عندما يتبين أن "القبعات السوداء" - وهم حراس الغابة البرية للفضاء الإلكتروني - ناجحون بشكل خاص في عملهم القذر، فإن وسائل الإعلام الصفراء تصرخ بسرور. ونتيجة لذلك، بدأ العالم ينظر إلى الأمن السيبراني بجدية أكبر. ولكن لسوء الحظ ليس على الفور. ولذلك، وعلى الرغم من العدد المتزايد من الحوادث السيبرانية الكارثية، فإن العالم لم ينضج بعد لاتخاذ تدابير استباقية نشطة. ومع ذلك، فمن المتوقع أنه في المستقبل القريب، وبفضل "القبعات السوداء"، سيبدأ العالم في أخذ الأمن السيبراني على محمل الجد. [7]

لا تقل خطورة الحرائق... كانت المدن ذات يوم معرضة بشدة للحرائق الكارثية. ومع ذلك، وعلى الرغم من الخطر المحتمل، لم يتم اتخاذ إجراءات وقائية استباقية - حتى بعد الحريق العملاق في شيكاغو عام 1871، والذي أودى بحياة مئات الأشخاص وشرّد مئات الآلاف من الأشخاص. ولم يتم اتخاذ تدابير وقائية استباقية إلا بعد وقوع كارثة مماثلة مرة أخرى، بعد ثلاث سنوات. والأمر نفسه ينطبق على الأمن السيبراني، فالعالم لن يحل هذه المشكلة إلا إذا وقعت حوادث كارثية. ولكن حتى لو وقعت مثل هذه الحوادث، فإن العالم لن يحل هذه المشكلة على الفور. [7] لذلك، فحتى القول: “حتى تحدث علة لا يُرقع رجل” لا يصلح تمامًا. ولهذا السبب احتفلنا في عام 2018 بمرور 30 ​​عامًا من انعدام الأمن المتفشي.

استطرادا غنائي

تبين أن بداية هذا المقال، الذي كتبته في الأصل لمجلة System Administrator، نبوءة إلى حد ما. إصدار مجلة بهذا المقال خرج حرفيًا يومًا بعد يوم مع الحريق المأساوي في مركز التسوق كيميروفو "Winter Cherry" (2018، 20 مارس).

تثبيت الإنترنت في 30 دقيقة

في عام 1988، أعلن القرصان الأسطوري Galaxy L0pht، متحدثًا بكل قوة أمام اجتماع للمسؤولين الغربيين الأكثر نفوذاً: "إن أجهزتك المحوسبة معرضة للهجمات السيبرانية من الإنترنت. والبرمجيات، والأجهزة، والاتصالات. بائعوهم ليسوا قلقين على الإطلاق بشأن هذا الوضع. لأن التشريعات الحديثة لا تنص على أي مسؤولية عن النهج المهمل في ضمان الأمن السيبراني للبرامج والأجهزة المصنعة. تقع المسؤولية عن حالات الفشل المحتملة (سواء كانت عفوية أو ناجمة عن تدخل مجرمي الإنترنت) على عاتق مستخدم الجهاز فقط. أما الحكومة الفيدرالية، فهي لا تملك المهارات ولا الرغبة في حل هذه المشكلة. لذلك، إذا كنت تبحث عن الأمن السيبراني، فإن الإنترنت ليس المكان المناسب للعثور عليه. يمكن لكل من الأشخاص السبعة الذين يجلسون أمامك كسر الإنترنت بالكامل، وبالتالي السيطرة الكاملة على المعدات المتصلة به. بنفسه. 30 دقيقة من ضربات المفاتيح المُصممة، ويتم الأمر." [7]

أومأ المسؤولون برأسهم بشكل هادف، موضحين أنهم يتفهمون خطورة الوضع، لكنهم لم يفعلوا شيئًا. اليوم، بعد مرور 30 ​​عامًا بالضبط على أداء L0pht الأسطوري، لا يزال العالم يعاني من "انعدام الأمن المتفشي". إن اختراق الأجهزة المحوسبة المتصلة بالإنترنت أمر في غاية السهولة حتى أن شبكة الإنترنت، التي كانت في البداية مملكة للعلماء والمتحمسين المثاليين، أصبحت تدريجياً محتلة من قبل أكثر المهنيين واقعية: المحتالين، والنصابين، والجواسيس، والإرهابيين. وجميعهم يستغلون نقاط الضعف في المعدات المحوسبة لتحقيق مكاسب مالية أو غيرها. [7]

