Почему не выгодно продолжать обслуживание пользователей Windows XP

Автор: Тони Бредли
Оригинал статьи: Why continuing support for XP is bad math
Перевод: Александр Рябов

Цена, которую платит Microsoft за сохранение работоспособности Windows XP

Читатель Windows Secrets (Секреты Windows) недавно написал в комментариях, что более чем готов оплачивать постоянные сборы Microsoft за то, чтобы продолжалась поддержка Windows XP. Чтобы предоставлять существенную поддержку, подписка должна быть разумно оценена на среднестатистического пользователя ПК вероятно в 25 американских долларов в год.

Это интересный замысел. Сколько денег Microsoft могла бы загребать на продолжении поддержки XP? Давайте бегло прикинем. Есть примерно от 300 до 500 миллионов ПК во всем мире, все еще работающих на Windows XP; давайте возьмем среднее число и скажем, что есть 400 миллионов. Некоторую часть этого количества составляют правительственные учреждения и крупнейшие корпорации, которые уже отчисляют Microsoft значительную плату за продленную поддержку XP. 

Поэтому давайте разделим число пополам и скажем, что у нас есть 200 миллионов потребителей, все еще использующих неподдерживаемую уже Windows XP. Исходя из того, что большинство этих людей готовы заплатить 25 долларов в год, чтобы избежать перехода на более современную операционную систему, Microsoft могла бы иметь примерно 4 миллиарда долларов годового дохода.

Вряд ли это мелочь, особенно если учесть, что весь чистый доход Microsoft за последний финансовый квартал составил 5.66 миллиардов долларов. И не было бы практически никаких затрат для Microsoft, -  она уже исследует дефекты и разрабатывает патчи для поддерживаемых версий Windows. На первый взгляд, здесь выигрывают как Microsoft, так и пользователи Windows XP. 

Это не так, и в Microsoft знают это. Нет почти никакого шанса, что компания реализует какую-либо программу по XP, основанную на плате потребителей за поддержку. И мы все должны быть благодарны этому факту. Проблемы с Windows XP намного глубже, чем просто исправление известных уязвимостей во второй вторник каждого месяца. Кроме того, у Microsoft есть мотивы и интересы, которые выходят за рамки исправления уязвимостей XP и защиты от проникновений. 

ОС, которая теперь конструктивно небезопасна

Нет, Windows XP не была задумана как уязвимая, но в силу своей структуры она в течение долгого времени превращалась в таковую. Раньше, когда Интернет был относительно новым явлением, XP была прекрасной операционной системой. Она все еще замечательно работающая ОС — для приложений, которые не требуют доступа в сеть или веб-подключения.

Однако с точки зрения безопасности XP теперь просто очень устарела. Соединение ОС с Интернетом напоминает то, когда вы мчитесь по магистрали в автомобиле без ремней безопасности. Оно опасно не только для Вас, сегодняшнее вредоносное программное обеспечение подвергает опасности и любой ПК, совместно с которым используется сетевое соединение или соединение с Интернетом.

Внесение исправлений в XP не предоставит средств безопасности, введенных, начиная с Windows Vista и улучшенных в Windows 7 и Windows 8. Функции защиты, такие как Data Execution Prevention (DEP) и Address Space Layout Randomization (ASLR), не могут быть перенесены обратно на XP без того, чтобы прибегнуть к экстраординарным усилиям по кодированию. (DEP и ASLR не являются неуязвимыми, но они на самом деле обеспечивают дополнительные уровни защиты, которые вынуждают атакующего вкладывать значительно больше времени и усилий в разработку успешного вторжения.)

Более современные версии Windows также включают управление учетными записями пользователей (UAC), которое помогает защищать пользователей, работающих в режиме администратора. (Многие пользователи работают в режиме администратора по умолчанию.) UAC помогает соблюдать концепцию наименьшего количества полномочий: это заставляет даже администраторов подтверждать определенные изменения в Windows, такие как установка или обновление приложений. Большинство пользователей Windows XP работают в учетной записи уровня администратора, подвергая себя значительному риску. Это позволяет атакующему злоумышленнику запускать вредоносный код со всеми полномочиями администратора.

Каков итог? Во всем остальном — так же, Windows XP почти всегда в значительно большем риске, чем более новые версии Windows — даже когда присутствует одна и та же уязвимость во всех версиях. Этот факт может исказить рейтинги уязвимости Microsoft, потому что суммарная оценка любого определенного дефекта основывается на той ОС, которая находится под наибольшей угрозой. Таким образом, уязвимость, расцененная как критическая, может быть расценена как важная или даже средняя, если Windows XP убрать из уравнения.

Как XP держит в заложниках сторонних поставщиков

Обязательства по XP не ограничены исключительно обязательствами Microsoft. Здесь затронуты и сторонние поставщики аппаратного и программного обеспечения. Пока Microsoft поддерживает устаревшую операционную систему, поставщики аппаратного и программного обеспечения как правило тоже чувствуют себя обязанными. В том случае, если Microsoft введет подписку на платную поддержку в отношении отдельных пользователей XP, производители мониторов, клавиатур, веб-камер и программного обеспечения должны будут тоже продолжать инвестировать ресурсы, чтобы сохранить свои продукты совместимыми с Windows XP.

Научный сотрудник по безопасности Tripwire Тайлер Регули (Tyler Reguly) недавно сказал мне: "Не было случая, чтобы основной потребитель ОС получал столь же длительную поддержку, как в случае с Windows XP. Взгляни на серверные платформы - даже Солярис 8 и AIX 5 [оба были выпущены после XP] миновали даты своей кончины. Apple выпустила OS X 10.6 [Snow Leopard] в 2009-ом и забросила поддержку ОС меньше чем через пять лет — меньше чем половина этих 12-ти лет, на протяжении которых Microsoft поддерживала XP". 

Таким образом, наша формула стоимости не сводится к одной только Microsoft. Вовлеченность в ситуацию многих поставщиков аппаратного и программного обеспечения, ориентированных на ПК, делает расчеты намного более сложными. Если Вы учитываете всю экосистему Windows XP, то 4 миллиарда долларов дохода Microsoft могли бы быть нивелированы многими миллиардами потраченных средств другими поставщиками. 

Все меняется. Старое уходит, чтобы двигаться дальше

Боюсь показаться умником, но были вероятно люди, которые готовы были платить за продолжающийся выпуск восьмидорожечной ленты или дисководов в 5.25 дюймов для гибких дисков. Технологии развиваются, так же как и угрозы для этих технологий, — и в большинстве случаев чем более стара технология, тем серьезнее опасность. Большинство из нас очень довольны тем, что наши автомобили имеют ремни безопасности, зоны деформации, подушки безопасности и много подстаканников.

Пользователи Windows XP все еще могут продолжать использовать "пристарелую" ОС — так же, как и те, кто все еще будет некоторое время пользоваться серьезно устаревшим 3.5-дюймовым дисководом для гибких дисков. Но все специалисты по безопасности строго рекомендуют ограничить использование XP работой с автономными приложениями. Не соединяйте ее с Интернетом, особенно если при этом сеть используется совместно с другими ПК. Удачно запущенная инфекция из системы XP может легко перекинуться и на другие машины.

Независимо от того, решили ли вы продолжать использовать Windows XP и почему вы так решили, концепция оплаты за поддержку просто не складывается. Ни для пользователей, ни для поставщиков — даже за 4 миллиарда долларов в год.