· About 10 minutes read

Vírusar og neytendavernd

Ég rakst á í morgun grein á mbl.is þar sem fjallað er um úrskurð áfrýjunarnefndar neytendamála varðandi auglýsingu fyrir MacBook 13″ fartölvu sem birtist í Morgunblaðinu 14. október 2010, þar sem væri að finna þá fullyrðingu að í MacBook fartölvum væru „Engir vírusar“.

Úrskurður nefndarinnar byggðist á réttmætum kröfum um að sönnur yrðu færðar á því að það væru engir vírusar á MacBook fartölvum, í samræmi við 4. mgr. 6. gr. laga um eftirlit með viðskiptaháttum og markaðssetningu nr. 572005, en þó verður að segja frá tæknilegu sjónarmiði að þó svo að “engir vírusar” er stór og óeðlileg fullyrðing þá er “nánast engir vírusar” ekki svo langt frá sannleikanum (þótt markaðssetningarfólk myndi sennilega eiga erfitt með að sætta sig við slíkt orðalag)

Hvers vegna komast söluaðilar upp með að selja hugbúnað tiltölulega dýrt og bera svo enga ábyrgð þegar að hugbúnaðurinn hættir að virka?

Helstu rök kæranda virðast hafa byggst á auglýsingu Apple í Bandaríkjunum á Norton Antivirus 11 vírusvarnarforriti fyrir Apple Mac, og því að kærandi selji um það bil 5000-7000 tölvur á ári, sem vissulega fara frá honum víruslausar.

Spurningin er, hversu lengi eru þær víruslausar eftir að þær eru komnar í hendur neytenda, hvernig ber það saman við önnur stýrikerfi, og hvar liggur ábyrgð seljanda og neytendaverndar í þessu samhengi?

Framsetning auglýsingarinnar sé með þeim hætti að ekki sé hægt að skilja fullyrðinguna með öðrum hætti en að Apple tölvur fái ekki vírusa eins og aðrar tölvur geri. Þetta er auðvitað meingalið, en til að hægt sé að skilja þessa fullyrðingu almennilega þurfum við að gera okkur grein fyrir hvað er átt við með orðinu “vírus”.

Orðið vírus í samhengi tölvuöryggis er notað á tvennan hátt. Annars vegar um undirflokk spillihugbúnaðar (MalWare) sem hefur grófa smithegðun og vinnur skemmdarverk innan smitaðra tölva. Hinsvegar, sem er algengari skilningur meðal almennings, hver sá hugbúnaður sem misnotar tölvukerfi. Í þessum síðari skilningi fellur þó fleira en bara vírusar (m.t.t. fyrri merkingar), því til eru ýmsir aðrir flokkar, til dæmis:

  • MalWare – hugbúnaður sem vinnur skaða á tölvunni sem það keyrir á.
  • AdWare – hugbúnaður sem birtir auglýsingar gegn vilja notanda.
  • SpyWare – hugbúnaður sem njósnar um notendur, ýmist til að safna tölfræði um hegðun þeirra eða persónuupplýsingum til að stela peningum eða auðkenni.
  • Trojuhestar – hugbúnaður sem gerir þriðja aðila kleift að taka stjórn á tölvunni, oftast til að nota hana í BotNeti.
  • Ormar – hugbúnaður sem hegðar sér svipað og vírus, en felur sig ekki inní öðrum forritum heldur lifir sjálfstæðu lífi.

… og svona mætti lengi telja. Svo eru þessir flokkar ekkert endilega skýrt afmarkaðir, og eitt forrit getur verið í senn ormur, trojuhestur og malware, svo dæmi sé tekið.

Ef við skoðum hvernig tölfræðin leggst út fyrir þetta, þá sýnir skýrsla frá Kaspersky Security eftirfarandi sem algengustu “vírusa” ársins 2008:

Sæti Auðkenni veiru Fjöldi einstakra tölva sem
Kaspersky fann vírusinn á
1 Virus.Win32.Sality.aa 29,804
2 Packed.Win32.Krap.b 27,575
3 Trojan-Downloader.Win32.Small.acmn 25,235
4 Worm.Win32.AutoRun.dui 22,127
5 Trojan-Downloader.Win32.VB.eql 21,615
6 Packed.Win32.Black.a 19,586
7 Trojan.Win32.Agent.abt 17,832
8 Virus.Win32.Alman.b 16,799
9 Trojan-Downloader.JS.IstBar.cx 16,264
10 Trojan.Win32.Obfuscated.gen 15,795
11 Worm.VBS.Autorun.r 15,24
12 Trojan-Downloader.WMA.Wimad.n 15,152
13 Trojan.Win32.Agent.tfc 15,087
14 not-a-virus:AdWare.Win32.BHO.ca 14,878
15 Trojan-Downloader.WMA.GetCodec.c 14,638
16 Virus.Win32.VB.bu 14,452
17 Trojan-Downloader.HTML.IFrame.sz 14,247
18 not-a-virus:AdWare.Win32.Agent.cp 14,001
19 Email-Worm.Win32.Brontok.q 13,142
20 Worm.Win32.AutoRun.eee 12,386

Þegar listinn er skoðaður þá sést að 20 af 20 algengustu vírusum heims hafa áhrif á Windows stýrikerfið.

