ProHoster > Blog > administrasie > 30 jaar van ongebreidelde onsekerheid

30 jaar van ongebreidelde onsekerheid

Wanneer die “swart hoede” – synde die ordemanne van die wilde woud van die kuberruim – veral suksesvol in hul vuilwerk blyk te wees, pieper die geel media van verrukking. Gevolglik begin die wêreld meer ernstig na kuberveiligheid kyk. Maar ongelukkig nie dadelik nie. Daarom, ten spyte van die toenemende aantal katastrofiese kubervoorvalle, is die wêreld nog nie ryp vir aktiewe proaktiewe maatreëls nie. Daar word egter verwag dat die wêreld in die nabye toekoms, danksy die "swart hoede", kuberveiligheid ernstig sal begin opneem. [7]

30 jaar van ongebreidelde onsekerheid

Net so ernstig soos brande... Stede was eens baie kwesbaar vir katastrofiese brande. Ten spyte van die potensiële gevaar is proaktiewe beskermingsmaatreëls egter nie getref nie – selfs ná die reusebrand in Chicago in 1871, wat honderde lewens geëis en honderdduisende mense verplaas het. Proaktiewe beskermingsmaatreëls is eers getref nadat 'n soortgelyke ramp drie jaar later weer plaasgevind het. Dit is dieselfde met kuberveiligheid – die wêreld sal nie hierdie probleem oplos tensy daar katastrofiese voorvalle is nie. Maar selfs al sou sulke voorvalle plaasvind, sal die wêreld hierdie probleem nie dadelik oplos nie. [7] Daarom werk selfs die gesegde: "Totdat daar 'n gogga is, sal 'n mens nie gelap word nie," nie heeltemal nie. Daarom het ons in 2018 30 jaar van ongebreidelde onsekerheid gevier.


Liriese toevlug

Die begin van hierdie artikel, wat ek oorspronklik vir die tydskrif System Administrator geskryf het, het in 'n sekere sin profeties geblyk te wees. Uitgawe van 'n tydskrif met hierdie artikel uitgegaan letterlik dag na dag met die tragiese brand in die Kemerovo-winkelsentrum "Winter Cherry" (2018, 20 Maart).
30 jaar van ongebreidelde onsekerheid

Installeer internet binne 30 minute

Terug in 1988 het die legendariese hacker-sterrestelsel L0pht, wat in volle krag gepraat het voor 'n vergadering van die mees invloedryke Westerse amptenare, verklaar: "Jou gerekenariseerde toerusting is kwesbaar vir kuberaanvalle vanaf die internet. En sagteware, en hardeware, en telekommunikasie. Hul verkopers is glad nie bekommerd oor hierdie toedrag van sake nie. Omdat moderne wetgewing nie voorsiening maak vir enige aanspreeklikheid vir 'n nalatige benadering om die kuberveiligheid van vervaardigde sagteware en hardeware te verseker nie. Verantwoordelikheid vir potensiële mislukkings (hetsy spontaan of veroorsaak deur die ingryping van kubermisdadigers) berus uitsluitlik by die gebruiker van die toerusting. Wat die federale regering betref, het dit nie die vaardighede of die begeerte om hierdie probleem op te los nie. Daarom, as jy op soek is na kuberveiligheid, dan is die internet nie die plek om dit te vind nie. Elkeen van die sewe mense wat voor jou sit, kan die internet heeltemal breek en dienooreenkomstig volle beheer oor die toerusting wat daaraan gekoppel is, oorneem. By jouself. 30 minute se gechoreografeerde toetsaanslagen en dit is klaar.” [7]

30 jaar van ongebreidelde onsekerheid

Die amptenare het betekenisvol geknik en dit duidelik gemaak dat hulle die erns van die situasie verstaan, maar niks gedoen het nie. Vandag, presies 30 jaar ná L0pht se legendariese optrede, word die wêreld steeds geteister deur "ongelukkige onsekerheid." Om gerekenariseerde, internetgekoppelde toerusting te kap is so maklik dat die internet, aanvanklik 'n koninkryk van idealistiese wetenskaplikes en entoesiaste, geleidelik deur die mees pragmatiese professionele mense beset is: swendelaars, swendelaars, spioene, terroriste. Almal van hulle buit die kwesbaarhede van gerekenariseerde toerusting uit vir finansiële of ander voordele. [7]