البائعون يهملون الأمن السيبراني

يحاول البائعون أحيانًا، بطبيعة الحال، إصلاح بعض نقاط الضعف التي تم تحديدها، لكنهم يفعلون ذلك على مضض شديد. لأن ربحهم لا يأتي من الحماية من المتسللين، بل من الوظائف الجديدة التي يقدمونها للمستهلكين. ومن خلال التركيز فقط على الأرباح قصيرة المدى، يستثمر البائعون أموالهم فقط في حل المشكلات الحقيقية، وليس المشكلات الافتراضية. فالأمن السيبراني، في نظر الكثيرين منهم، هو أمر افتراضي. [7]

الأمن السيبراني هو شيء غير مرئي وغير ملموس. يصبح ملموسًا فقط عندما تنشأ مشاكل معه. إذا اعتنوا بها جيدًا (لقد أنفقوا الكثير من المال على توفيرها)، ولم تكن هناك مشاكل معها، فلن يرغب المستهلك النهائي في دفع مبالغ زائدة مقابل ذلك. بالإضافة إلى ذلك، بالإضافة إلى زيادة التكاليف المالية، يتطلب تنفيذ تدابير الحماية وقتًا إضافيًا للتطوير، ويتطلب الحد من قدرات المعدات، ويؤدي إلى انخفاض إنتاجيتها. [8]

ومن الصعب إقناع حتى المسوقين لدينا بجدوى التكاليف المدرجة، ناهيك عن المستهلكين النهائيين. وبما أن البائعين الحديثين مهتمون فقط بأرباح المبيعات قصيرة الأجل، فإنهم لا يميلون على الإطلاق إلى تحمل مسؤولية ضمان الأمن السيبراني لإبداعاتهم. [1] من ناحية أخرى، يواجه البائعون الأكثر حرصًا الذين اهتموا بالأمن السيبراني لمعداتهم حقيقة أن المستهلكين من الشركات يفضلون البدائل الأرخص والأسهل في الاستخدام. الذي - التي. ومن الواضح أن المستهلكين من الشركات لا يهتمون كثيرًا بالأمن السيبراني أيضًا. [8]

في ضوء ما سبق، ليس من المستغرب أن يميل البائعون إلى إهمال الأمن السيبراني، والالتزام بالفلسفة التالية: “واصل البناء، استمر في البيع والتصحيح عند الضرورة. هل انهار النظام؟ فقدت المعلومات؟ قاعدة البيانات مع أرقام بطاقات الائتمان المسروقة؟ هل تم تحديد أي نقاط ضعف قاتلة في أجهزتك؟ لا مشكلة!" ويتعين على المستهلكين بدورهم اتباع مبدأ: "التصحيح والصلاة". [7]

كيف يحدث هذا: أمثلة من البرية

من الأمثلة الصارخة على إهمال الأمن السيبراني أثناء التطوير برنامج حوافز الشركات الخاص بشركة Microsoft: "إذا فاتك المواعيد النهائية، فسيتم تغريمك. إذا لم يكن لديك الوقت لتقديم إصدار ابتكارك في الوقت المحدد، فلن يتم تنفيذه. وإذا لم يتم تنفيذه فلن تحصل على أسهم الشركة (قطعة من الكعكة من أرباح مايكروسوفت)”. منذ عام 1993، بدأت Microsoft في ربط منتجاتها بالإنترنت بشكل فعال. وبما أن هذه المبادرة عملت بالتوافق مع نفس البرنامج التحفيزي، فقد توسعت الوظائف بشكل أسرع من قدرة الدفاع على مواكبتها. لإسعاد الباحثين عن نقاط الضعف الواقعية... [7]

مثال آخر هو الوضع مع أجهزة الكمبيوتر وأجهزة الكمبيوتر المحمولة: فهي لا تأتي مع برنامج مكافحة الفيروسات المثبت مسبقا؛ كما أنها لا توفر الإعداد المسبق لكلمات مرور قوية. من المفترض أن يقوم المستخدم النهائي بتثبيت برنامج مكافحة الفيروسات وتعيين معلمات تكوين الأمان. [1]

مثال آخر أكثر تطرفًا: الوضع مع الأمن السيبراني لمعدات البيع بالتجزئة (سجلات النقد، ومحطات إثبات الحصة (PoS) لمراكز التسوق، وما إلى ذلك). لقد حدث أن بائعي المعدات التجارية يبيعون فقط ما يتم بيعه، وليس ما هو آمن. [2] إذا كان هناك شيء واحد يهتم به بائعو المعدات التجارية فيما يتعلق بالأمن السيبراني، فهو التأكد من أنه في حالة وقوع حادث مثير للجدل، فإن المسؤولية تقع على عاتق الآخرين. [3]

