Tizen OS na IoE ima bezbednosnih problema

Švajcarski sir na korejski način

Još se nije pošteno osušilo štamparsko mastilo na vestima iz prethodne afere vezane za CIA hakerske napade, u kojima je južnokorejski gigant Samsung bio jedan od zapaženih aktera, a već su se pojavile informacije o tome da se u okviru operativnog sistema Tizen nalazi četrdeset ozbiljnih bezbednosnih propusta koji hakerima omogućavaju da se na jednostavan način infiltriraju u uređaj. A upravo je Tizen operativni sistem na koga Samsung ozbiljno računa u budućnosti i priprema ga da bude svojevrsna alternativa Androidu. Samo ime Tizen (čita se Tajzen) je nastalo kombinovanjem reči „Tie”, „Rise” i „Zen” u jedan pojam. Reč je o operativnom sistemu otvorenog koda, koji je baziran na Linuks kernelu. Početak projekta bio je 2011. godine, kada su Linux Foundacion i LiMo Foundation (akronim od Linux Mobile) objavili da kreću u realizaciju novog operativnog sistema, prvenstveno namenjenog mobilnim uređajima. Početkom 2012. godine, LiMo Foundation menja ime u Tizen Association i njoj se pridružuju velika imena iz sveta elektronike, kao što su: Intel, Samsung, Panasonic, LG, NEC, Huawei i mnogi drugi. U celom tom konglomeratu proizvođača se naknadno izdvojio Samsung, koji najaktivnije učestvuje u razvoju projekta, posebno od momenta kada su u njega integrisali svoj OS za mobilne telefone pod nazivom Bada. Tako su se u okviru jednog projekta našla tri dovoljno slična operativna sistema: LiMo, MeeGo i pomenuta Bada.

Iako je Tizen za najveći broj čitalaca prilično nepozat, reč je o nečemu što poseduje veliki tržišni potencijal. To se videlo i kada je pri Linuks Fondaciji formirana grupa za razvoj operativnog sistema koji bi poslužio za ugrađivanje u automobile, prvenstveno u svojstvu centra distribucije zabavnih sadržaja (za šta se koristi kovanica infotainment). Operativni sistem, na osnovu koga bi se sve to radilo, upravo je Tizen. Samsung je do sada Tizen ponajviše ugrađivao u svoje digitalne foto-aparate, pametne časovnike, televizore i pojedine modele mobilnih telefona za tržište zemalja u razvoju. U budućnosti bi trebalo da postane standardna IoE (Internet of Everything) platforma, koja bi se ugrađivala u praktično sve proizvode, uključujući i kućne uređaje.

Novi problemi za Samsung započeti su na konferenciji koju organizuje poznati ruski proizvođač antivirusnog softvera Kaspersky Labs i koja je održana u periodu od 2. do 6. aprila na karipskom ostrvu Sent Martin. Ispalo je da je glavna zvezda tog događaja bio izraelski stručnjak Amihai Niderman, koji je prvobitno bio vlasnik Samsung televizora na kojem je radio Tizen. Zainteresovan za analizu njegovih bezbednosnih potencijala, preko interneta naručuje dva Samsungova mobilna telefona iz Indije. Rezultati njegovog istraživanja su bili poražavajući. Jedna od najosetljivijih tačaka celog sistema odnosi se na komunikaciju sa servisom TizenStore, koji predstavlja analog servisima kao što su App Store ili Google Play. Pošto je sistem uređen tako da ovaj servis ima najviši stepen privilegija na uređaju, on istovremeno predstavlja i najbolju tačku za infiltraciju malicioznog koda. Servis TizenStore poseduje programsku logiku za sprečavanje mogućnosti instaliranja softvera koji nije potekao iz Samsunga, ali je jednostavnim hakerskim trikom moguće neutralisati njen efekat.

Razlog tome što Tizen do sada nije izazivao veliku pažnju kod ljudi koji se bave pitanjima računarske bezbednosti, je veoma prost. Ovaj operativni sistem zauzima mali deo tržišta, pa nije previše zanimljiv za proučavanje. Upravo o tome je govorio Niderman i istakao da praktično niko do sada nije odradio bilo kakvu ozbiljniju analizu. Po njegovim rečima, u pitanju je najgori programski kod koji je on ikada video i „sve što se moglo odraditi naopako, to je i odrađeno”.

Najčešći tip pronađenih propusta odnosi se na omogućavanje izazivanja grešaka preopterećenjem bafera, što je opet posledica korišćenja „zloglasne” funkcije strcpy(). Upravo zbog izbegavanja takvih situacija, programeri poslednjih godina koriste alternativne funkcije koje smanjuju rizik prekoračenja bafera, ali, po rečima Nidermana, Tizen tu funkciju koristi praktično svuda. Zabrinjava i činjenica da na više mesta Tizen uopšte ne koristi SSL enkripciju, nego poverljive podatke prenosi u nezaštićenom obliku.

Ostali tipovi grešaka odnose se na nedostatak provere uslova za zaustavljanje (stop conditions), provere povratnih vrednosti funkcija, korišćenju starih funkcija za koje se zna da imaju bezbednosne propuste i još dosta toga. Kao retku svetlu tačku Niderman navodi korišćeni način provere SQL izraza za zaštitu od poznatih napada tipa SQL injection. Zbog svega toga je jasna njegova opaska da kod izgleda kao da ga je pisao neiskusni student.

Zanimljivo je da se pronađeni propusti najviše vezuju za programski kod koji je pisan u zadnjih nekoliko godina, odnosno, posle integracije operativnih sistema Bada i MeeGo. Dakle, glavne greške nisu posledice tih operativnih sistema, već koda koji je pisan naknadno. Sa druge strane, primećuje se tendencija da se u okviru Tizena napadno koristi sors iz projekta Bada, što je na kraju rezultiralo malim bućkurišem po pitanju kvaliteta, pošto je taj kod danas dobrim delom zastareo.

Iako se Android isporučuje kao besplatan operativni sistem, gigant veličine jednog Samsunga ne želi da bude zavistan od kompanije koja je, ili potencijalno može postati, njen tržišni oponent. Upravo u tome treba tražiti jedan od razloga njihove orijentacije u smeru Tizena. Drugi razlog je to da Samsung dobro zna da glavni profit i kontrola na IT tržištu ne leži u hardveru, već u upravljačkom softveru pisanom za taj hardver. Upravo bi jedan uspešan operativni sistem u njihovim rukama bio odskočna daska prema profitima koje za sada ubiraju Microsoft, Google ili Apple.

Nakon otkrivanja ovih propusta, na internetu su se pojavile šale o tome kako CIA toplo preporučuje korišćenje Tizen uređaja, pošto im oni omogućavaju velike uštede u poslu. Ako ništa drugo, dobra stvar je to što se sve ovo odigralo pre masovnije integracije Tizena u kućne uređaje, pa će Samsung morati da uloži dodatni trud da bi se situacija popravila. Očekuje se i ozbiljna reakcija ljudi iz Tizen fondacije, koji u trenutku pisanja još uvek nisu stupili u kontakt sa Nidermanom.

Složićete se da ne bi baš bilo prijatno osetiti posledice „hakovanja” frižidera, šporeta ili klima uređaja u vašem „pametnom domu”. Za raspaljivanje mašte preporučujemo da pogledate film I.T. (www.imdb.com/title/tt2679552), u kome se jedan administrator sveti preko uređaja u pametnoj kući. Zapravo, sve ovo otvara staro pitanje poverenja i bezbednosti u IoE svetu, ka kome lagano klizimo...

Igor S. RUŽIĆ