Kathimerini.gr
Βίκυ Κατεχάκη
Το χάος που προκάλεσε την περασμένη Παρασκευή η εμφάνιση της «μπλε οθόνης του θανάτου» στα Windows –κατά τη διάρκεια αναβάθμισης λογισμικού– με σοβαρά προβλήματα λειτουργίας σε αεροδρόμια, νοσοκομεία, μεταφορικές εταιρείες και επιχειρήσεις, ανέδειξε τη νέα πραγματικότητα στον αυτοματοποιημένο –πλέον– τρόπο ζωής μας. Ναι, τα πληροφοριακά συστήματα σε λογισμικά μπορούν να έχουν κενά ασφαλείας και να είναι ευάλωτα. Ακόμη κι αν πίσω από τέτοια κενά βρίσκονται κορυφαίες εταιρείες κυβερνοασφάλειας στον κόσμο όπως στην προκειμένη περίπτωση η Crowdstrike, η οποία κατέχει ένα σημαντικό μερίδιο εσόδων της διεθνούς αγοράς στο cyber security και έχει βασικό της πελάτη τη Microsoft.
Πρέπει να είμαστε προετοιμασμένοι από εδώ και στο εξής πως αυτό που θεωρούμε ως δεδομένο ενδέχεται τουλάχιστον για ένα σύντομο διάστημα να μη λειτουργεί.
«Οσο περισσότερο γινόμαστε “online”, αυτά είναι πιθανό να συμβαίνουν και θα συμβαίνουν», λέει στην «Κ» ο Σταύρος Μένεγος, μηχανικός πληροφοριακών συστημάτων και λογισμικού, που διατηρεί τον ρόλο του Microsoft Regional Director για την Ελλάδα. «Τα συστήματα που ετοιμάζουν τη διανομή μιας έκδοσης λογισμικού την τελευταία πενταετία έχουν αυτοματοποιηθεί. Δεν αποκλείεται ακόμη κι αν δεν πατήσει κάποιος το κουμπί για να διανείμει μια έκδοση, το σύστημα να λάβει κάτι ημιτελές και να το στείλει από λάθος λόγω αυτοματοποίησης. Πρέπει να είμαστε προετοιμασμένοι από εδώ και στο εξής πως αυτό που θεωρούμε ως δεδομένο ενδέχεται τουλάχιστον για ένα σύντομο διάστημα να μη λειτουργεί».
Οι κίνδυνοι της επόμενης μέρας
Η τελευταία έκδοση λογισμικού της Crowdstrike που έκανε “roll out” στις 19 Ιουλίου, με σκοπό να θωρακίσει τα συνδεδεμένα συστήματα από ιούς και κακόβουλες επιθέσεις, πέτυχε –ως ειρωνεία– το αντίθετο. Συνολικά 8,5 εκατομμύρια συσκευές που βασίζονται στο λειτουργικό σύστημα Microsoft Windows, όπως ανακοίνωσε η ίδια η εταιρεία, επηρεάστηκαν από αυτή τη δυσλειτουργία. Ακόμα, χιλιάδες συστήματα επιχειρήσεων παγκοσμίως προσπαθούν να επανέλθουν στην κανονικότητα, χωρίς ωστόσο να είναι βέβαιο ότι δεν θα υπάρξουν και παράπλευρες απώλειες.
«Όσο περισσότερο γινόμαστε “online”, τέτοια περιστατικά θα συμβαίνουν», λέει στην «Κ» ο Σταύρος Μένεγος, μηχανικός πληροφοριακών συστημάτων και λογισμικού, που διατηρεί τον ρόλο του Microsoft Regional Director για την Ελλάδα.
«Οι “παρενέργειες” δεν αφορούν μόνο τον τζίρο που χάθηκε και τις εργατοώρες που φτάνουν τα δισεκατομμύρια, αλλά και τη διαχείριση των ζημιών εκ των υστέρων. Κάποιες επιχειρήσεις χρειάστηκε να αποκαταστήσουν το “back up” πριν από τα ξημερώματα της περασμένης Παρασκευής που σημαίνει ότι κάποιες πληροφορίες όσο “φρέσκο” κι αν ήταν αυτό το “back up”, έχουν χαθεί», τονίζει ο κ. Μένεγος.
