαφορετικό.
Προφανώς είναι δικαίωμα καθενός να κάνει ό,τι θέλει με το δίκτυο του. Από την άλλη, είναι δικαίωμα μου κι εμένα να βρίσκω μερικά μέτρα ασφάλειας άσκοπα, μερικές αποφάσεις αβάσιμες, και μερικούς ανθρώπους απλά ηλίθιους.
1 σχόλιο »
Σχολιάστε!
(το σχόλιο σας)
Αν κάνεις αναζήτηση για resnet θα βρεις σελίδες από βρετανικά πανεπιστήμια και τους κανονισμούς χρήσης του Διαδικτύου. Οι κανονισμοί αυτοί έχουν διαφορετική μορφή ανάλογα με το πανεπιστήμιο που δείχνει την ποιότητα του κάθε κέντρου πληροφορικής (computer centre).
Πιστεύω ότι πρακτικές όπως της χρήσης φιλτραρίσματος δικτυακών τόπων (http://uncyclopedia.org/wiki/Websense) είναι κάτι που θα χαρακτήριζα ως απολύτως μη αποδεκτό.