Verkopers verwaarloos kuberveiligheid

Verkopers probeer natuurlik soms om sommige van die geïdentifiseerde kwesbaarhede reg te stel, maar hulle doen dit baie teësinnig. Omdat hul wins nie uit beskerming teen kuberkrakers kom nie, maar uit die nuwe funksionaliteit wat hulle aan verbruikers verskaf. Omdat verkopers uitsluitlik op korttermynwinste gefokus is, belê hulle geld slegs in die oplossing van werklike probleme, nie hipotetiese nie. Kuberveiligheid, in die oë van baie van hulle, is 'n hipotetiese ding. [7]

Kuberveiligheid is 'n onsigbare, ontasbare ding. Dit word eers tasbaar wanneer probleme daarmee opduik. As hulle goed daarna gesorg het (hulle het baie geld aan die voorsiening daarvan bestee), en daar is geen probleme daarmee nie, sal die eindverbruiker nie te veel daarvoor wil betaal nie. Daarbenewens, benewens die verhoging van finansiële koste, vereis die implementering van beskermende maatreëls bykomende ontwikkelingstyd, vereis die beperking van die vermoëns van die toerusting en lei dit tot 'n afname in die produktiwiteit daarvan. [8]

Dit is moeilik om selfs ons eie bemarkers te oortuig van die haalbaarheid van die gelyste koste, wat nog te sê van eindverbruikers. En aangesien moderne verskaffers net in korttermynverkoopswinste belangstel, is hulle glad nie geneig om verantwoordelikheid te aanvaar om die kuberveiligheid van hul skeppings te verseker nie. [1] Aan die ander kant word versigtiger verkopers wat na die kuberveiligheid van hul toerusting gesorg het, gekonfronteer met die feit dat korporatiewe verbruikers goedkoper en makliker-om-te-gebruik alternatiewe verkies. Daardie. Dit is duidelik dat korporatiewe verbruikers ook nie veel omgee vir kuberveiligheid nie. [8]

In die lig van bogenoemde is dit nie verbasend dat verkopers geneig is om kuberveiligheid af te skeep nie, en aan die volgende filosofie voldoen: “Hou aan bou, hou aan verkoop en pleister wanneer nodig. Het die stelsel neergestort? Verlore inligting? Databasis met kredietkaartnommers gesteel? Is daar enige noodlottige kwesbaarhede in jou toerusting geïdentifiseer? Geen probleem!" Verbruikers moet op hul beurt die beginsel volg: "Klaar en bid." [7] 30 jaar van ongebreidelde onsekerheid

Hoe dit gebeur: voorbeelde uit die natuur

’n Treffende voorbeeld van verwaarlosing van kuberveiligheid tydens ontwikkeling is Microsoft se korporatiewe aansporingsprogram: “As jy die sperdatums mis, sal jy beboet word. As jy nie tyd het om die vrystelling van jou innovasie betyds in te dien nie, sal dit nie geïmplementeer word nie. As dit nie geïmplementeer word nie, sal jy nie aandele van die maatskappy ontvang nie ('n stukkie van die koek uit Microsoft se wins). Sedert 1993 het Microsoft begin om sy produkte aktief aan die internet te koppel. Aangesien hierdie inisiatief in ooreenstemming met dieselfde motiveringsprogram funksioneer, het funksionaliteit vinniger uitgebrei as wat verdediging daarmee kon byhou. Tot die vreugde van pragmatiese kwesbaarheidsjagters... [7]

Nog 'n voorbeeld is die situasie met rekenaars en skootrekenaars: hulle kom nie met 'n vooraf geïnstalleerde antivirus nie; en hulle maak ook nie voorsiening vir die voorafinstelling van sterk wagwoorde nie. Daar word aanvaar dat die eindgebruiker die antivirus sal installeer en die sekuriteitkonfigurasieparameters sal stel. [1]

Nog 'n, meer ekstreme voorbeeld: die situasie met die kuberveiligheid van kleinhandeltoerusting (kasregisters, PoS-terminale vir winkelsentrums, ens.). Dit het so gebeur dat verkopers van kommersiële toerusting net verkoop wat verkoop word, en nie wat veilig is nie. [2] As daar een ding is waaroor kommersiële toerustingverkopers omgee in terme van kuberveiligheid, is dit om seker te maak dat as 'n omstrede voorval plaasvind, die verantwoordelikheid op ander val. [3]

