Geekonomics: The Real Cost of Insecure Software

Χρόνος Ανάγνωσης: 4 λεπτά

Εδώ και λίγο καιρό ασχολούμαι επαγγελματικά με τον τομέα του cybersecurity και, τι πιο σύνηθες, προσπαθώ να αυτο-εκπαιδευτώ σε οτιδήποτε σχετικό με το industry. Στην αναζήτησή μου αυτή γνώρισα κόσμο μέσα από τα social media και μου προτάθηκε να διαβάσω το Geekonomics.

Το βιβλίο έχει γραφτεί το 2007 και κατά μία έννοια είναι ήδη outdated μιας και δεν αναφέρεται (ή δεν φαντάζεται) πολλά από τα δεδομένα της δικής μας τεχνολογικής πραγματικότητας: smartphones, social media, generative artificial intelligence, quantum computing. Αντίθετα, το βιβλίο καλύπτει την ιστορική περίοδο των δεκαετιών που προηγήθηκαν και ακολούθησαν το world wide web και πρακτικά τη δυνατότητα να έχουμε υπολογιστές που θα μιλάνε μεταξύ τους.

Για την ακρίβεια, το βιβλίο ξεκινά με μια παρέκβαση στην ιστορία του τσιμέντου και την καθιέρωση των εξονυχιστικών ελέγχων και υψηλών προτύπων για την χρήση του υλικού στην κατασκευή των υπονόμων του Λονδίνου, μια καινοτομία της εποχής που διασφάλισε την υγεία των κατοίκων της Βικτωριανής Αγγλίας και μετέτρεψε ασθένειες όπως τη χολέρα σε υποσημειώσεις του παρελθόντος.

Η θέση του συγγραφέα είναι ότι το software είναι το τσιμέντο του σήμερα, ένα παραγώμενο υλικό πάνω στο οποίο βασίζεται ο σύγχρονος πολιτισμός μας και φέρει πάνω του τεράστια ευθύνη για την ύπαρξή μας μιας και διαχειρίζεται (και είναι και το ίδιο!) όλες τις δημόσιες και ιδιωτικές υποδομές μας, την οικονομία, την υγεία, την επικοινωνία. Το επαναλαμβανόμενο αίτημα του συγγραφέα είναι ότι πρέπει η βιομηχανία του software να ακολουθεί τα ίδια και καλύτερα πρότυπα ασφαλείας και ποιότητας, διαφορετικά θα παραμείνει μια ανοιχτή πληγή επισφάλειας και συνεπειών για όλους μας.

Στη συνέχεια, μαθαίνουμε για διάφορα παραδείγματα όπως την ανάπτυξη των των crash test dummies, συζητάμε για τις συχνά αντικρουόμενες δυνάμεις της αγοράς και του κράτους, τη διαχείριση του κόστους της ασφάλειας έναντι της ταχύτητας της εξέλιξης, την διαχείριση της ευθύνης και τις νομικές έννοιες που διαπερνούν όλες τις βιομηχανίες και συγκεκριμένα αυτή του software, το αχανές κανονιστικό πλαίσιο, και φυσικά υπάρχει ένα ξεχωριστό κεφάλαιο για το ελεύθερο λογισμικό / λογισμικού ανοιχτού κώδικα.

Τι μου άρεσε

Το βιβλίο διακατέχεται από ατελείωτη θεωρία παιγνίων και σε αυτό με βρίσκει πολύ σύμφωνο – θεωρώ αδύνατο να μιλήσεις για την πολιτική οικονομία της παραγωγής (εν προκειμένω της παραγωγής software) χωρίς να σκέφτεσαι κάθε φορά ποιός κερδίζει τί, πώς μεταφέρεται η χρησιμότητα (utility) και πώς κατανέμεται η διοίκηση και η διαχείρισή του.

Ο Rice επιστρέφει συχνά στο επιχείρημα ότι προφανώς οι χρήστες ενός λογισμικού πρέπει να τηρούν θεμελιώδεις κανόνες ασφαλείας (π.χ. να μην μοιράζουν τους κωδικούς τους ελεύθερα στο διαδίκτυο), όμως σε κάθε περίπτωση, είναι τόσες φορές καλύτερη η γνώση του λογισμικού από την πλευρά των κατασκευαστών του που είναι αδύνατο να μην προσπαθούμε να λύνουμε τα προβλήματά μας στην ρίζα τους, εκεί που το λογισμικό σχεδιάζεται και παράγεται.

Όπως κάθε απόφοιτος οικονομικών που θέλει να σέβεται τον εαυτό του, έτσι κι εγώ λάτρεψα την εμμονή του Rice με τις περίφημες “εξωτερικότητες” (externalities), δηλαδή τα εμφανή ή αόρατα αποτελέσματα των ενεργειών κάθε οικονομικού όντος. Τον τελευταίο καιρό βασανίζομαι από την αδυναμία μου να διαχειριστώ τις εξωτερικότητες που προκύπτουν από την λειτουργία μου ως καταναλωτής αγαθών και την επιβάρυνση που προκαλεί στα οικοσυστήματά μας. Κάθε φορά που παίρνω takeaway καφέ λέω μια προσευχούλα για τα δεινοσαυράκια που έλιωσαν στο καλούπι του πλαστικού μου κυπέλλου, ή για τα καύσιμα που καταναλώθηκαν για να φέρουν τον καφέ μου από την Αιθιοπεία στην Ελλάδα και από εκεί στο καβουρδιστήριο και από εκεί στο καφέ δίπλα στο σπίτι μου. Οι εξωτερικότητες εξηγούν πάρα πολύ καλά πώς δουλεύει ο κόσμος μας και γιατί we are so fucked up – αλλά ας μην επεκταθώ περαιτέρω.

