Dieselgate a děravé Windows. Dva rozdílné přístupy

V uplynulých týdnech proběhly dvě události, které spolu na první pohled nesouvisí. V průběhu prezidentských voleb se bouřlivě diskutovalo o údajných hackerských útocích  na počítače demokratické strany. Počítače a hackeři jsou již tak daleko, že údajně mohou zasahovat do voleb v největší demokracii na světě.

Druhou událostí byla vyjádření eurokomisařky Věry Jourové, aby Volkswagen odškodnil své evropské zákazníky, kteří si zakoupili automobily s naftovými motory, které měly jiné emise na zkušebně a jiné v reálném provozu.

Jedná se o dvě na první pohled rozdílné a nesouvisející události. Opravdu pouze na první pohled. V obou případech se jedná o to, že jsou nebo mohou být poškozeni platící zákazníci a úředníci se snaží řešit následky místo hledání a vyřešení příčiny problému.

Největším hříšníkem v případě Dieselgate je prý Volkswagen jehož zástupci jasně přiznali, že jejich naftové motory, mají jiný režim spalování nafty v prostředí kdy se měří emise a jiný režim v běžném provozu. Do zákonů a norem je možné napsat téměř cokoli, co má šanci na schválení. Pak je, ale otázka zda je možné takové podmínky skutečně plnit. Až nerealisticky přísné podmínky vedou k tomu, že výrobci místo skutečného řešení technických problémů začnou hledat způsob podobný přísloví o vlku, který se nažral a koza zůstala celá. V celé aféře se trochu pozapomnělo na fakt, že vědci a konstruktéři narazili na limity dané fyzikálními a především chemickými zákony. Při hoření nafty vznikají spaliny, které je možné snižovat úpravou spalovacích komor v motorech nebo způsobem vstřikování směsi, ale stále se jedná o chemickou reakci (intenzivní hoření), při které budou vznikal spaliny.

Proto je velmi zvláštní, že v dnešní době existuje obor, ve kterém jeho tvůrci za nic neručí a dokonce velmi často tvrdí, že problémy není možné lépe vyřešit a odpovědnost za komplikace se v tomto oboru posledních 10 – 15 let přenáší na běžné uživatele. Říci řidiči, že za zvýšené emise dusíku může on, protože ve zkušebně motor splňuje normy, by bylo a je nepředstavitelné.

V případě počítačových programů je takový absurdní názor, ale naprosto běžná věc. Tvůrci operačních systémů se naučili přenášet odpovědnost za svoji špatnou práci na koncové uživatele.

Důkazem, že tvůrci nevěnují svým programům náležitou pozornost jsou chyby, které byly a jsou stále objevovány v operačních systémech, prohlížečích nebo v dalších programech až po pěti, deseti a více letech od uvedení konkrétních programů na trh. Důsledkem zneužívání, těchto dlouhodobých slabin, které byly ve Windows nebo prohlížeči, jsou sofistikované útoky hackerů a počítačových virů. Důvod je velmi jednoduchý, útočníci mají mnoho let na objevení slabiny a na vytvoření a otestování viru, který bude konkrétní slabinu zneužívat. V porovnání se spalinami z naftových motorů může někdo namítnout, že nejde o vážný problém. Je fakt, že software samotný neuvolňuje na rozdíl od naftových motorů škodlivé látky. Následky nekvalitních programů a s nimi spojených názorů „odborníků“ je možné vidět minimálně ve dvou rovinách.

První vidím v dopadu uvažování programátorů i běžných uživatelů. Ti jsou vychováváni tak, aby přijali názor, že kvalitně bez chyb a omylů je možné nebo dokonce se musí vyrábět hmotné výrobky, ale v případě tvorby počítačových programů to prý nemůže platit. Což je velký omyl, protože právě tvorba SW je čistě lidská činnost, která nemusí respektovat různé přírodní zákony. Chyba v programu je vždy důsledek špatného zadání, naprogramování nebo otestování konkrétního programu.

Druhý dopad vidím v tom, že počítačoví podvodníci mají velmi často k dispozici zdrojové kódy (konstrukční plány) některé z verzí operačního systému nebo prohlížeče. A i když se v některých případech jedná o zdrojové kódy ke starším verzím operačního systému, prohlížeče nebo jiného programu (JAVA, Flash, atd.) ale, protože autoři nemodernizují tyto zdrojové kódy, tak mají útočníci obrovskou šanci se přes dlouhodobě neopravené chyby dostat i do počítačů s nejnovější verzí takového programu.

Pokud by byla stejná konstrukční chyba v nejnovější Octavii, Monderu či Astře a v několika předchozích generacích stejného vozu, tak by z takového postupu a z šetření na špatném místě měl výrobce velkou ostudu a zákazníci by oprávněně chtěli vysvětlení a náhradu škody.

