20. avgusta 2008 je strmoglavilo letalo Spanair 2008 ob vzletu z madridskega letališča Barajas. Letalo McDonnell Douglas MD-82 je bilo namenjeno v Las Palmas. Od 172 potnikov jih je preživelo le 18.
Po poročanju španskega časopisa El Pais prejšnji teden, je k nesreči pripomogla okužba računalnika na letališču, ki se uporablja za pregled sistemov letala. Nadzorni računalnik letalske družbe naj bi bil okužen s trojanskimi konji, to pa naj bi bil tudi razlog, da se ni sprožil alarm zaradi zaznanih napak. Na letalu sta se dan prej že pojavili dve napaki in ob tretji bi moral nadzorni računalnik na tleh ob pregledu to javiti in letalo ne bi smelo vzleteti. Trojanec je ta postopek zmotil.
Računalniški sistemi za upravljanje z napravami, ki lahko vplivajo na življenje in smrt so se včasih razvijali s posebnimi orodji in programskimi jeziki, delovali pa so na za to posebej prirejenih operacijskih sistemih, ki so zagotavljali stabilnost sistema. Ker je tak specializiran razvoj vedno počasnejši in dražji od tistega, ki ga vsakodnevno spremljamo na namiznih in prenosnih računalnikih, se kritični sistemi vedno bolj selijo na opremo “s police” (off-the-shelf), tako v strojnem, kot programskem smislu.
To je seveda povsem človeško. Kot rad vedno poudari najbolj znan strokovnjak za kriptografijo in informacijsko varnost, Bruce Schneier, je varnost vedno daj-dam, kar pomeni, da za dodatno varnost nekaj plačamo, oz. se nečemu odpovedemo. Če pa je res Spanair JK 5022 strmoglavil tudi zaradi varčevanja pri nadzorni opremi, potem je bila tu cena za potnike največja od možnih. Vsi, ki bomo še kdaj potovali z letalom, pa lahko razmišljamo o tem, kako bomo del varčevanja letalske družbe plačali z nekoliko povečanim tveganjem.
Prenos kritičnih sistemov na opremo za splošno uporabo je ponavadi deležen pomislekov in kritike strokovne javnosti, in redkokdo zavrne pomisleke kot popolnoma neutemeljene. Namesto tega se tem opozorilom nasproti postavi predloge organizacijskih in postopkovnih rešitev ravnanja z opremo, ki naj bi verjetnost neljubih dogodkov in posledic zmanjšali do te mere, da razlike (s stališča varnosti) skoraj ne bo. V najbolj enostavnem primeru je to izjava, da sistem ne bo povezan na internet in torej ne bo izpostavljen zunanjim grožnjam. Koliko se lahko zanašamo na to, je pokazal zadnji incident s SCADA sistemi, kjer so bili nadzorni sistemi za elektrodistibucijo okuženi s posebnim virusom, ki se je širil s prenosom USB ključev. In tudi na omenjeni letališki računalnik so trojanci očitno nekako že prišli.
S prenosom obravnave tveganja iz faze zasnove opreme v fazo same uporabe nismo pri ničelni vsoti, ampak naredimo omenjeni Schneierjev daj-dam. Cena za to je včasih razumna, včasih pa ne, kar se pokaže šele čez čas, ko prehod nazaj ni več možen. Končno poročilo o Spanairovi nesreči bo znano decembra in takrat bomo šele videli, v kolikšni meri je trojanec res k njej tudi pripomogel.
Gorazd Božič
Povezave:
- trojanec sokriv za nesrečo (The Register, Sophos Blog),
- The Register: Royal Navy completes Windows for Submarines™ rollout,
- Wired: Sunk by Windows NT,
- The Inquirer: Microsoft could be in deep water over oil spill,
- SI-CERT 2010-04 / Windows LNK kritična ranljivost.
SI-CERT novice in Fokus blog lahko spremljate tudi preko Twitterja ali Facebooka.