Rendszerszintű zsarolás

2017. május 21.
CC Christiaan Colen CC Christiaan Colen
https://www.flickr.com/photos/christiaancolen/

A számítógépek millióit megtámadó zsarolóvírus okozta károk rendszerszintű hiányosságokra hívják fel a figyelmet. Az amerikai informatikus szerint az államnak keményebben kellene fellépnie a szoftveróriásokkal szemben, amelyek maguk is zsarolják a felhasználókat.

Könnyen lehet, hogy a Wannacry zsarolóvírus az évtizedek óta érlelődő globális válság előszele. A problémát lehet kezelni, de sokba fog kerülni, és alapjában át kell hozzá alakítani a szoftvercégek, a kormányok és a szoftvereket használó intézmények működését. Belegondolni is rossz, mi lesz, ha ez nem történik meg” – olvassuk Zeynem Tufekci informatikus tollából a New York Timesban.

A május közepén aktiválódott, pénzt követelő Wannacry zsarolóvírus súlyos károkat okozott. Mielőtt egy leleményes informatikusnak sikerült leállítania a vírust, Nagy-Britanniában kórházak álltak le, Németországban a vasúti tájékoztató rendszer fagyott le, de megfertőződtek a FedEx és a Telefónica szerverei is, Franciaországban pedig a Renault gyártósorait kellett ideiglenesen leállítani.

Voltak, akik a felhasználókat és a rendszergazdákat hibáztatták, mondván, hogy a Microsoft már márciusban elérhetővé tett egy frissítést, amely bezárta a zsarolóvírus által használt biztonsági rést – legalábbis a legfrissebb operációs rendszereken. És persze akadtak olyanok is – egyebek között Jevgenyij Morozov internetguru –, akik a titkosszolgálatok felelősségét is felvetették, hiszen a zsarolóvírus által használt kódot az amerikai Nemzetbiztonsági Hivataltól lopták el. Vagyis a zsarolókódot maga a titkosszolgálat dolgozta ki lehallgatási célból.

Tufekci szerint azonban rendszerszintű kockázatról van szó, amelyet nem lehetséges egykönnyen kiiktatni. A több ezer számítógépet üzemeltető nagy intézmények – például a brit egészségbiztosítási alap – sem a régi operációs rendszer frissítéseit, sem pedig az új, biztonságosabb szoftvert nem tudták megfizetni.

Arról nem is beszélve, hogy a frissítések gyakran több bajt okoznak, mint amennyit elhárítanak. A nagyobb vállalati rendszerek frissítésekor gyakran előfordul, hogy nem kívánt frissítések is települnek, vagy egyes szoftverek már nem lesznek kompatibilisek az új operációs rendszerrel, mint például a Tesla autók hibás navigációját eredményező frissítéskor történt. Nem csoda hát, ha a rendszergazdák ódzkodnak a frissítésektől. Tufekci lápra épült nagyvároshoz hasonlítja a számítógépes rendszereket: bármilyen nagyobb változtatás beláthatatlan következményekkel járhat.

Megoldást csak a szoftvergyártók és a titkosszolgálatok szorosabb együttműködése jelenthetne. De ennél is fontosabb lenne a szoftvergyártókra vonatkozó törvények szigorítása. Mint Tufekci megjegyzi, őket jelenleg semmilyen felelősség nem terheli szoftvereik biztonsági hiányosságaiért. Mivel a számítógépek az alapvető infrastruktúra részei, elvárható lenne, hogy az állam fellépjen a felhasználók védelme érdekében. Hiszen ennek hiányában nem csak a hekkerek és a vírusok, de lényegében a szoftvergyártók is zsarolhatják a felhasználókat. A Wannacry aktiválódásakor a lényegében monopolhelyzetet élvező Microsoftot sokan bírálták, amiért csak késve tette ingyenesen elérhetővé a régebbi operációs rendszerek frissítését, ezzel is az újabb Windows verziók megvásárlására ösztönözve a falhasználókat.