Před pár dny psal iDnes.cz o další počítačovém viru, který může nepozorovaně okrádat uživatele telefonů s OS Android. Téměř před 15 lety jsem to pomáhal vysvětlit na školení řadovým úředníkům ČTÚ a policistů. Teď se ten podvod vrátil v upravené podobě. - … Výrobce vlašského salátu musí splňovat pravidla, která určuje živnostenský zákon, navíc musí dodržovat hygienická pravidla a je navíc zodpovědný za případné zažívací problémy zákazníků. V prostředí tvorby SW žádná taková pravidla nejsou plošně uplatňována. …
Tento článek bych klidně mohl začít konstatováním, že se jedná o pokračování článku z ComputerWorldu číslo 14 z roku 2005. Popisované problémy názorně ukazují, že pokud se spolehlivě nevyřeší základy problému, tak se takový problém po čase zase vrátí v novější a zákeřnější podobě.
Na počátku roku 2017 se objevily zprávy o škodlivých programech, které okrádají uživatele telefonů s operačním systémem Android. V záplavě dalších škodlivých programů, které šifrují data uživatelů nebo se snaží zneužít uživatelovo internetové bankovnictví, by tato zpráva mohla zapadnout, jako informace o dalším zlodějském viru. Situace je vážnější. Podobné problémy jaké dnes zažívají uživatelé telefonů s OS Android tady již byly před více jak 10 lety a týkaly se Windows a změny telefonního čísla pro připojení do Internetu přes vytáčenou linku. Tehdy se tento podvod a činnost škodlivého programu označovaly jako „případ Dialery“. V letech 2001-05 se problém týkal víc jak 4000 (čtyr tisíc ) poškozených v České republice. Tehdy vedení ČTÚ, včetně tehdejšího pana předsedy, a dnes již bývalého soudního znalce vydávali informace zhruba ve stylu, že jsou uživatelé hlupáci, že jim to patří. Tomu odpovídaly i výsledky reklamací a trestních oznámení. Stručeně, Policie tehdy konstatovala, že trestný čin se stal, ale pachatele se nepodařilo ustanovit (vypátrat).
V čísle 14 / 2005 ComputerWorld jsem článek o dialerech zakončil následujícími větami, cituji „ … a někdo by mohl namítnout, že již není třeba se zabývat dialery, že problém sám časem zmizí. Jenže se budou objevovat další hrozby, a pokud se nic nezmění, tak se uživatelé opět budou těžko domáhat pomoci a kompetentní úředníci se budou tvářit, že je to problém běžného uživatele.“ Od té doby uplynulo 12 let. V prevenci a v boji s počítačovými podvody se nezměnilo nic, tedy mimo způsobu připojení počítačů do Internetu, objevují se spousty presentací v PowerPointu a mnoho prohlášení o tom jak běžní uživatelé nechápou IT odborníky a principy počítačové bezpečnosti. Jenže případ Dialery v letech 2001-05 a škodlivé programy v aplikacích pro Android dnes jasně ukazují, že základní a největší chyba je na straně tvůrců aplikací nikoliv u uživatelů.
Na konci roku 2016 a v roce 2017 se začaly objevovat škodlivé programy, které se ukrývají za jiné a pro uživatele zajímavé aplikace pro Android. Tyto škodlivé programy na pozadí dokáží posílat SMS na čísla s vysokým tarifem nebo na tato čísla uskutečňovat telefonní hovor. Oboje bez vědomí vlastníka telefonu nebo úplně skrytě. Technicky to je možné provést, pouze záleží na zkušenosti programátora a testera.
