Útok hackerů na počítače novinářů a havárie letadla Boeing 737MAX

Když jsem psal předchozí článek o tom, že uživatel není nejslabším článkem IT bezpečnosti, tak se objevila informace o hackerském útoku na skupinu novinářů, kteří se věnují Rusku.

První co může čtenáře v této souvislosti napadnout jsou myšlenky na to, jak a proč to ti hackeři dělají. Jenže když se na celou věc podíváte pozorněji, tak zjistíte, že operační systémy a většina programů je ze Sillicon Valley v USA. Nebylo by jednodušší zatlačit na výrobce, než spekulovat bez jasných důkazů kdo se naboural do počítačů? Jistě, bylo by to jednodušší, jenže mnoho pseudo-odborníků muselo změnit názory, které prosazují minulých 5,10, 20 let.

Dokud software nezpůsobuje smrt lidí, tak proč něco měnit.

V souvislosti s aktuálními událostmi v oblasti IT (Cyber) bezpečnosti se nabízejí dvě porovnání, dva pohledy na rozdílné přístupy. Prvním je pohled na bezpečnostní incident a druhým je přístup k odpovědnosti za vady výrobku.

Rozdílný přístup č. 1 - Phishing

  Jen krátce vysvětlím o co se jedná. Phishing nemá v tomto případě nic společného s rybařením. Jedná se o zaslání zavirované zprávy nebo přílohy ke zprávě. Když na ni uživatel klikne nebo spustí, tak tím vlastně sám spustí instalaci viru. Drobné detaily nechám pro ajťáky :-))

  Mnoho let, i dnes „odborníci“ říkají, že za problémy s phishingem a následně s zatažením viru do počítače nebo interní sítě si mohou sami běžní uživatelé, kteří jsou nepozorní a neposlouchají „moudra“ IT Security odborníků.

  Pak ale nastane případ, že si zavirovanou přílohu spustí investigativní novináři ze skupiny Bellingcat a hned je vysvětlení úplně jiné. Problém prý není na staně běžhých uživatelů – novinářů, ale za vše mohou hackeři ve službách Ruska.

  Vynechám spekulace o politice a spekulace jestli útočili Rusové, Američani nebo Číňani. Zvláštní a velmi nebezpečný je v tomto případě dvojí metr na stejné nebo velmi podobné situace. Jednou si za problémy mohou běžní uživatelé ale když se stane stejná věc někomu jinému (novinář, politik, atd.) tak za to najednou mohou zákeřní hackeři ve službách cizí mocnosti??

  Místo svádění odpovědnosti jednou na nepozorné uživatele a podruhé na hackery, tak by investigativní novináři měli otočit svojí pozornost k výrobcům operačních systémů. Jak je vůbec možné, že 20 let nevyřešili problém s tím, že se do počítačů může nepozorovaně a bez vědomí uživatele dostat škodlivý program, virus, atd. To je podstatná otázka a na ni by nám měli odpovědět IT“odborníci“.

  Vedle rozdílných pohledů na zavlečení viru do počítače, tak jsou také rozdílné pohledy na konstrukční vady, testování a odpovědnost za výrobky.

Rozdílný přístup č. 2 - Porovnání Boeing 787, 737MAX a Windows XP až 10

rok 2014

  V roce 2014 měl, tehdy nový typ letadla Boeing 787 Dreamliner problém s palubními bateriemi a FAA (Federální úřad pro letectví v USA) zakázal provoz těchto letadel do vyřešení problému.

  O několik let později, v roce 2019, byl FAA poslední kdo se rozhodl zákazat provoz Boeingu 737MAX. Za několik let se změnilo chování kontrolního orgánu od předběžné opatrnosti a důsledné kontroly až k byrokratům, kteří před zákazem provozu chtějí nejdříve jasný důkaz o problému.