Þetta þýðir ekki að MacOS sé ónæmt, en þetta þýðir að það er full ástæða fyrir söluaðila á MacOS X að hreykja sér af því að stýrikerfið sitt sé svo gott sem veirulaust. En eins og kemur fram í sömu skýrslu,

Despite the growing popularity of Linux and MacOS, the number of malicious programs for these systems is barely increasing. This is largely due to the fact that in China, which is currently the global center of virus writing, these operating systems are not as popular as in Europe or the US. In addition, online games, which have become one of the main targets for cybercriminals, are very poorly represented on platforms other than Windows.

Bæði Linux og MacOS geta strangt til tekið fengið vírusa, en það er bara svo fjári ólíklegt. Nokkrir þættir spila þar inní fyrir utan kínversku áhrifin. Fyrst og fremst er öryggislíkanið á Linux og MacOS töluvert þróaðara – bæði einfaldara og betur útfært – en á Windows. MacOS er lítið annað en grafískt notandaviðmót byggt ofan á sérsniðinni útgáfu af FreeBSD kerfinu, en BSD kerfin, rétt eins og Linux, eru hönnuð á sama hátt og Unix stýrikerfið, sem hefur margítrekað sýnt sig vera konung stýrikerfanna. Áður fyrr – í útgáfum af MacOS fyrir X – var MacOS byggt á annarri hönnun, en síðan hafa öll helstu stýrikerfi heims færst að Unix módelinu, nema eitt. Microsoft Windows. (Reyndar, sem hliðarpunktur, þá hefur Windows hnuplað ýmsu úr BSD kerfum – til dæmis er TCP samskiptakerfið í Windows frá og með Windows XP að mig minnir tekið beint úr FreeBSD… en það er önnur saga)…

Eins og segir í svari við spurningu á Answers.com:

One of the primary reasons that Unix / Linux do not get as many viruses is that the ability of different users is limited. Non-technical users will be restricted in their ability to install, run, or modify software. More experienced users will usually be given more privileges. Without inexperienced users installing software at a whim, over 90 % of the threat of viruses and malware is removed.

Linux is even further protected against viruses because Linux is by nature a heterogeneous platform. To be effective, the program would have to be capable of affecting multiple versions of the kernel, and use exploits in a variety of programs.

Eða, eins og Scott Granneman, greinarhöfundur hjá SecurityFocus orðaði það, “To mess up a Linux box, you need to work at it; to mess up your Windows box, you just need to work on it”. Í þeirri grein – sem er að vísu frá árinu 2003, og margt hefur breyst til hins betra síðan, bæði í Windows og annarsstaðar – vísar hann í rannsókn sem breska stjórnarráðið lét gera um áhrif frjáls hugbúnaðar (höfundar voru Dr. Nic Peeling and Dr Julian Satchell). Þar segir:

There are about 60,000 viruses known for Windows, 40 or so for the Macintosh, about 5 for commercial Unix versions, and perhaps 40 for Linux. Most of the Windows viruses are not important, but many hundreds have caused widespread damage. Two or three of the Macintosh viruses were widespread enough to be of importance. None of the Unix or Linux viruses became widespread – most were confined to the laboratory

En þá komum við aftur að lykilspurningunni. Samkvæmt mælingum W3Schools er notkun stýrikerfa í Janúar 2011 þannig:

  • Win7 – 31.1%
  • Vista – 8.6%
  • Win2003 – 1.0%
  • WinXP – 45.3%
  • W2000 – 0.2%
  • Linux – 5.0%
  • Mac – 7.8%

Eða samtals 86.2% Windows. Þennan sama Janúarmánuð kom fram galli í Internet Explorer vafranum, sem fylgir sjálfvirkt með Windows stýrikerfinu og er, þrátt fyrir að hafa ekki þróast svo neinu nemi í um áratug enn algengasti vafrinn á markaðnum. Þessi galli hefur áhrif á allar útgáfur síðan 2003 í það minnsta, mögulega lengur, og gefur árásaraðilum kost á að leyna forrit inn á vefsíðum og láta það keyrast á tölvum sem nota vafra með þessum galla.

