Krásný nový svět plný softwaru má velmi zajímavé kouty.
Roku 2022 se Dolnoslezské dráhy, firma provozující vlaky u našich severních sousedů, obrátily na hackerskou skupinu Dragon Sector s dost netypickým dotazem: vlaky se nám začaly chovat divně. Dragon Sector jsou tzv. “bílé klobouky”, které se specializují na prevenci a boj proti ilegálnímu hackingu.
Brzy se ukázalo, že problém je rozsáhlejší. Stejný druh závad na stejném typu souprav hlásila i jiná drážní firma provozující vlaky v okolí Štětína, a brzy se přidali i další stěžovatelé z jiných částí Polska. Celkem bylo postiženo 29 souprav, jež přitom právě prošly důkladnými revizemi a opravami v dílnách firmy SPS, která vyhrála soutěž na jejich údržbu. Nejtypičtějším problémem bylo, že vlak vůbec nechtěl “naskočit”. Souprav vyřazených z provozu začalo být tolik, že už to ohrožovalo funkčnost osobní dopravy v daných regionech.
Členové skupiny Dragon Sector strávili nějaký čas studiem dění v postižených vlacích, aby dospěli k názoru, že zdrojem problémů je … samotný výrobce souprav, firma Newag S.A., jedna ze stálic polského průmyslu (založena 1876). Analýza softwaru, který Newag nahrál do “svých” vlaků, ukázala, že byly naprogramovány, aby “chcípnuly” například tehdy, pokud zajely na servis do konkurenčních dílen – zákeřný kus kódu zkrátka kontroloval polohu vlaku pomocí zabudované GPS, a pokud zjistil, že vlak několik dní stojí v dílnách nepatřících Newagu, vyřadil jej z provozu. Firmware od Newagu také zastavoval vlaky, pokud došlo k výměně určitých dílů od Newagu za díly vyrobené někým jiným. DS má také podezření na to, že Newag mohl za jistých okolností zastavovat vlaky přímo na trati, příkazem na dálku.
V Polsku to způsobilo velký skandál, kterého si povšimli i ve zbytku světa, například na frekventovaném odborném serveru Ars Technica . Firma Newag, přistižená při naprosto nehorázném poškozování zákazníků, hrozí výzkumníkům z Dragon Sectoru žalobou a tvrdí, že ony záškodnické kusy SW vložili do systému “neznámí útočníci”.
Samozřejmě, je dost nepravděpodobné, že by neznámý hacker vlezl do cizího systému a následně naprogramoval kus kódu, který slouží vašim zájmům; typicky vás skutečný útočník nějak vykrade a zmizí, případně se pokusí vás vydírat. Daleko pravděpodobnější je, že Newag si tímto způsobem prostě chtěl pojistit servis prodaných souprav ve svých dílnách a s použitím vlastních značkových dílů, prodávaných s přirážkou.
Je skutečnost, že výrobce hackuje své vlastní výrobky na dálku, absurdní? Ano, ale zároveň je potřeba si uvědomit, že velmi podobné situace už dávno v IT světě tolerujeme, jenom holt nešlo o vlaky.
Výrobci tiskáren se snaží vynucovat použití svých vlastních náplní (tonerů, cartridgí) za pomoci specializovaných čipů, aby si zajistili dostatečný odbyt spotřebního materiálu; internet je plný diskusí o tom, jak zprovoznit generické (daleko levnější) tonery tak, aby tiskárna “neřvala”. Tento druh sabotáže je zcela srovnatelný s tím, co udělal Newag, ale jaksi jsme si na něj zvykli.
(Pokud vám úplně nedochází rozměr celé věci: představte si, že byste do své Škodovky museli lít pouze značkový benzín Škoda za 120 Kč/l a při použití jakéhokoliv jiného benzínu by si auto stěžovalo, zpomalovalo nebo nejezdilo vůbec.)
Velké softwarové společnosti jako Google, Facebook nebo Microsoft hospodaří s daty svých uživatelů po svém a klidně vám smažou celoživotní sbírku fotek, pokud nějaký algoritmus usoudí, že jste robot nebo že děláte něco nežádoucího. Do telefonů iPhone jste si léta nemohli nainstalovat žádný software bez souhlasu Applu, což se má v EU změnit teprve příští rok . (Mimo EU ani to ne.) Zkrátka, “softwarová kurvítka” jsou všude možně, a zvykli jsme si na to natolik, že teprve třicet odstavených vlakových souprav nás vyvede z míry.
Toto je oblast těžce zanedbaná legislativou, a vzniklé vakuum využívá kdejaký šestákový grázl s titulem MBA. Bohužel je to zároveň ilustrace toho, proč se časem každé průmyslové odvětví zaplevelí tunou různých regulací a podregulací, často dost pitomě napsaných a těžkorukých: protože určitý typ lidí nevynechá žádnou příležitost zachovat se k ostatním jako naprostá hovada, a nic slabšího než zákon jim v tom nezabrání. Kéž bych tak věděl, co s tím.
Diskusní fórum ke článku najdete zde .
Hudební epilog
Abychom na to IT odvětví jen nenadávali – učinilo nemožné možným, třeba tuhle skladbu, kterou jihoafrický multiinstrumentalista, italský kytarista a arabská kočka nahráli společnými silami ze svých domovů
