×
QA trends 2019 PL miniatura

Pobierz nasz raport i bądź na bieżąco z najnowszymi trendami QA, Cyberbezpieczeństwa, IoT czy DevOps!

POBIERZ

„End of Life” – czyli zagrożenia płynące z używania przestarzałej technologii

Bezpieczeństwo

Już w 2019 roku Narodowe Centrum Cyberbezpieczeństwa (część brytyjskiej agencji wywiadowczej Government Communications Headquarters – GCHQ) wydało ostrzeżenie dla wszystkich, którzy nadal używali systemu operacyjnego Windows 7:  czas migrować na nowsze wersje systemu.[1] Niniejsza porada była podyktowana faktem, że w roku 2020 Windows 7 miał utracić wszelkie wsparcie od firmy Microsoft. Dla przeciętnego internauty oznaczało to, że od tego okresu system nie otrzyma już żadnej łatki bezpieczeństwa ani aktualizacji, tworząc z niego idealny system podatny na hakerskie exploity. Zalecenie Centrum Cyberbezpieczeństwa było proste: jeżeli korzystasz z usług, które są poufne (np. bankowość internetowa), migruj na Windows 10.

Tymczasem mamy już czerwiec 2021 roku i według danych Statcounter, ponad 16% internautów nadal korzysta z systemu operacyjnego Windows 7.[2] Co ciekawe, nie tylko przeciętni internauci nie są świadomi efektów i konsekwencji użytkowania technologii po przekroczeniu progu End of Life (EOL); problem dotyczy również sektora bankowego. O tym, jak powszechne jest wykorzystywanie przestarzałych technologii przez sektor bankowy świadczy fakt, że jeszcze w 2017 roku 43% systemów obsługujących transakcje finansowe w Stanach Zjednoczonych było napisanych w języku COBOL, który powstał w 1959 roku. Właściwie kod COBOL był na tyle popularny, że obsługiwał aż 95% wszelkich transakcji w bankomatach![3]

Chociaż od 2017 roku minęło dużo czasu, niewiele się zmieniło. Według badań International Data Corporation (IDC), w roku 2020 aż 95% banków w Azji wykorzystywało przestarzałe oprogramowanie, przy czym średni wiek podstawowych technologii bankowych wynosił 20 lat lub więcej.[4] Niestety, w Europie nie jest o wiele lepiej. Według danych zgromadzonych w European Banking Report (Marqeta), 84% kadry kierowniczej banków twierdzi, że starsza infrastruktura ogranicza ich działalność, niemal uniemożliwiając im wprowadzanie innowacji.[5] Wnioski z tego raportu jasno pokazują, że instytucje finansowe mają poważny problem, ponieważ korzystają z rozwiązań, które przekroczyły próg End of Life.

EOL to poważne zagrożenie dla bezpieczeństwa

Technologiczny End of Life jest przewidywalny. Podobnie jak producenci w innych branżach, firmy technologiczne np. Microsoft określają okres supportu, czyli wsparcia dla danej platformy. Takim sposobem można jasno określić do kiedy korzystanie z danego oprogramowania może być uważane za stosunkowo bezpieczne. Dla przykładu, terminy EOL dla systemów operacyjnych Windows są następujące:

  • Windows 7: 14 stycznia 2020 r.
  • Windows 8.1: 10 stycznia 2023 r.
  • Windows 10 (wersja 1803): 11 maja 2021 r.

Po tych datach firma Microsoft przestanie wytwarzać aktualizacje bezpieczeństwa.

Konsekwencje wynikające z użytkowania technologii po „End of Life”

Konsekwencje korzystania z przestarzałego oprogramowania (bardzo ładnie w języku angielskim nazywanym „legacy software”) są dość poważne.

Po pierwsze zagraża to bezpieczeństwu danych. W związku z tym, że systemy nie otrzymują łatek bezpieczeństwa, przestarzałe technologie stają się idealnym celem hakerów, którzy wyszukują takie systemy w internecie. Proste odpytanie serwera o wersję oprogramowania wyjawia cyberprzestępcom informację, na jakich bibliotekach taki program został stworzony. Wiedza ta może być wykorzystane do odnalezienia exploitu, czyli kodu, który umożliwi przedostanie się przez systemy bezpieczeństwa.