Ο ίδιος επισημαίνει έναν ακόμη σοβαρό κίνδυνο μετά τη μεγαλύτερη κατάρρευση πληροφοριακών συστημάτων που έγινε ποτέ για τον οποίο μάλιστα προειδοποίησε από την πρώτη στιγμή και ο διευθύνων σύμβουλος της Crowdstrike, Τζορτζ Κουρτς.
«Αμέσως μετά το μπλακ άουτ, κυκλοφόρησαν ψευτο-ιστοσελίδες –όπως συμβαίνει με το πλιάτσικο που ακολουθεί τις θεομηνίες– οι οποίες διέδιδαν ότι είναι η “υποστήριξη της Crowdstrike”. Εάν είσαι μια μικρή εταιρεία, θα ψάξεις να βρεις στο διαδίκτυο οποιονδήποτε προκειμένου να σε βοηθήσει στη χειροκίνητη διαδικασία αποκατάστασης με κίνδυνο αυτοί οι ψεύτικοι “σωτήρες” να εκμεταλλευτούν την κατάσταση πανικού στην οποία βρίσκεσαι και αποκτώντας πρόσβαση στο PC και στα συστήματά σου να κλέψουν στοιχεία της εταιρείας».
Τα αναπάντητα ερωτήματα
Ειδικοί που προσπάθησαν να εκτιμήσουν τι πήγε στραβά τα ξημερώματα της Παρασκευής, τονίζουν ότι εταιρείες του μεγέθους της Crowdstrike –αλλά και μικρότερες ακόμη– συμβαίνει (και όχι σπάνια) να προσθέσουν μία αλλαγή της τελευταίας στιγμής προτού στείλουν μια νέα έκδοση λογισμικού, χωρίς αυτό να σημαίνει ότι το κάνουν παράτυπα. Δεν αποκλείουν ωστόσο να έγιναν κανονικά όλα τα stress tests, και να προέκυψε κάποιο λάθος κατά τη διαδικασία του ποιοτικού ελέγχου. Σε κάθε περίπτωση, μερικές μέρες μετά, εξακολουθούν να αιωρούνται κάποια ερωτήματα.
Το πρώτο, σύμφωνα με τον Θόδωρο Καρούνο, ερευνητή στο ΕΜΠ και μέλος του Δ.Σ. του Οργανισμού Ανοιχτών Τεχνολογιών, απευθύνεται τόσο στην Crowdstrike όσο και στη Microsoft που διαθέτει το λειτουργικό σύστημα.
«Γιατί δεν ελέγχθηκε διεξοδικά μία αλλαγή στο λογισμικό και επέτρεψαν αυτό το λογισμικό να κυκλοφορήσει; Αυτό στη συγκεκριμένη περίπτωση δεν αφορά μόνο την Crowdstrike, αλλά και τη Microsoft γιατί θα έπρεπε και η ίδια να ελέγχει το λογισμικό το οποίο διατίθεται αυτόματα σε εκατομμύρια χρήστες παγκοσμίως. Πού απέτυχαν αυτές οι διαδικασίες;»
Ενα δεύτερο ερώτημα που θέτει ο μηχανικός πληροφοριακών συστημάτων και λογισμικού Σταύρος Μένεγος είναι ότι «εφόσον –όπως πιθανολογείται– έγιναν αυτές οι αλλαγές της τελευταίας στιγμής, ποιες διαδικασίες δεν λειτούργησαν σωστά ώστε να αποτραπούν;»
Ο ίδιος θέτει ένα τελευταίο ερώτημα με αφορμή ένα σχόλιο που κυκλοφόρησε στον χώρο των προγραμματιστών: «Είναι ειρωνικό πως το anti–virus αποδείχθηκε ότι ήταν το virus».
