Problém, o kterém se nemluví, jako by neexistoval

Minulý týden byly zveřejněny červencové opravy chyb v operačním systému Windows 8.1. Některé z těchto chyb, přesněji tři z nich, se týkají i starého Windows Serveru 2003. V případě Windows je již téměř tradice, že se chyba týká jak nejnovější verze, tak i starších a starých verzí. Za zmínku stojí, že v žádném seznamu již není uvedeno, že by se některá z chyb (slabin) týkala i verze Windows XP. V dubnu 2014 společnost Microsoft ukončila podporu operačního systému Windows XP. Někdo tuto činnost nazývá technickou podporou, ve skutečnosti se jedná o opravu konstrukčních vad ve výrobku. Teď není čas diskutovat nad slovíčky, co je technická podpora a co je odpovědnost firem za vlastní chyby. Další vývoj ukáže, jaký pohled je a bude ten správný. Tedy, zda jsou deset let neopravené chyby a používání stejných částí zdrojového kódu (bez modernizace) v několika po sobě jdoucích verzích v pořádku nebo by tvůrci měli změnit svůj přístup a chovat se alespoň jako automobilky nebo farmaceutické firmy.

Podstatné je, že od dubna 2014 se již neobjevují informace o nových chybách ve Windows XP. Někdo může namítnout, že je zbytečné informovat o nových chybách, když autoři již tyto chyby neopravují a takové informace by posloužili pouze počítačovým podvodníkům. Ve skutečnosti si hackeři dokáží chyby ověřit sami. Nezveřejňování informací o chybách je z pohledu bezpečnosti a ochrany uživatelů velmi naivní, krátkozraké a vyvolává to falešný pocit bezpečí. Velmi alarmující je to v situaci, kdy na Windows XP stále ještě běží 20 -25 % stolních počítačů, notebooků a systémy v průmyslu. Zarážející je tento přístup i v porovnání s přístupem výrobců automobilů. Například společnost General Motors nedávno dostala vysokou pokutu za neřešení starých konstrukčních vad ve svých vozech.

Nejnovější seznam chyb a firmy, které provádějí kontrolu

V případě soukromých firem by nezájem o zkoumání starých chyb mohl být i částečně pochopitelný, prostě chtějí vydělávat. Zaměstnanci takových firem jsou tlačeni k vytváření zisku, takže jim nemusí zbývat čas na práci (testy starých verzí SW), která zisk přímo nevytváří. O chybách ve starých Windows XP ale mlčí i agentury placené ze státních rozpočtů různých zemí. Například informace o tom, že se chyby týkají i verze Windows XP, chybí i v databázi NVD (National Vulnerability Database), kterou zřídilo americké ministerstvo pro vnitřní bezpečnost. Vysvětlení, proč kontrolní systém takto funguje, neznám, ale mlčení o chybách ohrožuje 20-25% uživatelů PC po celém světě. 

Jak jsem došel k závěru, že jsou zatajovány informace, resp. nejsou testovány XPéčka?

K tomuto závěru jsem došel na základě dvou svých zkoumání. Jednak jsem použil exploit (zkušební program a popis útoku) pro nejnovější chyby, které se týkaly Windows Server 2003 a otestoval jsem s nimi i Windows XP Profesional. V případě chyb CVE 2014-1807 a CVE 2014-1817 byly testy úspěšné.

Druhou cestou bylo použití dlouhodobé statistiky chyb ve Windows Server 2003. V tomto operačním systému bylo za posledních více jak deset let zveřejněno 638 slabin. Naprostá většina z nich se týkala i operačního systému Windows Vista a novějších. Pouze výjimečně, přesněji v 6 z 638 případů se chyba týkala pouze samotného Windows Serveru 2003 nebo OS pro servery Windows Serveru 2003, 2008 a 2012. V minulosti se neobjevila žádná chyba, která by se týkala Windows Serveru 2003 i Windows Vista a současně se netýkala Windows XP.

Testováním exploitu i vyhodnocením statistik o dřívějších chybách jsem si potvrdil, že se chyby CVE 2014-1807, CVE 2014-1817 a CVE 2014-1818 týkají i Windows XP. Tím se ale zvýraznila otázka „Proč nikdo neinformuje o tom, že se chyba týká i verze XP?“. Je to úmysl, pohodlnost nebo pocit ICT „odborníků“, že mohou vše dělat podle sebe?

 Vysvětlení není jednoduché. Může to znamenat, že si firmy a úřady zaměřené na bezpečnost ICT více cení dobrých vztahů s výrobci SW než zájmů občanů, firem a vlád. Další možností může být obyčejná zahleděnost do vlastní dokonalosti a pocit, že není nutné respektovat stejná pravidla a stejné povinnosti jaké platí například v automobilovém průmyslu a při opravě vad v konstrukcích starých aut. Ať je důvod jakýkoliv, tak současný stav nahrává hackerům, teroristům a všem, kteří chtějí ohrožovat informační systémy našich firem a států. Pokud se vám zdá tento názor velmi silný, tak si vyhodnoďte následující skutečnosti.

1, V posledních letech je vidět odklon zemí jako jsou Rusko, Čína a další od programů společnosti Microsoft a od dalších programů, které pracují nad Windows.

2, Současně, ale Microsoft poskytl zástupcům vysokých škol a úřadů z Ruské federace a Číny zdrojové kódy od Windows a dalších programů.

Obě země podporují projekty pro zavádějí operačních systémů jiných než jsou Windows (především klony LINUXu) do informačních systémů svých úřadů a současně mají klíče (zdrojáky) od Windows.

 3, Neřešení dlouhodobých chyb ve Windows, ukončení zveřejňování oprav a nezveřejňování informací o nových chybách v XPéčkách náhrává soukromým i státním hackerům z Ruska, Číny a dalších zemí, kteří často stojí za organizací hackerských a špionážních útoků v EU a USA.

4, Teď práci hackerů z Ruska a USA usnadňují pracovníci vládních/ kontrolních agentur, kteří, ať již úmyslně nebo z důvodu své naivity, přestali informovat běžné IT administrátory a občany o nově objevovaných chybách ve starých XPéčkách, přestože útočníci jsou schopni si tuto informaci ověřit a mohou ohrozit 20-25% stolních počítačů a další systémy v průmyslu. 

Co s tím??

Pokud by se jednalo o chování stroje, tak by pomohl RESET a změna konfigurace. Jenže rozhodnutí dělají lidé, odborníci na ICT bezpečnost, tedy stejní lidé, kteří tvrdí, že operační systém je velmi složitý a výrobce vlastně za nic nemůže ručit. Jenže Dreamliner nebo A380 jsou také velmi složité stroje a přesto jejich výrobci za ně ručí.

Obor ICT se rozvinul bez systematického budování skutečných kontrolních mechanismů (antivir a kyber zákon jsou alibismus nikoliv řešení), tedy pravidel, která platí v hygienické službě nebo v civilním letectví. To je i vysvětlení jak je možné bez sankcí přestat informovat o konstrukčních vadách v operačním systému, který používá významná část uživatelů Internetu. Přístup, za který automobilka GM dostala pokutu, v případě Microsoftu a Windows prochází. Dokonce jej svým přístupem (neinformováním o chybách) potvrzují i vládní agentury.

V oboru ICT bezpečnosti je potřeba začít znova a lépe. Pomůže mi někdo nalézt RESET tlačítko?