“Το μόνο πράγμα που μπορείς να κάνεις με ένα F-22 χωρίς το λογισμικό του, είναι να το βγάλεις φωτογραφία” – Το πρόγραμμα του μαχητικού F-35 Lighting II αποτελεί ένα από τα μεγαλύτερα και περιπλοκότερα προγράμματα στρατιωτικού υλικού που έχουν υλοποιηθεί τα τελευταία χρόνια, τόσο από άποψης οικονομικών μεγεθών όσο και από την πλευρά των τεχνολογιών και προσεγγίσεων που έχουν αναπτυχθεί και ενσωματωθεί σε αυτό. Πλέον δεν μιλάμε για μια ακόμα αεροπορική πλατφόρμα, αλλά για ένα «σύστημα συστημάτων» (system of systems) το οποίο έχει πρωτόγνωρες δυνατότητες συλλογής και σύντηξης (fusion) δεδομένων. Πολλοί είναι εκείνοι που περιορίζουν την ανάλυσή τους στο αν το F-35 είναι «πολύ ή λίγο stealth», παραγνωρίζοντας το γεγονός ότι αυτή η ερώτηση έχει λίγη σημασία, όταν μπορείς να αξιολογείς, σε πραγματικό χρόνο, την απειλή των επίγειων συστημάτων αεράμυνας.
Αυτή η μετεξέλιξη του αεροσκάφους σε ένα σύστημα ανάλυσης και αξιολόγησης πολλαπλών και εν πολλοίς ετερογενών δεδομένων δεν θα ήταν δυνατή χωρίς την ανάπτυξη των πληροφοριακών συστημάτων αλλά κυρίως του λογισμικού… και εδώ είναι το πρόβλημα. Τα τελευταία χρόνια παρατηρείται μια μεταστροφή από τις «παραδοσιακές» προσεγγίσεις αντιμετώπισης μιας «πρόκλησης» σε υλοποιήσεις που αφορούν αποκλειστικά σε λογισμικό (τυπικά ένα πρόγραμμα έρχεται για να λύσει ένα πρόβλημα ή να υλοποιήσει μια ιδέα, ως απάντηση σε μια έλλειψη ή μια πρόκληση).
Αυτή η μεταστροφή παρατηρείται από την αυτοκινητοβιομηχανία (software-defined vehicles), όπου οι περισσότερες λειτουργίες παρακολουθούνται πλέον από λογισμικό, μέχρι την οικονομία και φυσικά τις στρατιωτικές επιχειρήσεις (software-defined warfare). Πλέον, οι στρατιωτικές πλατφόρμες, ειδικά οι αεροπορικές, δεν βασίζονται σε σχεδιαστικές αλλαγές για την επαύξηση των δυνατοτήτων τους αλλά σε νέες εκδόσεις λογισμικού, ή στην ενσωμάτωση συστημάτων που υποστηρίζονται ψηφιακά.
Χαρακτηριστικό παράδειγμα αποτελεί το βομβαρδιστικό B-52 Stratofortress, το οποίο σχεδιαστικά πηγαίνει πολλές δεκαετίες πίσω. Όμως, οι συνεχείς αναβαθμίσεις λογισμικού και συστημάτων, διατηρούν μια, κατά τα άλλα, απόλυτα συμβατική σχεδίαση, επίκαιρη και αναγκαία. Ακόμα και πιο «σύγχρονα» αεροσκάφη, όπως το F-16 Fighting Falcon ή το F-15 Eagle, αποτελούν σχεδιάσεις της δεκαετίας του 70! Είναι το λογισμικό αυτό που κυριαρχεί στην ανάπτυξη των δυνατοτήτων και στην επαύξηση των επιδόσεων. Όμως το λογισμικό έχει και τα «φαντάσματά» του.
Πίσω στις αρχές του 1980, o Ken Thompson (σ.σ. ο άνθρωπος πίσω από το Unix και γλώσσες προγραμματισμού όπως η C) έδωσε μια διάλεξη (σ.σ. Reflections on Trusting Trust) στο πλαίσιο της βράβευσής του με το Turing Award. Σε αυτήν την πλέον θρυλική ομιλία περιέγραψε ένα εξαιρετικά ανησυχητικό ενδεχόμενο. Έδειξε ότι είναι θεωρητικά δυνατόν να εισαχθεί κακόβουλη λειτουργία σε ένα κρίσιμο πρόγραμμα, όπως εκείνο που ελέγχει ποιος επιτρέπεται να συνδεθεί σε έναν υπολογιστή, με τρόπο ώστε το ίδιο το «εργαλείο» που δημιουργεί τα προγράμματα να επανεισάγει αυτή την κρυφή, και ουσιαστικά μη επιθυμητή λειτουργικότητα, ξανά και ξανά.
Με αυτόν τον τρόπο, ακόμα και αν κάποιος εξέταζε τον κώδικα γραμμή – γραμμή, θα τον έβρισκε απόλυτα «καθαρό». Το πρόγραμμα όμως θα παρέμενε «μολυσμένο». Το ανησυχητικό συμπέρασμα της ομιλίας του Thompson ήταν ότι η εμπιστοσύνη μας στα ψηφιακά συστήματα στηρίζεται τελικά σε μια αλυσίδα εργαλείων που, στην πραγματικότητα, δεν μπορεί να ελέγχει.