مثال واضح على هذا التطور في الأحداث: تعميم معيار EMV للبطاقات المصرفية، والذي، بفضل العمل الكفء لمسوقي البنوك، يظهر في أعين الجمهور غير المتطور تقنيًا كبديل أكثر أمانًا للـ "القديمة" البطاقات المغناطيسية. في الوقت نفسه، كان الدافع الرئيسي للصناعة المصرفية، التي كانت مسؤولة عن تطوير معيار EMV، هو تحويل المسؤولية عن حوادث الاحتيال (التي تحدث بسبب خطأ البطاقات) - من المتاجر إلى المستهلكين. في حين أنه في السابق (عندما تم الدفع عن طريق البطاقات الممغنطة)، كانت المسؤولية المالية تقع على عاتق المتاجر فيما يتعلق بالتناقضات في الخصم/الائتمان. [3] هكذا تقوم البنوك التي تقوم بمعالجة المدفوعات بتحويل المسؤولية إما إلى التجار (الذين يستخدمون أنظمتهم المصرفية عن بعد) أو إلى البنوك التي تصدر بطاقات الدفع؛ وينقل الأخيران بدورهما المسؤولية إلى حامل البطاقة. [2]

البائعون يعيقون الأمن السيبراني

مع توسع سطح الهجوم الرقمي بشكل لا يرحم - بفضل انفجار الأجهزة المتصلة بالإنترنت - يصبح تتبع ما هو متصل بشبكة الشركة أمرًا صعبًا بشكل متزايد. وفي الوقت نفسه، ينقل البائعون مخاوفهم بشأن سلامة جميع المعدات المتصلة بالإنترنت إلى المستخدم النهائي [1]: "إن إنقاذ الغرقى هو عمل الغرقى أنفسهم".

لا يقتصر الأمر على أن البائعين لا يهتمون بالأمن السيبراني لإبداعاتهم، ولكنهم في بعض الحالات يتدخلون أيضًا في توفيره. على سبيل المثال، عندما تسربت دودة شبكة كونفيكر في عام 2009 إلى مركز بيت إسرائيل الطبي وأصابت جزءًا من المعدات الطبية هناك، قرر المدير الفني لهذا المركز الطبي، من أجل منع وقوع حوادث مماثلة في المستقبل، تعطيل الشبكة. وظيفة دعم التشغيل على الأجهزة المتضررة من الدودة مع الشبكة. ومع ذلك، فقد واجه حقيقة أنه "لا يمكن تحديث المعدات بسبب القيود التنظيمية". لقد استغرق الأمر جهدًا كبيرًا للتفاوض مع البائع لتعطيل وظائف الشبكة. [4]

انعدام الأمن السيبراني الأساسي للإنترنت

يتذكر ديفيد كلارك، الأستاذ الأسطوري في معهد ماساتشوستس للتكنولوجيا والذي أكسبته عبقريته لقب "ألباس دمبلدور"، اليوم الذي تم فيه الكشف عن الجانب المظلم للإنترنت للعالم. كان كلارك يترأس مؤتمرًا للاتصالات في نوفمبر 1988 عندما ظهرت أنباء عن أن أول دودة كمبيوتر في التاريخ قد انزلقت عبر أسلاك الشبكة. وتذكر كلارك هذه اللحظة لأن المتحدث الذي حضر مؤتمره (موظف في إحدى شركات الاتصالات الرائدة) حمله مسؤولية انتشار هذه الدودة. قال هذا المتحدث، في حرارة العاطفة، عن غير قصد: "تفضل!" يبدو أنني قد أغلقت هذه الثغرة الأمنية،" لقد دفع ثمن هذه الكلمات. [5]

ومع ذلك، فقد تبين فيما بعد أن الثغرة الأمنية التي انتشرت من خلالها الدودة المذكورة لم تكن من فضل أي شخص على حدة. وهذا، بالمعنى الدقيق للكلمة، لم يكن حتى نقطة ضعف، ولكن الميزة الأساسية للإنترنت: مؤسسو الإنترنت، عند تطوير أفكارهم، ركزوا حصريا على سرعة نقل البيانات والتسامح مع الأخطاء. لم يحددوا لأنفسهم مهمة ضمان الأمن السيبراني. [5]

واليوم، بعد عقود من تأسيس شبكة الإنترنت ــ مع إنفاق مئات المليارات من الدولارات بالفعل على محاولات عقيمة لتحقيق الأمن السيبراني ــ لم تعد شبكة الإنترنت أقل عرضة للخطر. وتزداد مشاكل الأمن السيبراني سوءًا كل عام. لكن هل يحق لنا أن ندين مؤسسي الإنترنت على هذا؟ بعد كل شيء، على سبيل المثال، لن يدين أحد بناة الطرق السريعة لوقوع الحوادث على "طرقهم"؛ ولن يدين أحد مخططي المدن لوقوع عمليات سطو في "مدنهم". [5]