'n Aanduidende voorbeeld van hierdie ontwikkeling van gebeure: die popularisering van die EMV-standaard vir bankkaarte, wat, danksy die bekwame werk van bankbemarkers, in die oë van die publiek wat nie tegnies gesofistikeerd is nie, verskyn as 'n veiliger alternatief vir "verouderd" magnetiese kaarte. Terselfdertyd was die hoofmotivering van die bankbedryf, wat verantwoordelik was vir die ontwikkeling van die EMV-standaard, om verantwoordelikheid vir bedrieglike voorvalle (wat plaasvind weens die skuld van kaarters) te verskuif – van winkels na verbruikers. Waar voorheen (toe betalings met magnetiese kaarte gemaak is), finansiële verantwoordelikheid by die winkels gelê het vir verskille in debiet/krediet. [3] Dus banke wat betalings verwerk, verskuif die verantwoordelikheid óf na handelaars (wat hul afgeleë bankstelsels gebruik) óf na banke wat betaalkaarte uitreik; laasgenoemde twee verskuif op hul beurt verantwoordelikheid na die kaarthouer. [2]

Verkopers belemmer kuberveiligheid

Namate die digitale aanvalsoppervlak onverbiddelik uitbrei – danksy die ontploffing van internetgekoppelde toestelle – word dit al hoe moeiliker om tred te hou met wat aan die korporatiewe netwerk gekoppel is. Terselfdertyd verskuif verkopers kommer oor die veiligheid van alle toerusting wat aan die internet gekoppel is na die eindgebruiker [1]: "Die redding van drenkelende mense is die werk van die drenkelende mense self."

Nie net gee verkopers nie om oor die kuberveiligheid van hul skeppings nie, maar in sommige gevalle meng hulle ook in met die voorsiening daarvan. Byvoorbeeld, toe die Conficker-netwerkwurm in 2009 by die Beth Israel Mediese Sentrum gelek het en 'n deel van die mediese toerusting daar besmet het, het die tegniese direkteur van hierdie mediese sentrum, om te voorkom dat soortgelyke voorvalle in die toekoms plaasvind, besluit om die bedryfsondersteuningsfunksie op die toerusting wat deur die wurm met die netwerk geraak word. Hy is egter gekonfronteer met die feit dat "die toerusting nie opgedateer kon word nie weens regulatoriese beperkings." Dit het hom aansienlike moeite gekos om met die verkoper te onderhandel om netwerkfunksies uit te skakel. [4]

Fundamentele kuber-onsekerheid van die internet

David Clarke, die legendariese MIT-professor wie se genialiteit hom die bynaam "Albus Dumbledore" besorg het, onthou die dag toe die donker kant van die internet aan die wêreld geopenbaar is. Clark was in November 1988 voorsitter van 'n telekommunikasiekonferensie toe die nuus bekend gemaak is dat die eerste rekenaarwurm in die geskiedenis deur netwerkdrade gegly het. Clark het hierdie oomblik onthou omdat die spreker wat by sy konferensie teenwoordig was ('n werknemer van een van die voorste telekommunikasiemaatskappye) verantwoordelik gehou is vir die verspreiding van hierdie wurm. Hierdie spreker het in die hitte van emosie per ongeluk gesê: "Hier gaan jy!" Dit lyk asof ek hierdie kwesbaarheid gesluit het,” het hy vir hierdie woorde betaal. [5]

30 jaar van ongebreidelde onsekerheid

Dit het egter later geblyk dat die kwesbaarheid waardeur die genoemde wurm versprei het nie die meriete van enige individuele persoon was nie. En dit was streng gesproke nie eens 'n kwesbaarheid nie, maar 'n fundamentele kenmerk van die internet: die stigters van die internet het, toe hulle hul breinkind ontwikkel het, uitsluitlik gefokus op data-oordragspoed en fouttoleransie. Hulle het hulle nie die taak gestel om kuberveiligheid te verseker nie. [5]

Vandag, dekades ná die internet se stigting – met honderde miljarde dollars wat reeds bestee is aan futiele pogings tot kuberveiligheid – is die internet nie minder kwesbaar nie. Sy kuberveiligheidsprobleme word net elke jaar erger. Het ons egter die reg om die stigters van die internet hiervoor te veroordeel? Niemand sal byvoorbeeld die bouers van snelweë veroordeel vir die feit dat ongelukke op “hul paaie” gebeur nie; en niemand sal stadsbeplanners veroordeel vir die feit dat rooftogte in “hul stede” plaasvind nie. [5]