Opět, podobně jako v letech 2001-05, se objevují názory, že je to problém běžných uživatelů, kteří si do telefonu stáhnou cokoliv. Prý kdyby stahovali aplikace pouze z důvěryhodných zdrojů, tak se jim to stát nemůže. To byl chybný názor už v roce 2005 a je na pováženou, že se tohoto názoru drží někteří odborníci dodnes. Opakovaně se stalo, že i v oficiálním místě (Google App Store) byly nalezeny aplikace, ve kterých se ukrýval vedle oficiální aplikace ještě škodlivý program. Takže neobstojí argument o tom, že stahování z oficiálního zdroje je řešením. Neplatilo to v roce 2005 a neplatí to ani v roce 2017. Musíme tyto problémy řešit jinak a lépe. Možné to je. Je to, ale změna a ta byla nepříjemná před 10 lety a tím spíš i dnes.
Programování je čistě lidská práce. Takže i škodlivý program vytvořil člověk. Člověk, který předtím musel znát i telefonní číslo, které do viru má nastavit. Další kroky zaměřené na zajištění stop jsou již především z oboru kriminalistiky a vyšetřování, nikoliv z oboru IT. Prostě případ Dialery tehdy a škodlivý program ukrytý v aplikaci pro Android dnes byly a jsou výsledkem práce organizované skupiny programátorů a provozovatelů linek se zvláštním tarifem.
V souvislosti s případem Dialery, s dalšími viry v uplynulých 10 letech a naposledy s škodlivým programem v aplikaci pro Android si vybavuji citát A. Einsteina „Dělat věci stále stejně a očekávat jiné výsledky, to je definice šílenství.“ V případě prevence před škodlivými kódy (viry, malware, ransomware, atd.) a v případě další „havětí“, které nemá v počítači co dělat je jasně vidět nezájem nebo nechuť jasně pojmenovat a řešit příčiny problému. Přičemž příčina není v nezkušenosti uživatelů, ale ve volnosti tvorby a ve způsobu zveřejňování SW, která má někdy až podobu anarchie.
Porovnejte si sami co musí splnit programátor než zveřejní svůj program na Internetu a co musí splnit výrobce potravin. Výrobce vlašského salátu musí splňovat pravidla, která určuje živnostenský zákon (případně další zákony o podnikání) navíc musí dodržovat hygienická pravidla a je navíc zodpovědný za případné zažívací problémy zákazníků. V prostředí tvorby SW žádná taková pravidla nejsou plošně uplatňována. Přitom možnost ověřit původ (autora) a integritu aplikací určených pro počítače, telefony a další zařízení by pomohlo výrazně omezit prostor, ve kterém působí počítačoví podvodníci a počítačové viry.
V roce 2005 jsem v souvislosti s vlažným přístupem k řešení případu Dialery upozorňoval na to, že nevyřešený problém se může vrátit. To se také stalo v podobě škodlivých programů pro chytré telefony. Teď je, ale před námi otázka co dál.
Programování je čistě lidská práce, kde je možné vše jasně popsat, naprogramovat a otestovat. Jistě není to vždy úplně jednoduché ale jde to. Ještě jednodušší je situace v případě zveřejňování počítačových programů a ověřování jejich neporušenosti (integrity). Pro takové situace by bylo možné využít například Tři pravidla počítačové bezpečnosti (The Three Laws of Cyber Security) a připravovanou nekomerční internetovou službu Software Control Server. Určitě by se našla i jiná řešení. Čas běží ještě rychleji než v roce 2005 a je potřeba skutečně pořádně vyřešit základy problému, jinak se za několik let opět vrátí a to v ještě vážnější podobě a „odborníci“ se pak možná budou vymlouvat na nezkušenost obsluhy SCADA aplikace např. U chlazení nebo zásobníku chlóru.
Podobně jako si kapři nevypustí rybník, tak uplynulých víc jak 10 let ukázalo, že firmy, které mají svůj business postavený na současné podobě IT bezpečnosti a na chybách v operačních systémech, tak nebudou dobrovolně řešit základní problémy tohoto oboru. Řešení, ale existují. Počítačová programy navrhli lidé, takže jiní lidé to mohou změnit, tedy pokud bude zájem o takovou změnu.
Jiří Nápravník, 2.5.2017
* * *
Ohrožují svět zdrojové kódy, předané Microsoftem Rusku a Číně?!
J.Š.2.5.2017
Read more...