كيف ولدت ثقافة الهاكر الفرعية

نشأت ثقافة القرصنة الفرعية في أوائل الستينيات، في "نادي النمذجة الفنية للسكك الحديدية" (الذي يعمل داخل أسوار معهد ماساتشوستس للتكنولوجيا). قام عشاق النادي بتصميم وتجميع نموذج للسكك الحديدية، وكان ضخمًا جدًا لدرجة أنه ملأ الغرفة بأكملها. ينقسم أعضاء النادي بشكل عفوي إلى مجموعتين: صانعي السلام والمتخصصين في النظام. [1960]

الأول يعمل مع الجزء الموجود فوق سطح الأرض من النموذج، والثاني - مع الجزء الموجود تحت الأرض. قام الأوائل بجمع وتزيين نماذج القطارات والمدن: لقد صمموا العالم كله بشكل مصغر. عمل الأخير على الدعم الفني لكل عملية صنع السلام هذه: تعقيد الأسلاك والمرحلات ومفاتيح الإحداثيات الموجودة في الجزء الموجود تحت الأرض من النموذج - كل ما يتحكم في الجزء "فوق الأرض" ويغذيه بالطاقة. [6]

عندما كانت هناك مشكلة مرورية وتوصل أحدهم إلى حل جديد ومبتكر لإصلاحها، كان الحل يسمى "الاختراق". بالنسبة لأعضاء النادي، أصبح البحث عن حيل جديدة معنىً جوهريًا للحياة. ولهذا السبب بدأوا يطلقون على أنفسهم اسم "المتسللين". [6]

قام الجيل الأول من المتسللين بتطبيق المهارات المكتسبة في Simulation Railway Club من خلال كتابة برامج الكمبيوتر على بطاقات مثقوبة. ثم، عندما وصلت شبكة ARPANET (سلف الإنترنت) إلى الحرم الجامعي في عام 1969، أصبح المتسللون أكثر مستخدميها نشاطًا ومهارة. [6]

والآن، بعد مرور عقود من الزمن، أصبحت شبكة الإنترنت الحديثة تشبه ذلك الجزء "تحت الأرض" من نموذج السكك الحديدية. لأن مؤسسيها كانوا نفس هؤلاء الهاكرز، طلاب "نادي محاكاة السكك الحديدية". المتسللون فقط هم الذين يديرون الآن مدنًا حقيقية بدلاً من المنمنمات المحاكاة. [6]

كيف أصبح توجيه BGP

بحلول نهاية الثمانينيات، ونتيجة للزيادة الشبيهة بالانهيار الجليدي في عدد الأجهزة المتصلة بالإنترنت، اقترب الإنترنت من الحد الرياضي الصعب المضمن في أحد بروتوكولات الإنترنت الأساسية. ولذلك، فإن أي محادثة بين المهندسين في ذلك الوقت تحولت في نهاية المطاف إلى مناقشة هذه المشكلة. ولم يكن الصديقان استثناءً: جاكوب ريشتر (مهندس من شركة IBM) وكيرك لوكهيد (مؤسس شركة سيسكو). بعد أن التقيا بالصدفة على مائدة العشاء، بدأوا في مناقشة التدابير اللازمة للحفاظ على وظائف الإنترنت. قام الأصدقاء بتدوين الأفكار التي نشأت حول كل ما وصل إليهم - منديل ملطخ بالكاتشب. ثم الثاني. ثم الثالث. وسرعان ما أحدث "بروتوكول المناديل الثلاثة"، كما أطلق عليه مخترعوه مازحين - والمعروف في الدوائر الرسمية باسم BGP (بروتوكول بوابة الحدود) - ثورة في الإنترنت. [80]

بالنسبة لـ Rechter وLockheed، كان BGP مجرد اختراق غير رسمي، تم تطويره بروح نادي السكك الحديدية النموذجي المذكور أعلاه، وهو حل مؤقت سيتم استبداله قريبًا. قام الأصدقاء بتطوير BGP في عام 1989. ولكن اليوم، بعد مرور ثلاثين عاما، لا تزال أغلبية حركة المرور على الإنترنت يتم توجيهها باستخدام "بروتوكول المناديل الثلاثة" ــ على الرغم من الدعوات المثيرة للقلق بشكل متزايد حول المشاكل الحرجة المتعلقة بأمنها السيبراني. وأصبح الاختراق المؤقت أحد بروتوكولات الإنترنت الأساسية، وقد تعلم مطوروه من تجربتهم الخاصة أنه “لا يوجد شيء أكثر ديمومة من الحلول المؤقتة”. [30]

