Smo vsemu sploh še kos?

Priiznajmo si, računalniki, programska oprema, informacijska infrastruktura, »oblaki«, vse skupaj počasi postaja tolikšno, tako zapleteno in zahtevno, da je že skorajda neobvladljivo. Oziroma je obvladljivo le z zelo velikim vložkom kapitala, tako finančnega kot izobraževalnega in človeškega. Zaenkrat še.

Kar poglejte, novičarske spletne strani, na katerih so včasih kraljevale novice o novih izdelkih in storitvah, se danes šibijo pod novicami o varnostnih vdorih in programskih napakah, ki imajo za posledico povsem realne situacije, v realnem svetu. Programska (in celo strojna) koda je danes tako kompleksna, sestavljena iz toliko kode, ki jo je prispevalo toliko programerjev (ali programerskih skupin, celo podjetij), da je vse skupaj skorajda nemogoče povezati v res 100 % delujočo celoto.

V tej številki Monitorja, recimo, pišemo o napaki, ki uporabnike Linuxov s šifriranim diskom spusti naprej tudi brez gesla, če le držimo tipko Enter več kot 70 sekund. Trivialna napaka, ki jo je zagrešil eden od programerjev, ko se je odločil v kodo vstaviti prekinitev, najverjetneje zaradi iskanja morebitnih napak, in jo potem pozabil zbrisati. Napaka, ki je v obliki javno dostopne kode dostopna že leta, le prebral je ni še nihče. Pomislite, koliko takih napak je še kje, morda še posebej tam, kjer koda ni javno dostopna in jo je teže prebrati. Pomislite, da je tudi prvo (najverjetneje) državno kibernetsko orožje, črv Stuxnet, za vstop v ciljane računalnike uporabljal Microsoftu neznano napako (t. i. »zero day«), ki se je sprožila, ko smo v računalnik vstavili ključek USB.

In prav ključke USB občasno (ko »ne delajo« zapisovalniki DVD) uporabljajo pri estonskih i-volitvah, ki se jih kuje v zvezde vedno, ko se kdo od naših politikov znova spomni, da bi jih morali imeti tudi mi. Uporabljajo tudi računalnike, ki so tako prosto povezani v internet, da so na njih celo povezave do igralniških spletnih strani, od tam pa do morebitnih virusnih okužb ni daleč. Si sploh predstavljamo, kakšne posledice bi lahko imel morebitni elektronski vdor v internetne volitve? Vdor v spletni strežnik je nekaj, vdor v naš e-bančni račun že malce huje (vendar nam banka največkrat povrne izgubljena sredstva), kdo (in kako!?) pa bo povrnil ponarejene volitve? Več o tem si lahko preberete na naslednjih straneh. In se tega spomnite naslednjič, ko bodo spet začele krožiti zamisli o i-volitvah.

Preberete si lahko tudi o kompleksnosti šifriranj in certifikatov, s katerimi se danes trudi vedno več podjetij in (predvsem tudi) državnih ustanov. Pišemo o naši finančni upravi (FURS), ki se je varnostnih certifikatov na svojih spletnih storitvah lotila na način, ki je množico računovodij v podjetjih mimogrede prepričal, da je varnost »brez zveze« in da bo vedno vse prav, če bomo le dovoljkrat stisnili gumb »V redu«. Pri FURSu sicer napako priznavajo in se opravičujejo, toda to ne izbriše suma, da je tudi ta del programske kode, ki jo upravljajo, tako kompleksen in zahteven, da mu niso v celoti kos. Navsezadnje so namestitev »pravega« certifikata v svoje spletne storitve napovedali za ponedeljek, 21. 11., pa ga v zadnjem trenutku spet odložili, na »nov termin«, ki ga še niso napovedali. Bi nas moralo skrbeti?