αθηνόραμα digital

Τετάρτη, 17 Μαΐου 2017

Οι Δικτυακές απειλές, η Microsoft και το μπαλάκι της ευθύνης

Η υπόθεση WannaCry επαναφέρει το ερώτημα: μπορεί ν' αφήνεται απροστάτευτη μία έκδοση Windows, έτσι απλά;

Σπάνιο πια να προκύψει στο Internet κάποιου είδους μεγάλο πρόβλημα - διαρροή ευαίσθητων δεδομένων, οικονομικό σκάνδαλο, ο,τιδήποτε με επιπτώσεις ευρύτερες - και να μην ξεκινήσουν την αμέσως επόμενη ημέρα οι συζητήσεις για την αναζήτηση ένοχου, φταίχτη ή/και αποδιοπομπαίου τράγου στον οποίο να μπορεί αυτό ν' αποδοθεί. Πόσο μάλλον για κάτι τόσο σημαντικό κι επιβλαβές όσο η μεγαλύτερη Δικτυακή επίθεση "εκβιασμού με λύτρα" (ransomware) που έλαβε ποτέ χώρα στην ιστορία του Internet, η οποία ξεκίνησε πριν από λίγα 24ωρα και δεν έχει ουσιαστικά ακόμη λάβει τέλος. Η Δικτυακή επίθεση αυτή, που ονομάζεται από τα μέσα ενημέρωσης ως WannaCry, έχει αναλυθεί μέχρι δακρύων από κάθε λογής σχετικό και άσχετο σχολιαστή, αλλά την ίδια την κοινότητα της τεχνολογίας την έχει διχάσει όσο ελάχιστα άλλα συμβάντα αντίστοιχα τα τελευταία 30 χρόνια. Ο λόγος: οι απόψεις για το προς τα πού πρέπει να κινηθεί το... "μπαλάκι της ευθύνης" είναι λυσσαλέα αντικρουόμενες.

Η ακολουθία των γεγονότων είναι - χωρίς κανένα περιθώριο συζήτησης γι' αυτήν τουλάχιστον - η εξής: η NSA ανακαλύπτει κενό ασφαλείας στα Windows XP, η NSA δεν ενημερώνει σχετικά την Microsoft αλλά κρατά την πληροφορία για τον εαυτό της (όπως κάνουν άλλωστε όλες οι μυστικές υπηρεσίες κυβερνήσεων για τους δικούς τους κοντόφθαλμους και ποταπούς σκοπούς), hackers παραβιάζουν συστήματα της NSA και ανάμεσα σε αυτά που κλέβουν είναι και αυτή η πληροφορία, οι ίδιοι hackers δημοσιοποιούν την εν δυνάμει επιβλαβή πληροφορία στο Internet για... οποιονδήποτε ενδιαφερόμενο, άλλοι hackers την χρησιμοποιούν για να υλοποιήσουν το κακόβουλο λογισμικό WannaCry που "κλειδώνει" τον Η/Υ του θύματος και ζητά χρήματα σε Bitcoin για να τον απελευθερώσει. Με τα "θύματα" όμως να αριθμούν μέχρι στιγμής περισσότερα από 230.000 PC σε 150 χώρες, πολλά εκ των οποίων σε δημόσιες υπηρεσίες μεγάλων χωρών. Αναφορές θέλουν να έχουμε ακόμη και νεκρούς στην Βρετανία, όπου το κρατικό σύστημα υγείας παρέλυσε, μην έχοντας πρόσβαση στους φακέλους ασθενών.

Η Microsoft βρέθηκε, όπως ήταν φυσικό, στο στόχαστρο των σχολιαστών αμέσως - παρά το γεγονός ότι ο τρόπος με τον οποίο αντιμετώπισε το ζήτημα ήταν ευθυγραμμισμένος με την πολιτική υποστήριξης που έχει καθιερώσει εδώ και δύο δεκαετίες. Στα Windows 7, 8.1 και 10 είχε ήδη καλύψει το σχετικό κενό ασφαλείας με τις ενημερώσεις του Μαρτίου και Απριλίου. Για τα Windows XP δεν ήταν, θεωρητικά, υποχρεωμένη να το κάνει καθώς η περίοδος υποστήριξής τους έχει παρέλθει από τον Απρίλιο του 2014. Ακριβώς επειδή πολλοί κυβερνητικοί οργανισμοί σε ολόκληρο τον κόσμο στηρίζουν ακόμη πολλές από τις υπηρεσίες τους σε H/Y με Windows XP, την δεύτερη μέρα της Δικτυακής επίθεσης διέθεσε ενημέρωση ασφαλείας, κατ' εξαίρεση, και γι' αυτά. Το κακό όμως είχε ήδη γίνει. Και η συζήτηση αναφορικά με το πόση ευθύνη φέρει ο αμερικανικός κολοσσός για όλα αυτά ήταν ολοφάνερα μόνο η αρχή για μία ευρύτερη συζήτηση.