لقد تحولت الشبكات حول العالم إلى BGP. سرعان ما وقع البائعون المؤثرون والعملاء الأثرياء وشركات الاتصالات في حب BGP واعتادوا عليه. لذلك، على الرغم من المزيد والمزيد من أجراس الإنذار حول انعدام أمان هذا البروتوكول، لا يزال جمهور تكنولوجيا المعلومات لا يُظهر الحماس للانتقال إلى معدات جديدة أكثر أمانًا. [8]

توجيه BGP غير آمن عبر الإنترنت

لماذا يعد توجيه BGP جيدًا جدًا ولماذا لا يتعجل مجتمع تكنولوجيا المعلومات في التخلي عنه؟ يساعد BGP أجهزة التوجيه على اتخاذ قرارات بشأن مكان توجيه التدفقات الضخمة من البيانات المرسلة عبر شبكة ضخمة من خطوط الاتصال المتقاطعة. يساعد BGP أجهزة التوجيه في اختيار المسارات المناسبة على الرغم من أن الشبكة تتغير باستمرار وأن المسارات الشائعة غالبًا ما تواجه اختناقات مرورية. المشكلة هي أن الإنترنت ليس لديه خريطة توجيه عالمية. تتخذ أجهزة التوجيه التي تستخدم BGP قرارات بشأن اختيار مسار أو آخر بناءً على المعلومات الواردة من الجيران في الفضاء الإلكتروني، والذين بدورهم يجمعون المعلومات من جيرانهم، وما إلى ذلك. ومع ذلك، يمكن تزوير هذه المعلومات بسهولة، مما يعني أن توجيه BGP معرض بشدة لهجمات MiTM. [8]

ولذلك، تطرح أسئلة مثل ما يلي بانتظام: "لماذا اتخذت حركة المرور بين جهازي كمبيوتر في دنفر منعطفاً هائلاً عبر أيسلندا؟"، "لماذا تم نقل بيانات البنتاغون السرية ذات مرة أثناء النقل عبر بكين؟" هناك إجابات تقنية لأسئلة كهذه، ولكنها جميعًا تتلخص في حقيقة أن BGP يعمل على أساس الثقة: الثقة في التوصيات الواردة من أجهزة التوجيه المجاورة. بفضل الطبيعة الموثوقة لبروتوكول BGP، يستطيع أسياد حركة المرور الغامضة جذب تدفقات بيانات الأشخاص الآخرين إلى نطاقهم إذا رغبوا في ذلك. [8]

ومن الأمثلة الحية على ذلك هجوم الصين على البنتاغون الأمريكي. في أبريل 2010، أرسلت شركة الاتصالات الصينية العملاقة المملوكة للدولة تشاينا تيليكوم عشرات الآلاف من أجهزة التوجيه حول العالم، بما في ذلك 16 في الولايات المتحدة، وهي رسالة من BGP تخبرهم أن لديهم طرقًا أفضل. وبدون نظام يمكنه التحقق من صحة رسالة BGP من شركة China Telecom، بدأت أجهزة التوجيه في جميع أنحاء العالم في إرسال البيانات أثناء النقل عبر بكين. بما في ذلك حركة المرور من البنتاغون والمواقع الأخرى التابعة لوزارة الدفاع الأمريكية. تعد السهولة التي تم بها إعادة توجيه حركة المرور ونقص الحماية الفعالة ضد هذا النوع من الهجمات علامة أخرى على عدم أمان توجيه BGP. [8]

من الناحية النظرية، يعتبر بروتوكول BGP عرضة لهجوم إلكتروني أكثر خطورة. وفي حالة تصاعد الصراعات الدولية بكامل قوتها في الفضاء السيبراني، فقد تحاول شركة تشاينا تيليكوم، أو أي شركة اتصالات عملاقة أخرى، المطالبة بملكية أجزاء من الإنترنت لا تنتمي إليها في الواقع. مثل هذه الخطوة من شأنها أن تربك أجهزة التوجيه، والتي سيتعين عليها الارتداد بين العطاءات المتنافسة لنفس مجموعات عناوين الإنترنت. وبدون القدرة على التمييز بين التطبيق الشرعي والتطبيق المزيف، ستبدأ أجهزة التوجيه في التصرف بشكل متقطع. ونتيجة لذلك فسوف نواجه ما يعادل الحرب النووية على الإنترنت ــ عرض مفتوح وواسع النطاق للعداء. إن مثل هذا التطور في أوقات السلام النسبي يبدو غير واقعي، لكنه ممكن من الناحية الفنية. [8]

