Nemyslím si, že som nikdy predtým videl taký rozruch nad jednoduchým vyhlásením. Bezpečnostné vyhlásenie spoločnosti Hewlett-Packard, ktoré priznáva, že jej sieťové tlačiarne uchovávajú posledných vytlačených dokumentov – a že ich môžu získať skúsení sieťoví hackeri, aby si ich mohli čítať vo svojom voľnom čase – zdá sa, že zasiahla hlboko akord. Dostávam e-maily od znepokojených vlastníkov firiem a malých spoločností na podporu siete. Toto oznámenie dokonca vyhnalo niekoľko „okruhových jazdcov“ jedného muža z ich obvyklého prostredia (to je štýlový priemyselný výraz pre ľudí, ktorí strávia deň alebo menej týždenne prechádzaním „okruhu“ spoločností, ktoré podpora). Každý chce vedieť, čo má robiť, a z e-mailov, príspevkov na fóre a blogu by ste si mysleli, že ide o narušenie bezpečnosti porovnateľné s tým, ako sa Rusi dostali do nášho bankového systému. Pozrime sa na problém od základov.
Prvý krok je dostatočne jednoduchý – akákoľvek sieťová tlačiareň (a HP je len jednou z približne 20 značiek, ktoré ponúkajú sieťové tlačiarne) obsahuje veľmi malý mozog, ktorý spracováva proces prijímania prúdu bajtov zo siete a ich vhadzovania papier. Tento mozog možno nie je príliš sofistikovaný, ale aspoň sa správa dobre v porovnaní so psími raňajkami. bol vytvorený kombináciou manky procesu spooleru Windows od Microsoftu s príliš vyvinutou tlačiarňou od dodávateľa, ktorá je náročná na bling vodičov. Som šokovaný počtom stránok, ktoré navštevujem, kde o tlači stále rozhoduje centrálny server, pričom pracovné stanice sa pripájajú k zdieľanému frontu tlačiarní, aby získali prístup. Môže to mať funkciu uplatnenia, že môžete vidieť, kto iný tlačí a kedy sa v jeho úlohách minul papier alebo inak pokazili vašu vlastnú úlohu, ale tieto dni je celkom nezvyčajné nájsť akýkoľvek tím – či už je to malá firma alebo len divízia veľkej korporácie – kde zdieľanie tlačiarne nie je záležitosťou osobného stretnutia vyjednávanie tak či tak, takže centralizované COM rozhranie pre zobrazenie fronty spoolerov sa stáva viac zdrojom podráždenia („prečo nemôžem vymazať prácu tej hlúpej ženy z fronta? Ten môj je dôležitejší!”) ako sprostredkovateľ pracovného toku.
Áno, ďakujem chalani, viem o nastavení stavu operátora frontu v Active Directory: to je jeden z tých s bohatými textúrami nočné mory kancelárskej politiky, ktoré považujem za takmer nemožné zapísať si do výkazu práce, a preto za ne účtovať peniaze navrhovanie. Je oveľa bezpečnejšie zaobchádzať s vašimi používateľmi ako s vinnými, kým sa nepreukáže, že sú nevinní, a nedávať im vôbec žiadne úlohy miestnej správy. Viem, čo povedia aj tradicionalisti – všetky tieto bezpečnostné nezmysly by neboli problémom, keby len ľudia kúpil lacnú tlačiareň a pripojil ju k zadnej časti počítača alebo servera, pričom jediným pripojením k serveru bolo USB siete. Tu balansujeme na pokraji generačnej priepasti, kde sú mladí ľudia zvádzaní pojmami ako „web printing“ – iniciatíva zameraná na pripojiť tlačiarne viac cez HTTP ako ktorýkoľvek iný protokol – zatiaľ čo starí ľudia medzi nami zbytočne spomínajú na zachytávanie portov LPT pomocou TSR vodičov. Ide o to, že staré aj nové možnosti jednoducho premiešajú základný problém z jedného piliera na druhý.
Problém je v tom, že ovládače tlačiarne sú vo svojej podstate nedôveryhodné – nie z hľadiska zabezpečenia, ale skôr z hľadiska stability operačného systému. Je pravda, že umiestnenie centralizovanej inštalácie ovládača tlačiarne na váš server znamená, že vždy, keď príde aktualizácia, musíte ju nainštalovať iba raz. Po použití tejto aktualizácie však každá havária zničí každý počítač a server, ku ktorému sú pripojené, čo je sotva želateľný stav.