Hoe die hacker-subkultuur gebore is

Die hacker-subkultuur het in die vroeë 1960's ontstaan, in die "Railway Technical Modeling Club" (wat binne die mure van die Massachusetts Institute of Technology funksioneer). Klub-entoesiaste het 'n modelspoorlyn ontwerp en saamgestel, so groot dat dit die hele vertrek gevul het. Klublede het spontaan in twee groepe verdeel: vredemakers en stelselspesialiste. [6]

Die eerste het met die bogrondse deel van die model gewerk, die tweede - met die ondergrondse. Die eerstes het modelle van treine en stede versamel en versier: hulle het die hele wêreld in miniatuur gemodelleer. Laasgenoemde het gewerk aan die tegniese ondersteuning vir al hierdie vredemaking: 'n ingewikkeldheid van drade, relais en koördinaatskakelaars geleë in die ondergrondse deel van die model - alles wat die "bogrondse" deel beheer en dit met energie gevoed het. [6]

Wanneer daar 'n verkeersprobleem was en iemand met 'n nuwe en vernuftige oplossing vorendag gekom het om dit reg te stel, is die oplossing 'n "hack" genoem. Vir klublede het die soeke na nuwe hacks 'n intrinsieke betekenis van die lewe geword. Daarom het hulle hulself "krakers" begin noem. [6]

Die eerste generasie kuberkrakers het die vaardighede wat by die Simulation Railway Club opgedoen is, geïmplementeer deur rekenaarprogramme op ponskaarte te skryf. Toe die ARPANET (die voorganger van die internet) in 1969 op kampus aangekom het, het kuberkrakers die aktiefste en vaardigste gebruikers daarvan geword. [6]

Nou, dekades later, lyk die moderne internet soos daardie baie “ondergrondse” deel van die modelspoorlyn. Omdat sy stigters dieselfde kuberkrakers was, studente van die "Railroad Simulation Club". Slegs kuberkrakers bedryf nou regte stede in plaas van gesimuleerde miniatuur. [6] 30 jaar van ongebreidelde onsekerheid

Hoe BGP-roetering ontstaan ​​het

Teen die einde van die 80's, as gevolg van 'n stortvloedagtige toename in die aantal toestelle wat aan die internet gekoppel is, het die internet die harde wiskundige limiet genader wat in een van die basiese internetprotokolle ingebou is. Daarom het enige gesprek tussen die ingenieurs van daardie tyd uiteindelik in 'n bespreking van hierdie probleem ontaard. Twee vriende was geen uitsondering nie: Jacob Rechter ('n ingenieur van IBM) en Kirk Lockheed (stigter van Cisco). Nadat hulle toevallig aan die etenstafel ontmoet het, het hulle maatreëls begin bespreek om die funksionaliteit van die internet te bewaar. Die vriende het die idees neergeskryf wat ontstaan ​​het oor wat ook al byderhand gekom het - 'n servet wat met ketchup bevlek is. Toe die tweede een. Toe die derde. Die "drie servette-protokol", soos die uitvinders dit grappenderwys genoem het - bekend in amptelike kringe as BGP (Border Gateway Protocol) - het gou die internet 'n rewolusie gemaak. [8] 30 jaar van ongebreidelde onsekerheid

Vir Rechter en Lockheed was BGP bloot 'n toevallige hack, ontwikkel in die gees van die bogenoemde Model Railroad Club, 'n tydelike oplossing wat binnekort vervang sou word. Die maatjies het BGP in 1989 ontwikkel. Vandag, 30 jaar later, word die meerderheid van die internetverkeer egter steeds deur die “drie servette-protokol” herlei – ondanks toenemend kommerwekkende oproepe oor kritieke probleme met die kuberveiligheid daarvan. Die tydelike hack het een van die basiese internetprotokolle geword, en die ontwikkelaars het uit hul eie ervaring geleer dat "daar niks meer permanent is as tydelike oplossings nie." [8]