محاولة غير مجدية للانتقال من BGP إلى BGPSEC

لم يتم أخذ الأمن السيبراني بعين الاعتبار عند تطوير BGP، لأن الاختراقات في ذلك الوقت كانت نادرة وكانت الأضرار الناجمة عنها ضئيلة. كان لدى مطوري BGP، لأنهم عملوا في شركات الاتصالات وكانوا مهتمين ببيع معدات الشبكات الخاصة بهم، مهمة أكثر إلحاحًا: تجنب الأعطال التلقائية للإنترنت. لأن الانقطاعات في الإنترنت يمكن أن تنفر المستخدمين، وبالتالي تقلل من مبيعات معدات الشبكة. [8]

بعد حادثة نقل الحركة العسكرية الأمريكية عبر بكين في أبريل 2010، تسارعت بالتأكيد وتيرة العمل لضمان الأمن السيبراني لتوجيه BGP. ومع ذلك، فقد أظهر بائعو الاتصالات القليل من الحماس لتحمل التكاليف المرتبطة بالانتقال إلى بروتوكول التوجيه الآمن الجديد BGPSEC، المقترح كبديل لـ BGP غير الآمن. لا يزال البائعون يعتبرون BGP مقبولًا تمامًا، حتى على الرغم من حوادث اعتراض حركة المرور التي لا تعد ولا تحصى. [8]

حصلت راضية بيرلمان، التي أُطلق عليها لقب "أم الإنترنت" لاختراعها بروتوكول شبكة رئيسي آخر في عام 1988 (قبل عام من BGP)، على درجة الدكتوراه النبوية من معهد ماساتشوستس للتكنولوجيا. توقع بيرلمان أن بروتوكول التوجيه الذي يعتمد على صدق الجيران في الفضاء الإلكتروني هو غير آمن بالأساس. دعا بيرلمان إلى استخدام التشفير، الأمر الذي من شأنه أن يساعد في الحد من احتمالية التزييف. ومع ذلك، كان تنفيذ BGP بالفعل على قدم وساق، وقد اعتاد عليه مجتمع تكنولوجيا المعلومات المؤثر، ولم يرغب في تغيير أي شيء. لذلك، بعد التحذيرات المنطقية من بيرلمان وكلارك وبعض الخبراء العالميين البارزين الآخرين، لم تزد الحصة النسبية لتوجيه BGP الآمن تشفيرًا على الإطلاق، ولا تزال 0٪. [8]

توجيه BGP ليس هو الاختراق الوحيد

وتوجيه BGP ليس الاختراق الوحيد الذي يؤكد فكرة أنه "لا يوجد شيء أكثر ديمومة من الحلول المؤقتة". في بعض الأحيان، يبدو الإنترنت، الذي يغمرنا في عوالم خيالية، أنيقًا مثل سيارة السباق. ومع ذلك، في الواقع، وبسبب الاختراقات المتراكمة فوق بعضها البعض، فإن الإنترنت يشبه فرانكشتاين أكثر من فيراري. لأن هذه الاختراقات (وتسمى رسميًا التصحيحات) لا يتم استبدالها أبدًا بتكنولوجيا موثوقة. إن عواقب هذا النهج وخيمة: يوميًا وفي كل ساعة، يقوم مجرمو الإنترنت باختراق الأنظمة الضعيفة، مما يؤدي إلى توسيع نطاق الجرائم الإلكترونية إلى أبعاد لم يكن من الممكن تصورها في السابق. [8]

العديد من العيوب التي يستغلها مجرمو الإنترنت كانت معروفة منذ فترة طويلة، وتم الحفاظ عليها فقط بسبب ميل مجتمع تكنولوجيا المعلومات إلى حل المشكلات الناشئة - من خلال عمليات اختراق/تصحيحات مؤقتة. وفي بعض الأحيان، وبسبب هذا، تتراكم التقنيات القديمة فوق بعضها البعض لفترة طويلة، مما يجعل حياة الناس صعبة ويعرضهم للخطر. ما هو رأيك لو علمت أن البنك الذي تتعامل معه يبني قبوه على أساس من القش والطين؟ هل تثق به للحفاظ على مدخراتك؟ [8]