Przykładem dobrze ilustrującym ten mechanizm jest OpenSSL, czyli biblioteka szyfrująca przesyłanie danych. W 2014 roku świat dowiedział się, że owa biblioteka (światowy standard w szyfrowaniu danych i prawdopodobnie najbardziej powszechnie używana biblioteka szyfrująca) była podatna na odszyfrowanie. W związku z popularnością tej biblioteki, niemal każde oprogramowanie, włącznie z systemami operacyjnymi, musiało być aktualizowane do nowszej wersji OpenSSL lub innego narzędzia szyfrującego. Bez aktualizacji systemy pozostawały podatne na atak i wyciek danych. Co jest szczególnie niebezpieczne dla instytucji z sektora bankowego i fin-tech. Tymczasem systemy, które przekroczyły próg EOL takiej aktualizacji nie otrzymały.

Po drugie przestarzałe systemy blokują drogę do innowacji. Przez pandemię COVID-19 duża część społeczeństwa zaufała technologii i skorzystała z nowych, innowacyjnych rozwiązań fin-tech. Te natomiast muszą postępować z duchem czasów, czyli oferować coraz większy zakres usług przez internet lub bezobsługowo, np. przez terminal. Tutaj przestarzały back-end potrafi być prawdziwą kulą u nogi producenta oprogramowania. Przykładów nie trzeba daleko szukać, niektóre bankomaty do dziś działają w oparciu o system operacyjny Windows XP Embedded, który Microsoft przestał wspierać jeszcze w 2014 roku.[6] Dopisanie jakiejkolwiek nowej funkcji, choćby bezpiecznych opłat BLIK-iem na takim systemie jest niemal niewykonywalne.

Po trzecie eksploatacja starych systemów generuje ogromne koszty. Logiczny wydaje się argument, że nie ma sensu naprawiać czegoś, co funkcjonuje. Na pierwszy rzut oka kupowanie nowego oprogramowania w miejsce starego jest opłatą za ten sam produkt dwukrotnie. Jednak technologia ma to do siebie, że tworzenie jakiejkolwiek internetowej usługi, która przetwarza dane, najczęściej wiąże się z synchronizowaniem wielu platform i rozwiązań. Właśnie na tej płaszczyźnie pojawiają się problemy i koszty z nimi związane.

Jeżeli producent komponentu tworzącego nowe rozwiązanie nie istnieje lub nie wspiera starszej wersji programu, obowiązek zagwarantowania bezpieczeństwa danych spada na administratora tworzącego nowe rozwiązanie. Jeśli komponent nie jest napisany na bazie otwartego kodu źródłowego (open source), tworzenie aktualizacji może być nie tylko kosztowne, ale zupełnie niewykonywalne. Natomiast, jeżeli producent nadal wspiera dany komponent (np. program), mogą się pojawić koszty związane z middleware, które nie jest najtańszym rozwiązaniem. Tak czy inaczej, opłacone i nawet optymalnie funkcjonujące systemy zbliżające się do EOL są źródłem kosztów.

Dlaczego firmy nadal korzystają z technologii po EOL?

Jest kilka powodów wyjaśniających, dlaczego firmy nadal korzystają z przestarzałej technologii. Jedną z nich jest fakt, że migracja na nowe rozwiązania przeważnie łączy się z jednoczesną aktualizacją wielu systemów.

Przykładem może być m.in. wdrożenie nowego systemu CRM. Działanie to może wiązać się nie tylko z aktualizacją oprogramowania na stacjach roboczych, ale także rodzić potrzebę uaktualnienia serwera bazy danych SQL lub serwera serwującego aplikacje IIS. W ten sposób aktualizacja systemu CRM może się powodować konieczność aktualizacji zupełnie innych rozwiązań, które okażą się niekompatybilne.