Netwerke regoor die wêreld het na BGP oorgeskakel. Invloedryke verkopers, ryk kliënte en telekommunikasiemaatskappye het vinnig op BGP verlief geraak en daaraan gewoond geraak. Daarom, selfs ten spyte van meer en meer alarmklokke oor die onsekerheid van hierdie protokol, toon die IT-publiek steeds nie entoesiasme vir die oorgang na nuwe, veiliger toerusting nie. [8]

Kuber-onveilige BGP-roetering

Hoekom is BGP-roetering so goed en hoekom is die IT-gemeenskap nie haastig om dit te laat vaar nie? BGP help routers om besluite te neem oor waarheen om die groot strome data te stuur wat oor 'n groot netwerk van kruisende kommunikasielyne gestuur word. BGP help routers om gepaste paaie te kies al verander die netwerk voortdurend en gewilde roetes ervaar dikwels verkeersknope. Die probleem is dat die internet nie 'n globale roetekaart het nie. Roeteerders wat BGP gebruik, neem besluite oor die keuse van een of ander pad op grond van inligting wat ontvang word van bure in die kuberruim, wat op hul beurt inligting van hul bure insamel, ens. Hierdie inligting kan egter maklik vervals word, wat beteken dat BGP-roetering hoogs kwesbaar is vir MiTM-aanvalle. [8]

Daarom ontstaan ​​vrae soos die volgende gereeld: "Hoekom het verkeer tussen twee rekenaars in Denver 'n reuse-ompad deur Ysland geneem?", "Hoekom is geklassifiseerde Pentagon-data een keer oorgedra tydens transito deur Beijing?" Daar is tegniese antwoorde op vrae soos hierdie, maar dit kom almal daarop neer dat BGP op vertroue werk: vertroue in aanbevelings wat van naburige routers ontvang word. Danksy die betroubare aard van die BGP-protokol, kan geheimsinnige verkeersoorheersers ander mense se datavloei na hul domein lok as hulle wil. [8]

’n Lewende voorbeeld is China se BGP-aanval op die Amerikaanse Pentagon. In April 2010 het die staatsbeheerde telekommunikasiereus China Telecom tienduisende routers regoor die wêreld gestuur, insluitend 16 8 in die Verenigde State, 'n BGP-boodskap wat aan hulle gesê het dat hulle beter roetes het. Sonder 'n stelsel wat die geldigheid van 'n BGP-boodskap van China Telecom kon verifieer, het routers regoor die wêreld data in transito deur Beijing begin stuur. Insluitend verkeer vanaf die Pentagon en ander terreine van die Amerikaanse departement van verdediging. Die gemak waarmee verkeer herlei is en die gebrek aan effektiewe beskerming teen hierdie tipe aanval is nog 'n teken van die onsekerheid van BGP-roetering. [XNUMX]

Die BGP-protokol is teoreties kwesbaar vir 'n selfs gevaarliker kuberaanval. In die geval dat internasionale konflikte ten volle in die kuberruim eskaleer, kan China Telecom, of een of ander telekommunikasiereus, probeer om eienaarskap van dele van die internet wat nie eintlik daaraan behoort nie, te eis. So 'n skuif sal routers verwar, wat tussen mededingende bod vir dieselfde blokke internetadresse sal moet bons. Sonder die vermoë om 'n wettige toepassing van 'n vals een te onderskei, sou die routers wisselvallig begin optree. Gevolglik sou ons te staan ​​kom voor die internet-ekwivalent van kernoorlog—'n oop, grootskaalse vertoning van vyandigheid. So 'n ontwikkeling in tye van relatiewe vrede lyk onrealisties, maar tegnies is dit heel haalbaar. [8]

'n Futiele poging om van BGP na BGPSEC te beweeg

Kuberveiligheid is nie in ag geneem toe BGP ontwikkel is nie, want in daardie tyd was hacks skaars en die skade daardeur was weglaatbaar. Die ontwikkelaars van BGP, omdat hulle vir telekommunikasiemaatskappye gewerk het en daarin belanggestel het om hul netwerktoerusting te verkoop, het 'n meer dringende taak gehad: om spontane ineenstortings van die internet te vermy. Omdat onderbrekings in die internet gebruikers kan vervreem, en daardeur verkope van netwerktoerusting kan verminder. [8]