الموقف الخالي من الهموم للينوس تورفالدس

استغرق الأمر سنوات قبل أن يصل الإنترنت إلى أول مائة جهاز كمبيوتر. واليوم، يتم توصيل 100 جهاز كمبيوتر جديد وأجهزة أخرى به كل ثانية. مع انفجار الأجهزة المتصلة بالإنترنت، تتزايد أيضًا الحاجة الملحة لقضايا الأمن السيبراني. ومع ذلك، فإن الشخص الذي يمكن أن يكون له التأثير الأكبر في حل هذه المشكلات هو الذي ينظر إلى الأمن السيبراني بازدراء. لقد أُطلق على هذا الرجل لقب العبقري والمتنمر والزعيم الروحي والديكتاتور المحسن. لينوس تورفالدس. تعمل الغالبية العظمى من الأجهزة المتصلة بالإنترنت بنظام التشغيل Linux. سريع ومرن ومجاني - أصبح Linux أكثر شيوعًا بمرور الوقت. وفي الوقت نفسه يتصرف بثبات شديد. ويمكن أن يعمل دون إعادة التشغيل لسنوات عديدة. ولهذا السبب يتشرف Linux بكونه نظام التشغيل المهيمن. تعمل جميع المعدات المحوسبة المتاحة لنا اليوم تقريبًا بنظام التشغيل Linux: الخوادم، والمعدات الطبية، وأجهزة كمبيوتر الطيران، والطائرات الصغيرة بدون طيار، والطائرات العسكرية، وغير ذلك الكثير. [9]

ينجح Linux إلى حد كبير لأن Torvalds يؤكد على الأداء والتسامح مع الأخطاء. ومع ذلك، فهو يضع هذا التركيز على حساب الأمن السيبراني. حتى مع تشابك الفضاء الإلكتروني والعالم المادي الحقيقي وتحول الأمن السيبراني إلى قضية عالمية، يستمر تورفالدس في مقاومة إدخال ابتكارات آمنة في نظام التشغيل الخاص به. [9]

لذلك، حتى بين العديد من محبي Linux، هناك قلق متزايد بشأن نقاط الضعف في نظام التشغيل هذا. على وجه الخصوص، الجزء الأكثر حميمية في Linux، النواة، التي يعمل عليها تورفالدس شخصيًا. يرى محبو Linux أن Torvalds لا يأخذ قضايا الأمن السيبراني على محمل الجد. علاوة على ذلك، أحاط تورفالدس نفسه بالمطورين الذين يشاركونه هذا الموقف الخالي من الهموم. إذا بدأ شخص ما من الدائرة الداخلية لتورفالدس في الحديث عن تقديم ابتكارات آمنة، فسيتم لعنه على الفور. وقد رفض تورفالدس مجموعة من هؤلاء المبدعين، واصفًا إياهم بـ«القردة المستمنة». عندما ودع تورفالدس مجموعة أخرى من المطورين المهتمين بالأمن، قال لهم: "هل تتفضلون بقتل أنفسكم. سيكون العالم مكانًا أفضل بسبب ذلك." عندما يتعلق الأمر بإضافة ميزات الأمان، كان تورفالدس دائمًا ضدها. [9] حتى أن تورفالدس لديه فلسفة كاملة في هذا الصدد، والتي لا تخلو من ذرة من المنطق السليم:

"الأمن المطلق بعيد المنال. لذلك، ينبغي دائمًا النظر إليه فقط فيما يتعلق بالأولويات الأخرى: السرعة والمرونة وسهولة الاستخدام. الأشخاص الذين يكرسون أنفسهم بالكامل لتوفير الحماية مجانين. تفكيرهم محدود، أبيض وأسود. فالأمن في حد ذاته لا فائدة منه. الجوهر دائما في مكان آخر. لذلك، لا يمكنك ضمان الأمان المطلق، حتى لو كنت تريد ذلك حقًا. بالطبع، هناك أشخاص يهتمون بالسلامة أكثر من تورفالدس. لكن هؤلاء الأشخاص ببساطة يعملون على ما يهمهم ويوفرون الأمن ضمن الإطار النسبي الضيق الذي يحدد هذه المصالح. لا أكثر. لذا فإنهم لا يساهمون بأي حال من الأحوال في تعزيز الأمن المطلق”. [9]

الشريط الجانبي: المصدر المفتوح يشبه برميل البارود [10]

لقد وفر كود OpenSource المليارات من تكاليف تطوير البرمجيات، مما يلغي الحاجة إلى جهود مكررة: مع OpenSource، يتمتع المبرمجون بفرصة استخدام الابتكارات الحالية دون قيود أو دفع. يتم استخدام المصدر المفتوح في كل مكان. حتى لو قمت بتعيين مطور برامج لحل مشكلتك المتخصصة من الصفر، فمن المرجح أن يستخدم هذا المطور نوعًا ما من المكتبات مفتوحة المصدر. وربما أكثر من واحد. وبالتالي، فإن العناصر مفتوحة المصدر موجودة في كل مكان تقريبًا. وفي الوقت نفسه، ينبغي أن يكون مفهوما أنه لا يوجد برنامج ثابت، بل أن كوده يتغير باستمرار. لذلك، فإن مبدأ "ضبطه ونسيانه" لا يعمل أبدًا مع التعليمات البرمجية. بما في ذلك كود المصدر المفتوح: عاجلاً أم آجلاً، ستكون هناك حاجة إلى إصدار محدث.