Z jednego serwera może korzystać wiele rozwiązań. Przykładowa migracja serwera SQL 2017 → SQL 2019 ze względu na aktualizację systemu CRM może wymusić aktualizację innych rozwiązań.

Kolejnym powodem jest fakt, że wdrożenie nowych technologii generuje pewne koszty. Nowe licencje i opłaty związane z wdrożeniem zmian oprogramowania mogą tworzyć pewną barierę finansową. Ponadto nowe rozwiązania, szczególnie dotyczące danych poufnych, powinny być adekwatnie przetestowane przed przekazaniem do produkcji. Na przykład typowa aplikacja do obsługi bankowości internetowej musi przejść szereg testów, m.in. automatycznych, manualnych, wydajnościowych, UX/UI, stabilności i wiele innych, nie mówiąc o spełnianiu wymagań takich, jak PCI/DSS.

Co możemy zrobić?

Świat idzie do przodu i jeżeli chcemy oferować nowe usługi lub podążać za konkurencją, inwestycja w nowe technologie jest nieunikniona. Korzystanie z technologii zbliżających się do EOL lub po ich przekroczeniu jest po prostu ryzykowne, nie tylko z punktu widzenia bezpieczeństwa danych, ale i samych kosztów utrzymywania i interfejsowania tych systemów w przyszłości. Co prawda każda nowa technologia powinna być adekwatnie sprawdzona (przetestowana), ale jest to stosunkowo mała cena za możliwość utrzymania pozycji lub przodowania w świecie nowych technologii. Nie startując w biegu cyfrowych usług fin-tech lub umyślnie pozostając w tle, skazujemy się na przegraną. Do stracenia są nie tylko dane, ale i zainteresowanie potencjalnych klientów.

 

Artykuł powstał w ramach LEVEL 4.0. Digital Innovation Hub – inicjatywy wspieranej przez firmę TestArmy Group, Politechnikę Wrocławską, Uniwersytet Ekonomiczny, firmę Baluff oraz Wrocławski Park Technologiczny.

_____________________

[1]     https://www.ncsc.gov.uk/blog-post/one-year-left-for-windows-7-support
[2]     https://gs.statcounter.com/os-version-market-share/windows/desktop/worldwide
[3]     http://fingfx.thomsonreuters.com/gfx/rngs/USA-BANKS-COBOL/010040KH18J/index.html
[4]     https://info.thoughtmachine.net/digital-core-now-is-the-time
[5]     https://www.marqeta.com/resources/european-banking-survey-pt-2
[6]     https://theconversation.com/airports-atms-hospitals-microsoft-windows-xp-leak-would-be-less-of-an-issue-if-so-many-didnt-use-it-147018

Oceń artykuł:

Paweł Wałuszko

Paweł Wałuszko 08.06.2021

Doświadczony administrator sieci i propagator rozwiązań IT ze środowiska Doliny Krzemowej. Absolwent Uniwersytetu Kalifornijskiego w Berkeley, Uniwersytetu Stanforda i RANEPA; współorganizował projekty transferu wiedzy takie jakie jak „Poland-Silicon Valley Entrepreneurship Exchange” oraz projekt „Recreating Silicon Valley” na Uniwersytecie Stanforda. Odpowiedzialny za rozwój produktów i ochronę danych, projektował i wdrażał rozwiązania informatyczne dla środowiska akademickiego i biznesu w Europie i USA. Obecnie zajmuje się biznesowymi powiązaniami Doliny Krzemowej z krajami Europy Środkowo-Wschodniej: wymianą wiedzy, rozwojem produktów i edukacją w zakresie bezpieczeństwa w cyberprzestrzeni. W Polsce i poza granicami kraju znany z licznych wykładów poświęconych przeciwdziałaniu atakom socjotechnicznym, kultywowaniu kultury bezpiecznej pracy z danymi poufnymi oraz wczesnego wykrywania anomalii. Pasjonat technologii open-source, współpracuje ze startupami w zakresie tworzenia i zabezpieczania rozwiązań geolokalizacyjnych.

Comments are closed.
Wyszukaj
Kategorie