Minulý týden byly zveřejněny červencové opravy chyb v operačním systému Windows 8.1. Některé z těchto chyb, přesněji tři z nich, se týkají i starého Windows Serveru 2003. V případě Windows je již téměř tradice, že se chyba týká jak nejnovější verze, tak i starších a starých verzí. Za zmínku stojí, že v žádném seznamu již není uvedeno, že by se některá z chyb (slabin) týkala i verze Windows XP. V dubnu 2014 společnost Microsoft ukončila podporu operačního systému Windows XP. Někdo tuto činnost nazývá technickou podporou, ve skutečnosti se jedná o opravu konstrukčních vad ve výrobku. Teď není čas diskutovat nad slovíčky, co je technická podpora a co je odpovědnost firem za vlastní chyby. Další vývoj ukáže, jaký pohled je a bude ten správný. Tedy, zda jsou deset let neopravené chyby a používání stejných částí zdrojového kódu (bez modernizace) v několika po sobě jdoucích verzích v pořádku nebo by tvůrci měli změnit svůj přístup a chovat se alespoň jako automobilky nebo farmaceutické firmy.
Podstatné je, že od dubna 2014 se již neobjevují informace o nových chybách ve Windows XP. Někdo může namítnout, že je zbytečné informovat o nových chybách, když autoři již tyto chyby neopravují a takové informace by posloužili pouze počítačovým podvodníkům. Ve skutečnosti si hackeři dokáží chyby ověřit sami. Nezveřejňování informací o chybách je z pohledu bezpečnosti a ochrany uživatelů velmi naivní, krátkozraké a vyvolává to falešný pocit bezpečí. Velmi alarmující je to v situaci, kdy na Windows XP stále ještě běží 20 -25 % stolních počítačů, notebooků a systémy v průmyslu. Zarážející je tento přístup i v porovnání s přístupem výrobců automobilů. Například společnost General Motors nedávno dostala vysokou pokutu za neřešení starých konstrukčních vad ve svých vozech.
Nejnovější seznam chyb a firmy, které provádějí kontrolu
V případě soukromých firem by nezájem o zkoumání starých chyb mohl být i částečně pochopitelný, prostě chtějí vydělávat. Zaměstnanci takových firem jsou tlačeni k vytváření zisku, takže jim nemusí zbývat čas na práci (testy starých verzí SW), která zisk přímo nevytváří. O chybách ve starých Windows XP ale mlčí i agentury placené ze státních rozpočtů různých zemí. Například informace o tom, že se chyby týkají i verze Windows XP, chybí i v databázi NVD (National Vulnerability Database), kterou zřídilo americké ministerstvo pro vnitřní bezpečnost. Vysvětlení, proč kontrolní systém takto funguje, neznám, ale mlčení o chybách ohrožuje 20-25% uživatelů PC po celém světě.
Jak jsem došel k závěru, že jsou zatajovány informace, resp. nejsou testovány XPéčka?
K tomuto závěru jsem došel na základě dvou svých zkoumání. Jednak jsem použil exploit (zkušební program a popis útoku) pro nejnovější chyby, které se týkaly Windows Server 2003 a otestoval jsem s nimi i Windows XP Profesional. V případě chyb CVE 2014-1807 a CVE 2014-1817 byly testy úspěšné.
Druhou cestou bylo použití dlouhodobé statistiky chyb ve Windows Server 2003. V tomto operačním systému bylo za posledních více jak deset let zveřejněno 638 slabin. Naprostá většina z nich se týkala i operačního systému Windows Vista a novějších. Pouze výjimečně, přesněji v 6 z 638 případů se chyba týkala pouze samotného Windows Serveru 2003 nebo OS pro servery Windows Serveru 2003, 2008 a 2012. V minulosti se neobjevila žádná chyba, která by se týkala Windows Serveru 2003 i Windows Vista a současně se netýkala Windows XP.
