Nedávná zpráva o zveřejnění zdrojového kódu systému XP se setkala s různými reakcemi. Někteří lidé pochopitelně předpokládají, že jsou již tak dlouho mimo podporu, že na tom vlastně nezáleží. Existuje však několik klíčových způsobů, jak toto odhalení může mít vážný dopad.

Předně je tu riziko pro kritické vertikály

Tato zpráva mě přiměla zamyslet se nad problémem, který stále přetrvává v souvislosti s operačními systémy s ukončenou životností, které pronikají do různých odvětví. Podíl počítačů se systémem Windows XP na celosvětovém trhu je sice pouhých 0,82 %, nicméně v některých průmyslových segmentech – včetně bankomatů a zdravotnických přístrojů – se tento význam zvyšuje.

Když jsem tedy usedl k psaní tohoto článku, oslovil jsem přátele z finančního a zdravotnického sektoru, aby tuto problematiku trochu více prozkoumali. Ačkoli ideální odpověď na otázku „Kolik bankomatů a zdravotnických zařízení stále používá systém Windows XP?“ by byla 0 %, skutečnost není tak jednoduchá.

Dne 8. dubna 2014 společnost Microsoft ukončila standardní podporu systému Windows XP. V té době Rada pro bezpečnostní standardy v odvětví platebních karet (PCI SSC) odhadovala, že 95 % bankomatů na celém světě používá systém Windows XP, a proto začala migrace na systém Windows 7. Společnost Trend Micro Research a Europol se v roce 2017 dále zabývaly kybernetickými bezpečnostními riziky pro bankomaty.

Přeskočme o 6 let dopředu, do 14. ledna 2020, kdy společnost Microsoft uvedla v platnost ukončení životnosti (EoL) systému Windows 7. V roce 2017 byl systém Windows 7 nahrazen systémem Windows XP. Odhaduje se, že tento krok ovlivní 85 % z více než 3,5 milionu bankomatů s operačním systémem Microsoft na celém světě. Tentokrát však bude aktualizace vyžadovat od provozovatelů bankomatů upgrade softwaru i hardwaru. Náklady na tento upgrade jsou pro finanční instituce a nasazovatele bankomatů vysoké, a to jak z hlediska skutečných výdajů, tak z hlediska jejich celkových zdrojů na podporu tak rozsáhlé změny.

Podle těch, s nimiž jsem hovořil, je odhadovaná expozice bankomatů, které i po 6 letech stále používají systém Windows XP, přibližně 25 %. Podle hrubého odhadu by se mohlo jednat o více než 750 tisíc strojů na celém světě, z čehož vyplývá značné riziko.

Z důvodu značných nákladů na aktualizaci verzí těchto strojů někteří pracovníci finančního sektoru volají po operačních systémech Windows. To sice může snížit náklady a zátěž spojenou s upgradem bankomatů každých několik let, ale neřeší to riziko útoků na bankomaty. Právě letos v létě vydala společnost Diebold upozornění popisující novou jackpotovou kampaň, v níž kyberzločinci využívali připojenou černou skříňku k odesílání nelegitimních příkazů k výdeji, které potenciálně obsahovaly proprietární části softwarového zásobníku Diebold. Ať už se jedná o systém Windows, Linux, nebo dokonce proprietární zásobník, náklady v průběhu času při neaktualizaci softwaru jsou mnohem vyšší než počáteční přechod, a to jak z hlediska expozice, tak z hlediska rizika.

Ve zdravotnictví je expozice mnohem větší a upřímně řečeno i riziko. Podle zprávy Trend Micro Research z roku 2017 obrovská část exponovaných zobrazovacích zařízení připojených k internetu v nemocnicích v USA i ve světě používá zastaralé operační systémy.

Mezi zdravotnická zařízení se systémem Windows XP patří přístroje, které pořizují rentgenové snímky, magnetickou rezonanci, mamografy a počítačovou tomografii. Riziko se stává hmatatelným, když je přístup k těmto zařízením narušen, zhoršen nebo odepřen.

Riziko existuje i mimo kritická odvětví

Přestože je riziko pro kritická odvětví a stroje vysoké, není to jediná oblast, kde systém Windows XP stále představuje riziko. Existují dva další způsoby, jak může mít odhalení zdrojového kódu širší dopad.

1. Některé části světa na tento operační systém stále silně spoléhají. I přes ukončení podpory převládá na některých světových trzích systém Windows XP. To vytváří velký cíl pro kyberzločince, kteří hledají rychlé vítězství.
2. V systému Windows 10 stále existují starší systémy z Windows XP. Kyberzločinci by mohli v těchto starších systémech, které jsou stále podporovány, těžit chyby z XP a vytvořit tak životaschopný řetězec exploitů, který by fungoval i na moderních operačních systémech.

Dustin Childs, manažer komunikace pro iniciativu Zero Day společnosti Trend Micro, k možnému dopadu řekl toto:

„Právě teď vývojáři exploitů pravděpodobně procházejí kód a hledají chyby, které by mohli použít proti moderním operačním systémům. Nejedná se však o překlad 1:1. Moderní operační systémy mají další mitigace, které ztěžují zneužití. Je to další důvod, proč byste měli přejít na nejnovější operační systém, abyste mohli využívat nové obranné funkce.“

Aktualizace nejsou nikdy jednoduché. Přepracování typického podnikového prostředí pro provoz nového operačního systému vyžaduje značný zdvih a rozpočet. Vynásobte to v měřítku státní správy, nemocničního systému, továrny nebo globálně rozptýlených bankomatů a narazíte na problém, který mnozí nejsou schopni řešit.