Το αντικείμενο της ευρύτερης συζήτησης είναι αυτό: έχουν, τελικά, το δικαίωμα οι εταιρείες λογισμικού "έτσι απλά" να σταματούν την υποστήριξη των προϊόντων τους σε θέματα ασφαλείας ή όχι; Είναι, από την άλλη, πραγματικά υποχρεωμένες να το κάνουν; Είναι αυτό ρεαλιστικά εφικτό γι' αυτές ή ακόμη και δίκαιο προς αυτές να συντηρούν... ες αεί προϊόντα από τα οποία δεν έχουν πια έσοδα; Από την άλλη, δεν έχουν δικαίωμα οι καταναλωτές να ζητήσουν οι Η/Υ που αγόρασαν με το εκάστοτε λειτουργικό σύστημα προεγκατεστημένο, να είναι τουλάχιστον ασφαλείς από επιθέσεις τέτοιας κλίμακας; Αν ναι, γιατί; Αν όχι, γιατί όχι;

Η πολωμένη ατμόσφαιρα που επικρατεί αυτή τη στιγμή είναι προφανές πως δεν διευκολύνει την εξαγωγή συμπερασμάτων. Εκείνοι που θεωρούν πως ναι, ο κολοσσός του Redmond θα έπρεπε να μην προσθέτει πια άλλα χαρακτηριστικά στα Windows XP αλλά να τα κρατά ασφαλή με ενημερώσεις ασφαλείας πολλά χρόνια αφότου έχουν κυκλοφορήσει μεταγενέστερες εκδόσεις τους, βολικά ξεχνούν πως κάθε πολυεθνική ρεαλιστικά υφίσταται για το κέρδος και λειτουργεί με σκοπό αυτό - και πως οι πόροι καμίας τέτοιας δεν είναι... άπειροι. Εκείνοι που, από την άλλη, θεωρούν ότι "μια δεκαετία υποστήριξη είναι υπεραρκετή, μετά ο κόσμος ας αναβαθμίζει σε νέο λειτουργικό ή νέο PC" βολικά ξεχνούν πως η Microsoft αφενός έχει λάβει ουκ ολίγα χρήματα για κάθε μία από αυτές τις εκατοντάδες εκατομμύρια νόμιμες εγκαταστάσεις Windows και πως μέσα σε αυτά τα χρήματα βρίσκεται σαφέστατα και το κόστος υποστήριξης - απλώς κανείς μας δεν ξέρει ποτέ το πραγματικό κόστος, ούτε για τα Windows, ούτε για τις ενημερώσεις τους.

Παραμένοντας στο πλαίσιο του ρεαλιστικού: όχι, δεν μπορεί να ζητά κανείς από την Microsoft να προστατεύει τα Windows XP μέχρι... και το τελευταίο PC στον πλανήτη με το λειτουργικό αυτό να μην εκκινεί πια. Στο ίδιο ρεαλιστικό πλαίσιο, ωστόσο, την στιγμή που ο αμερικανικός κολοσσός γνωρίζει πως κρίσιμης σημασίας υποδομές σε κρατικούς μηχανισμούς πολλών χωρών στηρίζονται ακόμη σε Η/Υ με XP, δεν θα έπρεπε να είχε βρεθεί κάποιος τρόπος ώστε να μην προκύψουν φαινόμενα κλίμακας WannaCry; Ακόμη και... φορσέ τρόπος; Έπειτα είναι και η απτή πραγματικότητα που πρέπει να ληφθεί στα υπ' όψιν: τον Απρίλιο του 2014 το μερίδιο αγοράς των Windows XP ήταν 35% περίπου (μέσος όρος για ιδιώτες κι επιχειρήσεις). Κοινώς ένας στους τρεις πελάτες σου χρησιμοποιεί λειτουργικό σύστημα που "αφήνεις στον αέρα", έτσι απλά; Και περιμένεις αυτό να μην έχει κάποιου είδους επιπλοκή αργότερα; Όπως και το "ες αεί", έτσι και αυτό το ενδεχόμενο δεν είναι, κατά βάση, ρεαλιστικό.

Δεν λείπουν φυσικά εκείνοι που "χρεώνουν" την ζημιά του WannaCry στην NSA - η οποία έχει σαφέστατα μερίδιο ευθύνης, το οποίο τής καταλόγισε και η Microsoft - όπως κι εκείνοι που χρεώνουν την ηθική αυτουργία στους hackers που δημοσιοποίησαν το κενό ασφαλείας, εκείνοι που χρεώνουν την πρακτική αυτουργία βεβαίως στους hackers που υλοποίησαν το κακόβουλο λογισμικό, καθώς κι εκείνοι που θεωρούν πως οι χρήστες Windows XP θα έπρεπε είτε να είναι extra προσεκτικοί στην σύνδεση του PC τους με το Internet, είτε να το αποσυνδέσουν από αυτό εντελώς, ακριβώς για τέτοιου είδους ενδεχόμενα. Όλοι έχουν εν μέρει δίκιο: η ευθύνη για την όλη κατάσταση δείχνει να είναι ένα αμάλγαμα αλαζονίας, ανοησίας, συζητήσιμων επιχειρηματικών πρακτικών, αδίστακτης εγκληματικής σκοπιμότητας και απροσεξίας.

Οι... ποσοστώσεις μπορούν να συζητούνται για καιρό. Αυτό που δεν είναι καν υπό συζήτηση είναι το αν κάτι τέτοιο θα ξανασυμβεί: οι Η/Υ με Windows 7, για παράδειγμα, αγγίζουν αυτήν την στιγμή το ένα δισεκατομμύριο παγκοσμίως και η υποστήριξή τους λήγει το 2020. Θα χρειαστεί να περιμένουν... τόσο πολύ hackers με οποιοδήποτε κίνητρο προκειμένου να υλοποιήσουν Δικτυακή επίθεση τέτοια ή χειρότερη έως τότε; Την απάντηση έχουμε την αίσθηση πως την γνωρίζουμε, λίγο-πολύ, όλοι.


ΣΧΟΛΙΑΣΜΟΣ ΣΤΑ ΑΡΘΡΑ