V prostředí počítačových programů se problém zatím přecházel zlehčováním celé situace a vysvětlením, že hlavním viníkem problémů jsou běžní uživatelé počítačů. Není divné, že 20 let je největším problémem uživatel počítače?

Od roku 2011 jsem dělal analýzy zveřejněných slabin v nejrozšířenějším operačním systému a prohlížečích. Hlavním cílem mého zkoumání bylo nalézt odpověď na otázku, jak se mohl sofistikovaný virus dostat do počítače nebo firemní sítě, když uživatelé byli obezřetní a dodržovali všechna doporučení.

V roce 2010 bylo zveřejněno 80 chyb v operačním systému Windows 7, z toho 54 chyb bylo ve stejné podobě i v předchozích Windows Vista a XP. Dokonce 31 chyb bylo společných pro verze od Windows 2000 až po verzi 7. V roce 2011 bylo ve verzi Windows 7 zveřejněno 96 slabin a z nich 83 slabiny byly společné i pro předchozí verze Windows Vista a XP. Dále v roce 2012 bylo ze zveřejněných 50 slabin se celkem 44 slabin společných i s předchozími verzemi Windows Vista a XP. Takže ze zveřejněných slabin jich bylo celkem 181 v systému déle jak 10 let.

V případě prohlížečů, modulu JAVA nebo Flash byla a je situace podobná. Někdo by mohl namítnout, že se jedná o stará data. Dnes je již téměř půl roku k dispozici Windows 10. Jenže za necelý půlrok již bylo zveřejněno 27 slabin v této verzi operačního systému, které jsou společné s předchozími verzemi Windows 8.1, 8, 7 a Vista. Jedná se o chyby, jejichž detailnější popis najdete, když do vyhledávačů zadáte číslo některé z chyb, například CVE-2015-2433, CVE-2015-2465, CVE-2015-2518, CVE-2015-2553 a další. Z toho je patrné, že přístup velkých SW firem se v čase nemění.

Už pouze jako „třešničku“ přidávám odkaz na stránku http://www.eeggs.com kde jsou uvedeny nalezené, ale původně skryté funkce některých počítačových programů. Na první pohled vypadají ty skryté funkce a prográmky úsměvně, ale ve skutečnosti takové věci neměly v programu být. S tím je ještě úzce spojená druhá otázka, když autoři daly do oficiálních programu věci jaké jsou zveřejněné na stránce http://www.eeggs.com, tak co dalšího tam ještě je a nebylo to zatím nalezeno.

Aféra Dieselgate má svá pokračování v USA. Objevují se podobné náznaky i v EU, především od eurokomisařky Věry Jourové. V případě naftových motorů stojí za zamyšlení jestli má smysl výrobce tlačit do podmínek, které nejsou schopni spolehlivě splnit ani s využitím nejnovějších znalostí z oblasti konstrukce motorů a spalování nafty. Volkswagen i celý automobilový průmysl aféru dieselgate zvládnou a pravděpodobně to bude jeden z důležitých impulsů pro změnu v typu používaných motorů.

Druhým, ještě větším otazníkem je celý obor tvorby software. Je mnoho programů, které používáme každý den a tyto programy mají vliv na naši práci, fungování výrobních společností, bank a dalších oblastí našeho života. Především operační systémy a prohlížeče si zaslouží minimálně stejně kritický pohled jako naftové motory. V nedávných týdnech se v USA hodně hovořilo o tom, že prý do prezidentských voleb zasáhli hackeři z Ruska. Windows i Android, tedy dva nejrozšířenější operační systémy vytvořily a prodávají firmy z USA. Je tedy velmi zvláštní, že tyto firmy nedokáží včas a kvalitně opravit chyby a slabiny ve svých výrobcích. Ve výrobcích, které vytvořili lidé jsou mnoho let neopravená zadní vrátka a slabiny. Tyto slabiny jsou místy, kterými útočí počítačové viry a hackeři.

Chyby v operačních programech a mizerná práce programátorů se staly i jedním z témat, která byly spojeny s prezidentskými volbami v USA. Chyby v operačních systémech ohrožují firmy a občany po celém světě, ale problém není v našich nedostatečných znalostech přírodních zákonů. Problém je v tom, že zástupci velkých softwarových firem již víc jak 15-20 let přesvědčují celý svět, že lépe o dělat nejde. Je to možné, protože chyba v programu je výsledkem špatné práce konkrétních lidí. Pokud je Volkswagen odpovědný za své čoudící motory, tak by měly být odpovědné SW firmy za své chyby v operačních systémech, prohlížečích a dalších programech, které ohrožují fungování firem a nově i důvěryhodnost prezidentských voleb.

Když změníme pohled na odpovědnost za SW podobně jak je to vymáháno v případě automobilů, tak během velmi krátké doby dojde k významnému zlepšení v oblasti počítačových virů a hackerských útoků.