Αυτό που ο Rice δεν κουράζεται να μας λέει είναι ότι το software, όπως οτιδήποτε παράγεται από εκατομμύρια ανθρώπους σε μαζική κλίμακα, είναι εγγενώς σφαλματογενές, μιας και η βασική του επιδίωξη είναι να προσφέρει δυνατότητες (features) και να καλύπτει ανάγκες για όσους το χρησιμοποιούν. Εάν η ασφάλεια και η σταθερότητα του λογισμικού είναι ένα από αυτά τα prioritized feature (π.χ. software που τρέχει σε περιβάλλον δημόσιων υποδομών ή για τις ανάγκες του στρατού) τότε οι πιθανότητες αυτό το λογισμικό να εμπεριέχει δομικά κενά ασφαλείας είναι λιγότερες αλλά σε κάθε περίπτωση μη μηδενικές.

Verdict

  • Είναι το Geekonomics το καλύτερο βιβλίο πάνω στο θέμα του; Δεν το γνωρίζω, όπως σας είπα, τώρα ξεκίνησα να μαθαίνω κι εγώ.
  • Είναι ένα βιβλίο που αξίζει να διαβαστεί; Πιστεύω πως ναι, θεωρώ ότι αποτελεί μια πολύ ωραία και τολμώ να πω συναρπαστική εισαγωγή στην πολιτική οικονομία του software επομένως μπαίνει στη λίστα με τις προτάσεις μου.
  • Είναι ένα βιβλίο που μπορεί να διαβαστεί; Επίσης πιστεύω πως ναι, παρατηρώ ότι αρκετούς αναγνώστες τούς δυσκόλεψε η συνεχής επανάληψη του Rice γύρω από τα ίδια concept και υπό προϋποθέσεις θα μπορούσε να του είχε κόψει καμιά 50ρια σελίδες, ψέμματα μην πω. Ωστόσο, προσωπικά πιστεύω ότι με βοήθησε γιατί είμεθα άνθρωποι με attention span χρυσόψαρου και εν τέλει το θεώρησα χρήσιμο ως συγγραφική πρακτική.
Ad - Web Hosting from SiteGround - Crafted for easy site management. Click to learn more.

Αυτό είναι ένα affiliate link. Αν πατήσετε στο banner και κάνετε εγγραφή στην υπηρεσία, εγώ βγάνω κάποια λίγα λεφτάκια. Δεν χρειάζετε να το πατήσετε εάν δε θέτε hosting, αλλά ούτε εγώ κερδίζω κάτι αν το πατήσετε και τελικά δεν κάνετε εγγραφή στην υπηρεσία. Καλά να ‘μαστε.


Posted

in

by

Tags:

Comments

2 responses to “Geekonomics: The Real Cost of Insecure Software”

  1. Athanasios Avatar

    Διαφωνω με την αναλυση σου σε ενα κομβικο σημειο.

    Λες οτι επειδη το βιβλιο γραφτηκε το 2007 ειναι καπως outdated και παραθετεις μια σειρα απο τεχνολογιες – οριακα buzzword parade. Το θεμα ειναι οτι καμμια απο αυτες τις τεχνολογιες δεν αλλαζει τη βασικη ιδεα του βιβλιου – στην αλληλεπιδραση οικονομικων και ασφαλειας οχι μονο δεν εχουν καμμια επιπτωση αλλα ισα, ισα που η κυρια ιδεα του βιβλιου ισχυει και για αυτες τις τεχνολογιες – κατ’ ελαχιστο, θα μπορουσε καποιος να υποστηριξει οτι το κοστος του ανασφαλους λογισμικου γιγαντωνεται στις τεχνολογιες αυτες.

    Το γεγονος οτι ενα βιβλιο που γραφτηκε το 2007 και στεκει εν ετει 2024 ειναι σημαντικο για την ποιοτητα και την αξια αυτου του βιβλιου. Οταν βγηκε αυτο το βιβλιο (καθως και το New School of Information Security – που σου συνιστω να διαβασεις καπακια μετα απο αυτο) – η διασυνδεση ασφαλειας και οικονομικων ηταν στα σπαργανα – περα απο μια μικρη μεριδα ανθρωπων, οι μεν αγνοουσαν τους δε.

    1. Spyros Tzortzis Avatar
      Spyros Tzortzis

      Ευχαριστώ πολύ για το σχόλιο, επιστρέφω στο συγκεκριμένο σημείο για να επανορθώσω!

      Θα συμφωνήσω και εγώ ότι η ουσία του, τα παραδείγματα, η μεθοδολογία του βιβλίου αλλά και τα συγκεκριμένα μονοπάτια από τα οποία μας περνάει (νομικά, εξωτερικότητες, κλπ) είναι απολύτως σύγχρονα – και μάλιστα δεν υπάρχει κάποια ένδειξη στον ορίζοντα ότι θα αλλάξει κάτι ριζικά μέσα στις επόμενες δεκαετίας.

      Η αναφορά στο “outdated” είναι περισσότερο ένα σχήμα για να προλάβω κάποιους που θα θεωρήσουν από τη χρονολογία ότι το βιβλίο είναι “παλιό” και “ξεπερασμένο” – κάθε άλλο!

Leave a Reply

Your email address will not be published. Required fields are marked *