Ná die voorval met die oordrag van Amerikaanse militêre verkeer deur Beijing in April 2010, het die werktempo om die kuberveiligheid van BGP-roetering te verseker beslis versnel. Telekommunikasieverkopers het egter min entoesiasme getoon om die koste te dra wat verband hou met die migreer na die nuwe veilige roeteringprotokol BGPSEC, voorgestel as 'n plaasvervanger vir die onveilige BGP. Verkopers beskou BGP steeds as redelik aanvaarbaar, selfs ten spyte van talle voorvalle van verkeersonderskepping. [8]

Radia Perlman, gedoop die "Moeder van die internet" vir die uitvind van 'n ander groot netwerkprotokol in 1988 ('n jaar voor BGP), het 'n profetiese doktorale proefskrif by MIT verwerf. Perlman het voorspel dat 'n roeteprotokol wat afhang van die eerlikheid van bure in die kuberruim fundamenteel onseker is. Perlman het die gebruik van kriptografie voorgestaan, wat sou help om die moontlikheid van vervalsing te beperk. Die implementering van BGP was egter reeds in volle swang, die invloedryke IT-gemeenskap was daaraan gewoond, en wou niks verander nie. Daarom, na beredeneerde waarskuwings van Perlman, Clark en 'n paar ander prominente wêreldkenners, het die relatiewe aandeel van kriptografies veilige BGP-roetering glad nie toegeneem nie, en is dit steeds 0%. [8]

BGP-roetering is nie die enigste hack nie

En BGP-roetering is nie die enigste hack wat die idee bevestig dat "niks meer permanent is as tydelike oplossings nie." Soms lyk die internet, wat ons in fantasiewêrelde dompel, so elegant soos 'n renmotor. In werklikheid is die internet egter meer soos Frankenstein as Ferrari as gevolg van hacks wat op mekaar gestapel is. Omdat hierdie hacks (meer amptelik genoem pleisters) nooit deur betroubare tegnologie vervang word nie. Die gevolge van hierdie benadering is erg: kubermisdadigers hack daagliks en uurliks ​​in kwesbare stelsels in, wat die omvang van kubermisdaad uitbrei tot voorheen ondenkbare afmetings. [8]

Baie van die foute wat deur kubermisdadigers uitgebuit word, is al lank bekend, en het behoue ​​gebly uitsluitlik as gevolg van die neiging van die IT-gemeenskap om opkomende probleme op te los - met tydelike hacks/patches. Soms, as gevolg hiervan, hoop verouderde tegnologieë vir 'n lang tyd bo-op mekaar, wat mense se lewens moeilik maak en in gevaar stel. Wat sou jy dink as jy uitvind dat jou bank sy kluis op 'n fondament van strooi en modder bou? Sal jy hom vertrou om jou spaargeld te hou? [8] 30 jaar van ongebreidelde onsekerheid

Die sorgelose houding van Linus Torvalds

Dit het jare geneem voordat die internet sy eerste honderd rekenaars bereik het. Vandag word 100 nuwe rekenaars en ander toestelle elke sekonde daaraan gekoppel. Soos internetgekoppelde toestelle ontplof, ontplof die dringendheid van kuberveiligheidskwessies ook. Die persoon wat egter die grootste impak op die oplossing van hierdie probleme kan hê, is die een wat kuberveiligheid met minagting beskou. Hierdie man is 'n genie, 'n boelie, 'n geestelike leier en 'n welwillende diktator genoem. Linus Torvalds. Die oorgrote meerderheid toestelle wat aan die internet gekoppel is, gebruik sy bedryfstelsel, Linux. Vinnig, buigsaam, gratis - Linux word mettertyd meer en meer gewild. Terselfdertyd tree dit baie stabiel op. En dit kan vir baie jare werk sonder om te herlaai. Dit is hoekom Linux die eer het om die dominante bedryfstelsel te wees. Byna alle gerekenariseerde toerusting wat vandag vir ons beskikbaar is, loop Linux: bedieners, mediese toerusting, vlugrekenaars, piepklein hommeltuie, militêre vliegtuie en nog baie meer. [9]

Linux slaag grootliks omdat Torvalds prestasie en fouttoleransie beklemtoon. Hy plaas hierdie klem egter ten koste van kuberveiligheid. Selfs terwyl die kuberruimte en die werklike fisiese wêreld vervleg en kuberveiligheid 'n wêreldwye kwessie word, gaan Torvalds voort om te weerstaan ​​om veilige innovasies in sy bedryfstelsel in te voer. [9]