Miðað við þessa raun verður maður að spyrja sig hvar ábyrgðin liggur. Hvers vegna komast söluaðilar upp með að selja hugbúnað tiltölulega dýrt (ódýrasta OEM útgáfan af Microsoft Windows kostar um 10.000 krónur, dýrari pakkar fara alveg upp fyrir fimmtíu þúsundkallinn, þrátt fyrir að það sé búið að sýna fram á að þessir pakkar innihalda nákvæmlega sama hugbúnaðinn) og bera svo enga ábyrgð þegar að hugbúnaðurinn hættir að virka (mestmegnis út af mjög vel skrifuðu notandaleyfi, svokölluðu EULA), sér í lagi þegar að önnur stýrikerfi fást frítt og – eins og sýnt hefur verið hér að ofan – eru töluvert ónæmari fyrir vírusum?

Ef að þekking er til staðar þá mun lélegur hugbúnaður grisjast út af markaðnum.

Svo maður gerist svo ömurlega klisjukenndur að taka samanburðardæmi við annarskyns varning, þá er þetta sambærilegt við það að tiltekinn framleiðandi á mjólkurvörum yrði þekktur fyrir það að selja vörur sem mygla að jafnaði 60.000 sinnum hraðar en aðrar mjólkurvörur. Þær eru seldar alveg myglulausar, en eitthvað við þær gera það að verkum að um leið og umbúðirnar hafa verið opnaðar sprettur fram þeysimagnaður sveppur, en að sá aðili væri með svo góða samninga við verslanir að það fengust vart aðrar vörur.

Neytendavernd hefur ekki tekið til hugbúnaðar af ýmsum orsökum. Þetta er ungur iðnaður með tiltölulega flókið viðfangsefni, og sterkt regluverk á hugbúnaði myndi svo sannarlega hægja á framþróun þess til muna (eins og hefur gerst í flugiðnaðinum, þar sem reglugerðahyggjan hefur gjörsamlega kæft alla framþróun síðustu 40 árin). Ég er ekki að segja að við þurfum regluverk í kringum neytendavernd á hugbúnaði, en hinsvegar ætti neytendastofa svo sannarlega að gera úttekt á mismunandi stýrikerfum og hugbúnaðarpökkum og, þegar svona tölfræði ber upp, að taka skýra afstöðu með eða á móti tilteknum hugbúnaði.

Neytendur þurfa ekki vernd gegn lélegum hugbúnaði, en þau þurfa vernd gegn ósiðlegum viðskiptaháttum og umfram allt upplýsingar um það hvað þau eru að kaupa og hvaða aðrir valkostir eru í stöðunni. Ef að þekking er til staðar þá mun lélegur hugbúnaður grisjast út af markaðnum, en slíkt gerist ekki í umhverfi þar sem einn aðili framleiðir lélegustu vöruna en er með slíka einokunarstöðu á markaðnum að fæstir þekkja nokkuð annað.

Að lokum: Þess ber að geta að ég er alls ekki hlutlaus í þessu máli. Ég er búinn að nota Linux síðan 1997 og hef ekki notað Windows að neinu ráði 1999 ótilneyddur. Á þessum tíma hef ég orðið gjörsamlega ómeðvitaður um vírusa og annað nema þegar fjölskyldumeðlimir hringja í mig æstir og kvarta undan því að tölvan þeirra sé hrunin, og við því hef ég alltaf stungið upp á því að skipta um kerfi. Ég á í verulegum vandræðum með að skilja hvers vegna fólk þrálátast við að nota hugbúnað sem er oftar en ekki ónothæfur vegna ágangs vírusa og annars rugls. Systir mín sagðist ekki vilja nota Linux, því það væri bara fyrir nörda og enginn annar gæti notað það. Sú fullyrðing stóðst að einhverju leyti árið 1997, en í dag þykir mér það notandavænna en Windows, í fúlustu alvöru – þó það sé enn ekki jafn fágað og MacOS X.

Þetta er ekki bara árás á Windows. Ég get kvartað mikið yfir MacOS X líka, sem og Linux og hér um bil flest annað (spyrjið mig einhverntíman út í ACPI á Linux…), en það er verulega slæmt hvað þetta mikið notaða stýrikerfi ber með sér mikinn kostnað og fyrirhöfn, og að það sé heil stétt manna sem gerir sér það til atvinnu að leysa ekki vandamálin sem eru til staðar í því, heldur bara ýta þeim á undan sér.