Testováním exploitu i vyhodnocením statistik o dřívějších chybách jsem si potvrdil, že se chyby CVE 2014-1807, CVE 2014-1817 a CVE 2014-1818 týkají i Windows XP. Tím se ale zvýraznila otázka „Proč nikdo neinformuje o tom, že se chyba týká i verze XP?“. Je to úmysl, pohodlnost nebo pocit ICT „odborníků“, že mohou vše dělat podle sebe?
Vysvětlení není jednoduché. Může to znamenat, že si firmy a úřady zaměřené na bezpečnost ICT více cení dobrých vztahů s výrobci SW než zájmů občanů, firem a vlád. Další možností může být obyčejná zahleděnost do vlastní dokonalosti a pocit, že není nutné respektovat stejná pravidla a stejné povinnosti jaké platí například v automobilovém průmyslu a při opravě vad v konstrukcích starých aut. Ať je důvod jakýkoliv, tak současný stav nahrává hackerům, teroristům a všem, kteří chtějí ohrožovat informační systémy našich firem a států. Pokud se vám zdá tento názor velmi silný, tak si vyhodnoďte následující skutečnosti.
1, V posledních letech je vidět odklon zemí jako jsou Rusko, Čína a další od programů společnosti Microsoft a od dalších programů, které pracují nad Windows.
2, Současně, ale Microsoft poskytl zástupcům vysokých škol a úřadů z Ruské federace a Číny zdrojové kódy od Windows a dalších programů.
Obě země podporují projekty pro zavádějí operačních systémů jiných než jsou Windows (především klony LINUXu) do informačních systémů svých úřadů a současně mají klíče (zdrojáky) od Windows.
3, Neřešení dlouhodobých chyb ve Windows, ukončení zveřejňování oprav a nezveřejňování informací o nových chybách v XPéčkách náhrává soukromým i státním hackerům z Ruska, Číny a dalších zemí, kteří často stojí za organizací hackerských a špionážních útoků v EU a USA.
4, Teď práci hackerů z Ruska a USA usnadňují pracovníci vládních/ kontrolních agentur, kteří, ať již úmyslně nebo z důvodu své naivity, přestali informovat běžné IT administrátory a občany o nově objevovaných chybách ve starých XPéčkách, přestože útočníci jsou schopni si tuto informaci ověřit a mohou ohrozit 20-25% stolních počítačů a další systémy v průmyslu.
Co s tím??
Pokud by se jednalo o chování stroje, tak by pomohl RESET a změna konfigurace. Jenže rozhodnutí dělají lidé, odborníci na ICT bezpečnost, tedy stejní lidé, kteří tvrdí, že operační systém je velmi složitý a výrobce vlastně za nic nemůže ručit. Jenže Dreamliner nebo A380 jsou také velmi složité stroje a přesto jejich výrobci za ně ručí.
Obor ICT se rozvinul bez systematického budování skutečných kontrolních mechanismů (antivir a kyber zákon jsou alibismus nikoliv řešení), tedy pravidel, která platí v hygienické službě nebo v civilním letectví. To je i vysvětlení jak je možné bez sankcí přestat informovat o konstrukčních vadách v operačním systému, který používá významná část uživatelů Internetu. Přístup, za který automobilka GM dostala pokutu, v případě Microsoftu a Windows prochází. Dokonce jej svým přístupem (neinformováním o chybách) potvrzují i vládní agentury.
V oboru ICT bezpečnosti je potřeba začít znova a lépe. Pomůže mi někdo nalézt RESET tlačítko?
Přidejte si Hospodářské noviny mezi své oblíbené tituly na Google zprávách.
Tento článek máteje zdarma. Když si předplatíte HN, budete moci číst všechny naše články nejen na vašem aktuálním připojení. Vaše předplatné brzy skončí. Předplaťte si HN a můžete i nadále číst všechny naše články. Nyní první 2 měsíce jen za 40 Kč.
- Veškerý obsah HN.cz
- Možnost kdykoliv zrušit
- Odemykejte obsah pro přátele
- Ukládejte si články na později
- Všechny články v audioverzi + playlist