«Επί της ουσίας είναι σωστό. Τα προγράμματα άμυνας και ασφάλειας είναι το ίδιο νόμισμα από την άλλη πλευρά. Παίζουν στα ίδια “ταμπλό” που παίζουν και οι χάκερ. Το ερώτημα είναι, κάνεις χωρίς αυτά; Είναι μεγάλο το κόστος και πρέπει να φροντίσουμε να μειώνεται, όμως μπορούμε να έχουμε ασύνδετους υπολογιστές;»
Ζητούμενο η ψηφιακή ανεξαρτησία
Ο ερευνητής του ΕΜΠ Θόδωρος Καρούνος πάει ένα βήμα παρακάτω. Για τον ίδιο, προβλήματα όπως αυτό που δημιουργήθηκε από τη διανομή του ελαττωματικού λογισμικού της Crowdstrike μπορούν στο μέλλον να αντιμετωπιστούν με τη χρήση ανοιχτού λογισμικού.
«Αυτή είναι η λύση, δεν υπάρχει κάποια άλλη. Θα πρέπει σε κρίσιμες υποδομές –και όχι μόνο– να επιλέγεται ανοιχτό λογισμικό το οποίο ήδη χρησιμοποιείται στο 70-80% των υποδομών του διαδικτύου. Δηλαδή το ίδιο το Ιντερνετ τα τελευταία 30 χρόνια έχει φτιαχτεί με ανοιχτό λογισμικό και η νέα γενιά του Ιντερνετ σχεδιάζεται με αυτό. Είναι ένα λογισμικό το οποίο ο καθένας μπορεί να χρησιμοποιεί ελεύθερα, να μην καταβάλει άδειες χρήσης και να το τροποποιεί σύμφωνα με τις ανάγκες του. Είναι πιο ασφαλές επειδή πολλοί άνθρωποι μπορούν να το ελέγχουν και να το βελτιώνουν συνεχώς».
Η χρήση ανοιχτού λογισμικού είναι η λύση που προτείνει ο Θόδωρος Καρούνος, ερευνητής στο ΕΜΠ και μέλος του Δ.Σ. του Οργανισμού Ανοιχτών Τεχνολογιών.
Ο κ. Καρούνος τονίζει ότι σε μια περίοδο μεγάλων γεωπολιτικών ανακατατάξεων είναι –ούτως ή άλλως– ανάγκη «να δημιουργηθούν εθνικές ψηφιακές υποδομές».
«Αυτό σημαίνει ένα λογισμικό το οποίο να ελέγχεται τοπικά και όχι από πολυεθνικές εταιρείες που δεν έχουν έδρα την Ευρώπη. Κι αυτό υπό την έννοια ότι κάποια στιγμή μπορεί για Χ λόγους που κανείς δεν μπορεί να προβλέψει σήμερα, να διακοπεί μια υπηρεσία η οποία έχει για παράδειγμα την έδρα της σε μια χώρα εκτός Ευρώπης. Επομένως, δεν μπορείς να έχεις υπολογιστικές υποδομές που εξαρτώνται θεσμικά και νομικά από άλλη χώρα η οποία έχει διαφορετικά γεωπολιτικά συμφέροντα, είτε είναι οι Ηνωμένες Πολιτείες είτε η Κίνα. Θα πρέπει να λύσουμε το θέμα σε επίπεδο Ε.Ε.»
Φέρνοντας ως παράδειγμα άλλες χώρες που στον χώρο της άμυνας ή της ασφάλειας χρησιμοποιούν αποκλειστικά ανοιχτά λογισμικά ώστε να ελέγχονται από τις ίδιες τις κρατικές υπηρεσίες, ο κ. Καρούνος επισημαίνει ότι θα πρέπει και η Ελλάδα να επενδύσει σε αυτά, εκμεταλλευόμενη τους πόρους του Ταμείου Ανάκαμψης.
«Δεδομένου ότι στη χώρα μας δαπανώνται δισεκατομμύρια τα τελευταία χρόνια σε μεγάλα έργα πληροφορικής, θα πρέπει να διατεθεί ένα μικρό ποσοστό από αυτά τα χρήματα, έστω ένα 10%, προκειμένου να χρηματοδοτηθούν τέτοια λογισμικά που είναι κρίσιμα για κεντρικές υπηρεσίες και υποδομές τόσο στον ευρύτερο δημόσιο τομέα όσο και στον χώρο της εκπαίδευσης».