Daarom, selfs onder baie Linux-aanhangers, is daar groeiende kommer oor die kwesbaarhede van hierdie bedryfstelsel. Veral die mees intieme deel van Linux, sy kern, waaraan Torvalds persoonlik werk. Linux-aanhangers sien dat Torvalds nie kuberveiligheidskwessies ernstig opneem nie. Boonop het Torvalds homself omring met ontwikkelaars wat hierdie sorgvrye houding deel. As iemand uit Torvalds se binnekring begin praat oor die bekendstelling van veilige innovasies, word hy dadelik verdoem. Torvalds het een groep sulke innoveerders van die hand gewys en hulle "masturberende ape" genoem. Terwyl Torvalds afskeid geneem het van 'n ander groep sekuriteitsbewuste ontwikkelaars, het hy vir hulle gesê: "Sal julle so vriendelik wees om jouself dood te maak. Die wêreld sou ’n beter plek wees as gevolg daarvan.” Wanneer dit by die byvoeging van sekuriteitskenmerke gekom het, was Torvalds altyd daarteen. [9] Torvalds het selfs 'n hele filosofie in hierdie verband, wat nie sonder 'n greintjie gesonde verstand is nie:

“Absolute sekuriteit is onbereikbaar. Daarom moet dit altyd slegs oorweeg word in verhouding tot ander prioriteite: spoed, buigsaamheid en gebruiksgemak. Mense wat hulself heeltemal daaraan toewy om beskerming te bied, is mal. Hulle denke is beperk, swart en wit. Sekuriteit op sigself is nutteloos. Die essensie is altyd iewers anders. Daarom kan jy nie absolute sekuriteit verseker nie, al wil jy regtig. Natuurlik is daar mense wat meer aandag gee aan veiligheid as Torvalds. Hierdie ouens werk egter bloot aan wat hulle interesseer en verskaf sekuriteit binne die eng relatiewe raamwerk wat hierdie belange afbaken. Niks meer nie. Hulle dra dus geensins by tot die verhoging van absolute veiligheid nie.” [9]

Sidebar: OpenSource is soos 'n kruitvat [10]

OpenSource-kode het miljarde aan sagteware-ontwikkelingskoste bespaar, wat die behoefte aan duplikaatpogings uitskakel: met OpenSource het programmeerders die geleentheid om huidige innovasies te gebruik sonder beperkings of betaling. OpenSource word oral gebruik. Selfs as jy 'n sagteware-ontwikkelaar gehuur het om jou gespesialiseerde probleem van nuuts af op te los, sal hierdie ontwikkelaar heel waarskynlik 'n soort OpenSource-biblioteek gebruik. En waarskynlik meer as een. OpenSource-elemente is dus byna oral teenwoordig. Terselfdertyd moet dit verstaan ​​word dat geen sagteware staties is nie; die kode daarvan verander voortdurend. Daarom werk die "stel dit en vergeet dit"-beginsel nooit vir kode nie. Insluitend die OpenSource-kode: vroeër of later sal 'n bygewerkte weergawe vereis word.

In 2016 het ons die gevolge van hierdie toedrag van sake gesien: ’n 28-jarige ontwikkelaar het die internet kortliks “gebreek” deur sy OpenSource-kode, wat hy voorheen publiek beskikbaar gestel het, uit te vee. Hierdie storie wys daarop dat ons kuberinfrastruktuur baie broos is. Sommige mense - wat OpenSource-projekte ondersteun - is so belangrik om dit in stand te hou dat as, God verhoede, hulle deur 'n bus getref word, die internet sal breek.

Moeilik om te onderhou kode is waar die ernstigste kuberveiligheidskwesbaarhede skuil. Sommige maatskappye besef nie eers hoe kwesbaar hulle is as gevolg van kode wat moeilik is om te onderhou nie. Kwesbaarhede wat met sulke kode geassosieer word, kan baie stadig in 'n werklike probleem verval: stelsels verrot stadig, sonder om sigbare mislukkings in die proses van verrotting te demonstreer. En wanneer hulle misluk, is die gevolge noodlottig.