  Ve stejném období kdy byl zakázán provoz Dreamlineru, tak jsem prováděl analýzu slabin v operačních systémech a našel jsem několik desítek chyb ve Windows 8. Není to nic k chlubení, ale chyba v programu se může stát. Tragické bylo, že stejná chyba byla současně i ve staré verzi Windows XP, někdy dokonce i v Windows 2000. Několik z těchto chyb bylo velmi závažných a jejich zneužití by vedlo k nepozorovanému nabourání do počítače uživatele nebo serveru. Navíc ta chyba byla v systému víc jak 10 let. Za tu dobu nikdo nedělal revize a modernizace zdrojových kódů.

  Řeknete si chyba ve Windows je banalita, to nemůže nikoho zabít. Omyl, velký omyl, jedná se o software. Navíc zkušenosti a způsoby práce se mezi lidmi ze stejného oboru přenáší.

rok 2019

  V březnu roku 2019, v reakci na dvě letecké havárie zakazují úřady v Asii, v Evropě a až jako poslední i v USA provoz Boeingu 737MAX.

  Rychle bylo zjištěno, že příčina problémů a havárií je v stabilizačním systému MCAS. Stručně, příčina byla v málo a špatně otestované elektronice a především v řídícím software MCAS. Mezi příčinami, které vedly k haváriím 737MAX jsou dvě velmi vážné. První chybou bylo, že FAA se s úkoly, které byly spojené se schválením nového modelu 737MAX obrátila na externí spolupracovníky, kteří současně pracovali pro Boeing. Druhou chybou bylo, že software systému MCAS byl vytvořen tak nešťastně (špatně), že v něm chyběly kontroly chyb nebo závad na vstupním čidle náklonu letadla. Výsledkem byly dvě letecké tragédie a více jak 300 mrtvých.

  Ve stejném období, tedy jaro a léto 2019 se objevuje ve Windows série chyb, přičemž některé z nich jsou tak vážné (nebezpečné a zneužitelné), že firma Microsoft vydává opravu i pro starou verzi operačního systému Windows XP.  Chyby, vážné chyby se v operačním systému Windows objevují stále. Velmi často jsou to kritické a nebezpečné slabiny, které jsou společné i pro víc jak 10 let staré verze tohoto operačního systému.  Žádný úřad zatím netlačí na firmu Microsoft a na další výrobce (Google, Apple, atd.). Jedna z příčin může být v tom, že odborníci na úřadech získávají informace a úzce spolupracují s výrobci SW. Jak to dopadlo v případě FAA a testů Boeingu 737MAX jsem uvedl v předchozím odstavci.

  Vývoj letadel, obzvlášť dopravních letadel platil dlouhá léta za špičku v oblasti vedení projektů, v kostruktérské práci i v oblasti testů a samotné výroby.

  Na porovnání dvou časových úseků kdy se řešily chyby v Boeingu 787 a nyní v 737MAX je názorně vidět, že se způsob práce změnil i v tak citlivé a odpovědné oblasti jakou by měl být vývoj, testy a následné schvalování způsobilosti nových letedal. Dříve platilo, že zkušenosti s testováním a odhalováním chyb ze světa velkých a složitých systémů jakými jsou letadla se po čase, v přiměřené podobě přenášela do dalších oblastí lidské činosti. To se změnilo.

  Tragické a nebezpečné je, že způsoby a argumenty ze světa IT a software se přenáší do vývoje letadel. Už tam pouze chybí hláška, že ve verzi 2.0 to bude skutečně fungovat.

  Software už způsobuje smrt lidí, takže je čas pravidla a kontrolu změnit. Je čas se nad vzniklou situací zamyslet a začít jí řešit jinak než se to dělalo dodnes, protože dosavadní způsoby nefungují a situace se stále zhoršuje. Dnešní IT „odborníci“ nabízejí prázdné fráze místo skutečného řešení problémů. Navíc jak se ukazuje na případu Boieing 737MAX nebo DieselGate, tak nekvalitní způsoby práce z vývoje software, které jsou schované za moderní pozlátko / slupku, přebírají lidé i z jiných oborů a snaží se zákazníkům vnutit názor, že tak je to normální. Není a nesmí to být normální způsob práce.

Letadla už spadla, tak co novináři, politici a majitelé velkých firem? Počkáme až kvůli softwarové chybě vybuchne nějaká chemická továrna nebo to začneme řešit??