Βασιζόμενος στην ιδέα του Thompson, o James R. Gosler (τότε υπάλληλος στα Sandia Labs) αναρωτιέται κάτι βασικό αλλά εξαιρετικά σημαντικό, «μπορεί κάποιος να αναπτύξει μια ασφαλή εφαρμογή;» Το ερώτημά του οδήγησε σε δυο εργαστήρια, τα CHAPERON 1 και 2, και η εφαρμογή εξαιρετικά απλή. Ο Gosler ανέπτυξε δυο τρωτότητες τις οποίες τις ενσωμάτωσε σε ένα τυπικό πρόγραμμα. Η μια από τις τρωτότητες βασιζόταν στο δημοφιλές -τότε- παιχνίδι Zork. Οι αξιολογητές είχαν όλο το χρόνο στη διάθεσή τους και όλα τα τεχνικά στοιχεία ώστε να ανακαλύψουν τις τρωτότητες.
Περιττό να αναφερθεί ότι καμία από τις τρωτότητες δεν ανακαλύφθηκε από τους αξιολογητές, ακόμα και όταν (στο πλαίσιο του CHAPERON 2) η έκταση της υπονόμευσης μειώθηκε αισθητά. Τα εργαστήρια έγιναν γρήγορα γνωστά στην NSA και στους δυο κύριους επικεφαλής της, τον Rick Proto και τον Robert Morris Sr. Ειδικότερα ο Morris ήταν απόλυτα σίγουρος ότι θα μπορούσε να ανακαλύψει κακόβουλο κώδικα, αν το πρόγραμμα περιοριζόταν σε 10.000 εντολές επιπέδου μηχανής (machine level instructions). Το πρόγραμμα του Gosler είχε μόλις 3.000, και κανείς δεν κατάφερε να ανακαλύψει τις τρωτότητες.
Με τα σύγχρονες στρατιωτικές πλατφόρμες να βασίζονται ολοένα και περισσότερο στο λογισμικό (είναι χαρακτηριστική η διαφήμιση των νέων φρεγατών FDI του Πολεμικού Ναυτικού ως «ψηφιακές»), όχι μόνο για τη λειτουργία, αλλά και τη συντήρηση και εκσυγχρονισμό τους, οι τρωτότητες και οι επιθέσεις που θα κληθούν να αντιμετωπίσουν ενδέχεται να μην αφορούν σε πυραύλους ή βόμβες, αλλά σε ελάχιστες γραμμές κακόβουλου κώδικα, χαμένες μέσα σε εκατομμύρια άλλες.
Τα τελευταία χρόνια ένας μεγάλος αριθμός επιθέσεων εφοδιαστικής αλυσίδας (supply chain attacks), υπογραμμίζει τους κινδύνους που απορρέουν τόσο από την υπερβολική εξάρτηση στον κώδικα (πολλές φορές χωρίς καμία εναλλακτική) όσο και από τις αλληλεξαρτήσεις μεταξύ προγραμμάτων, βιβλιοθηκών, και προσεγγίσεων.
Επιθέσεις όπως η SolarWinds αλλά και η XZ Utils κατέδειξαν ότι, όχι μόνο οι κακόβουλοι χρήστες θα ξοδεύουν μήνες ή και χρόνια για να επιτύχουν το σκοπό τους, αλλά και πολλές φορές η ανακάλυψη τους γίνεται τυχαία ή αφού έχει περάσει μεγάλο χρονικό διάστημα. Η συνεχής ανάπτυξη της Τεχνητής Νοημοσύνης (TN) και η μεταστροφή και χρησιμοποίηση προγραμμάτων που προσφέρουν έτοιμο κώδικα ή λειτουργικότητες (DeepSeek, Codex, κ.λπ.) περιπλέκουν ακόμη περισσότερο την πραγματικότητα.
Ο πραγματικός θανάσιμος κίνδυνος
Το ερώτημα λοιπόν που θα πρέπει να προβληματίζει δεν είναι αν το F-35 ή οποιοδήποτε σύγχρονης τεχνολογίας οπλικό σύστημα (ή ακόμα και απλό λογισμικό όπως τα Windows) έχει ή δεν έχει ενσωματωμένο “kill switch”. Είναι το πόσο εύκολα μπορεί να ενσωματωθεί κάτι αντίστοιχο, και εφόσον ενσωματωθεί αν θα μπορεί να ανιχνευθεί πριν να είναι αργά. Πλέον οι στρατιωτικές πλατφόρμες έχουν ξεφύγει από τη λογική του ατσαλιού και του καυσίμου. Είναι εκείνες οι εκατομμύρια γραμμές κώδικα που καθορίζουν τις δυνατότητες αλλά και τις αδυναμίες τους.
Σήμερα, οι στρατιωτικές επιχειρήσεις δεν αφορούν μόνο σε άρματα, αεροσκάφη, ή πλοία, αλλά στον αόρατο συνδετικό κρίκο που καθορίζει τη λειτουργικότητα και τις επιχειρησιακές τους δυνατότητες. Το ερώτημα είναι απλό. Αν το λογισμικό καθορίζει το οπλικό σύστημα, ποιος κρατάει τα «κλειδιά» του λογισμικού;
πηγή
Οι απόψεις που αναφέρονται στο κείμενο είναι προσωπικές του αρθρογράφου και δεν εκφράζουν απαραίτητα τη θέση του Ellada simera.
Οι απόψεις που αναφέρονται στο κείμενο είναι προσωπικές του αρθρογράφου και δεν εκφράζουν απαραίτητα τη θέση του Ellada simera.
Δημοσίευση σχολίου