Ten slotte, aangesien OpenSource-projekte gewoonlik ontwikkel word deur 'n gemeenskap van entoesiaste, soos Linus Torvalds of soos die hackers van die Model Railroad Club wat aan die begin van die artikel genoem word, kan probleme met moeilik-om-instandhouding-kode nie op tradisionele maniere opgelos word nie (met gebruik van kommersiële en regeringshefbome). Omdat lede van sulke gemeenskappe moedswillig is en hul onafhanklikheid bo alles waardeer.

Sidebar: Miskien sal die intelligensiedienste en antivirusontwikkelaars ons beskerm?

In 2013 het dit bekend geword dat Kaspersky Lab 'n spesiale eenheid het wat pasgemaakte ondersoeke van inligtingsekuriteitvoorvalle uitgevoer het. Tot onlangs was hierdie departement gelei deur 'n voormalige polisiehoof, Ruslan Stoyanov, wat voorheen in die hoofstad se Departement "K" (USTM van die Moskou Hoofdirektoraat Binnelandse Sake) gewerk het. Alle werknemers van hierdie spesiale eenheid van Kaspersky Lab kom van wetstoepassingsagentskappe, insluitend die Ondersoekkomitee en Direktoraat "K". [elf]

Aan die einde van 2016 het die RFD vir Ruslan Stoyanov gearresteer en hom van hoogverraad aangekla. In dieselfde saak is Sergei Mikhailov, 'n hooggeplaaste verteenwoordiger van die FSB CIB (inligtingsekuriteitsentrum), gearresteer, aan wie, voor die arrestasie, die hele kuberveiligheid van die land vasgebind was. [elf]

Sybalk: kuberveiligheid afgedwing

Binnekort sal Russiese entrepreneurs gedwing word om ernstige aandag aan kuberveiligheid te gee. In Januarie 2017 het Nikolai Murashov, 'n verteenwoordiger van die Sentrum vir Inligtingbeskerming en Spesiale Kommunikasie, verklaar dat in Rusland, CII-voorwerpe (kritiese inligting-infrastruktuur) alleen meer as 2016 miljoen keer in 70 aangeval is. CII-voorwerpe sluit inligtingstelsels van regeringsagentskappe, verdedigingsindustrie-ondernemings, vervoer-, krediet- en finansiële sektore, energie-, brandstof- en kernnywerhede in. Om hulle te beskerm, het die Russiese president Vladimir Poetin op 26 Julie 'n pakket wette onderteken "Oor die veiligheid van CII." Teen 1 Januarie 2018, wanneer die wet in werking tree, moet die eienaars van CII-fasiliteite 'n stel maatreëls implementeer om hul infrastruktuur te beskerm teen hacker-aanvalle, in die besonder, koppel aan GosSOPKA. [12]

bibliografie

  1. Jonathan Millet. IoT: Die belangrikheid daarvan om u slimtoestelle te beveilig // 2017.
  2. Ross Anderson. Hoe slimkaartbetalingstelsels misluk // Black Hat. 2014.
  3. SJ Murdoch. Chip en PIN is gebreek // Verrigtinge van die IEEE Simposium oor sekuriteit en privaatheid. 2010. pp. 433-446.
  4. David Talbot. Rekenaarvirusse is "algemeen" op mediese toestelle in hospitale // MIT Tegnologie Review (Digitaal). 2012.
  5. Craig Timberg. Net van onsekerheid: 'n vloei in die ontwerp // Die Washington Post. 2015.
  6. Michael Lista. Hy was 'n tienerhaker wat sy miljoene spandeer het op motors, klere en horlosies - totdat die FBI vasgevang het // Toronto Life. 2018.
  7. Craig Timberg. Net van onsekerheid: 'n ramp voorspel - en geïgnoreer // Die Washington Post. 2015.
  8. Craig Timberg. Die lang lewe van 'n vinnige 'fix': Internetprotokol vanaf 1989 laat data kwesbaar vir kapers // Die Washington Post. 2015.
  9. Craig Timberg. Net van onsekerheid: Die kern van die argument // Die Washington Post. 2015.
  10. Joshua Gans. Kan oopbronkode ons Y2K-vrese uiteindelik bewaarheid? // Harvard Business Review (Digitaal). 2017.
  11. Topbestuurder van Kaspersky deur FSB gearresteer // CNews. 2017. URL.
  12. Maria Kolomychenko. Kuberintelligensiediens: Sberbank het voorgestel om 'n hoofkwartier te skep om kuberkrakers te bestry // RBC. 2017.

Bron: will.com

Voeg 'n opmerking