Скорее всего, проблема, встречающаяся при апгрейде дорогих устройств, будет носить временный характер, а компании, которым прежде не доводилось разрабатывать патчи, научатся это делать. Фирмы по продаже дорогого оборудования со встроенным компьютером придут к тому, чтобы разрабатывать системы с автоматическим пропатчиванием. В противовес Chrysler можно привести Tesla, у которой обновления ПО и его установка происходят автоматически и к тому же по ночам. Аналогичным образом действует Kindle: патчи инсталлируются без контроля владельцев – те даже не знают об очередном обновлении системы{136}.

Написание и публикация патчей. Разработчики не торопятся с выпуском обновлений систем безопасности. Одно из исследований, проведенных в 2016 г., выявило, что около 20 % всех уязвимостей и 7 % уязвимостей в 50 топ-приложениях не устраняются в тот же день, когда объявляют об их наличии. (Справедливости ради замечу, что дела обстоят лучше, чем прежде. В 2011 г. треть обнаруженных «дыр» оставалась вообще без патчей.) Но гораздо хуже другое – еще 1 % получает обновление в течение месяца после появления информации. Это значит, что если производитель сразу не инсталлирует патч, то вряд ли он займется этим в ближайшее время. Например, после того, как Google выпускает обновления, пользователи ОС Android месяцами ждут, пока производители мобильных телефонов сделают патчи доступными{137}. Получается, что на половину всех сотовых, работающих на ОС Android, обновления не устанавливаются как минимум год{138}.

Кроме того, зачастую патчи оказываются менее надежными, чем ожидалось, и время от времени по-прежнему выводят из строя системы, которые, по логике, должны исправлять. В 2014 г. телефоны пользователей, установивших обновление для ОС iOS[18], перестали получать сигнал мобильной связи{139}. В 2017 г. дефектный патч для подключенных к интернету дверных замков Lockstate отключил эти устройства{140}. Двери перестали открываться и закрываться. В 2018 г. в ответ на выявление в центральном процессоре уязвимостей Spectre и Meltdown компания Microsoft выпустила обновление, которое целиком и полностью, без возможности восстановления, вывел из строя ряд компьютеров{141}. Есть и другие примеры{142}.

Если мы обратимся к встроенным системам и устройствам из интернета вещей, то увидим, что с ними все еще хуже. Наши компьютеры и смартфоны безопасны настолько, насколько это вообще возможно на данный момент, ведь над написанием патчей трудятся команды программистов. Компаниям по выпуску цифровых устройств по средствам иметь таких специалистов, потому что их программы приносят огромные деньги. Уровень безопасности гаджетов определяется конкурентоспособностью фирмы-производителя. Однако к производству систем, встроенных в цифровые видеомагнитофоны, или домашних роутеров все вышесказанное не имеет никакого отношения. И цифровые видеомагнитофоны, и домашние роутеры продаются с куда меньшей наценкой и в куда меньших объемах и часто производятся в странах третьего мира. Продукт разрабатывает впопыхах набранная команда, которая либо распускается после выполнения задачи, либо начинает сотрудничать с другой компанией. Отдельные части кода могут быть устаревшими, но это никак не влияет на регулярность их применения. Плюс может отсутствовать источник кода, а это серьезно затрудняет написание обновлений. У компаний, прибегающих к такому способу защиты своих устройств, нет возможности нанять высококлассных специалистов.

Еще один минус предпоследнего этапа обеспечения безопасности – общая незаинтересованность в разработке патчей для уже инсталлированных программ. Производителю микросхем выгоднее новая версия чипов, производителю устройств – вопросы совместимости с этими новыми чипами. Фирма-поставщик, название которой фигурирует на коробке, – лишь торговый посредник. Ну а поддержка старых чипов и старых продуктов – далеко не первоочередная задача.

Впрочем, даже если производитель готов заниматься вопросами безопасности, он неизбежно сталкивается с рядом трудностей. Обнаружив уязвимости в ОС, Microsoft надлежит писать обновления для каждой версии. Поддержка сразу нескольких ОС – слишком дорогое удовольствие, из-за чего Microsoft, Apple и все остальные занимаются исключительно свежими версиями{143}. Если вы используете устаревшую версию Windows или macOS, то обновления для систем безопасности не получите, потому что компании их больше не выпускают.