في عام 2016، رأينا العواقب المترتبة على هذا الوضع: قام مطور يبلغ من العمر 28 عاما "باختراق" شبكة الإنترنت لفترة وجيزة عن طريق حذف كود المصدر المفتوح الخاص به، والذي كان قد جعله متاحا للعامة في السابق. تشير هذه القصة إلى أن البنية التحتية السيبرانية لدينا هشة للغاية. بعض الأشخاص - الذين يدعمون مشاريع المصدر المفتوح - مهمون جدًا للحفاظ عليها، لدرجة أنه إذا صدمتهم حافلة، لا سمح الله، فسوف تنقطع شبكة الإنترنت.

التعليمات البرمجية التي يصعب الحفاظ عليها هي المكان الذي تكمن فيه أخطر نقاط الضعف في الأمن السيبراني. بعض الشركات لا تدرك حتى مدى تعرضها للخطر بسبب صعوبة الحفاظ على التعليمات البرمجية. يمكن أن تنضج الثغرات الأمنية المرتبطة بمثل هذا الكود لتتحول إلى مشكلة حقيقية ببطء شديد: تتعفن الأنظمة ببطء، دون إظهار إخفاقات واضحة في عملية التعفن. وعندما يفشلون، تكون العواقب قاتلة.

أخيرًا، نظرًا لأن مشاريع OpenSource يتم تطويرها عادةً بواسطة مجتمع من المتحمسين، مثل Linus Torvalds أو مثل المتسللين من Model Railroad Club المذكورين في بداية المقالة، فإن مشكلات التعليمات البرمجية التي يصعب صيانتها لا يمكن حلها بالطرق التقليدية (باستخدام الرافعات التجارية والحكومية). لأن أعضاء هذه المجتمعات عنيدون ويقدرون استقلالهم قبل كل شيء.

الشريط الجانبي: ربما تقوم أجهزة المخابرات ومطورو برامج مكافحة الفيروسات بحمايتنا؟

في عام 2013، أصبح من المعروف أن لدى كاسبرسكي لاب وحدة خاصة تقوم بإجراء تحقيقات مخصصة في حوادث أمن المعلومات. حتى وقت قريب، كان يرأس هذا القسم رائد شرطة سابق، رسلان ستويانوف، الذي عمل سابقًا في قسم العاصمة "K" (USTM التابع لمديرية الشؤون الداخلية الرئيسية في موسكو). جميع موظفي هذه الوحدة الخاصة في Kaspersky Lab ينتمون إلى وكالات إنفاذ القانون، بما في ذلك لجنة التحقيق والمديرية "K". [أحد عشر]

وفي نهاية عام 2016، اعتقل جهاز الأمن الفيدرالي رسلان ستويانوف واتهمه بالخيانة. في نفس الحالة، تم القبض على سيرجي ميخائيلوف، وهو ممثل رفيع المستوى لـ FSB CIB (مركز أمن المعلومات)، والذي كان قبل الاعتقال مرتبطًا بالأمن السيبراني بأكمله في البلاد. [أحد عشر]

الشريط الجانبي: فرض الأمن السيبراني

وسرعان ما سيضطر رواد الأعمال الروس إلى إيلاء اهتمام جدي للأمن السيبراني. في يناير 2017، صرح نيكولاي موراشوف، ممثل مركز حماية المعلومات والاتصالات الخاصة، أنه في روسيا، تعرضت كائنات CII (البنية التحتية الحيوية للمعلومات) وحدها للهجوم أكثر من 2016 مليون مرة في عام 70. تشمل أهداف CII أنظمة المعلومات الخاصة بالوكالات الحكومية ومؤسسات صناعة الدفاع والنقل والائتمان والقطاعات المالية والطاقة والوقود والصناعات النووية. ومن أجل حمايتهم، وقع الرئيس الروسي فلاديمير بوتين، في السادس والعشرين من يوليو/تموز، على مجموعة من القوانين "حول سلامة المخابرات المركزية". بحلول 26 يناير 1، عندما يدخل القانون حيز التنفيذ، يجب على مالكي مرافق CII تنفيذ مجموعة من التدابير لحماية البنية التحتية الخاصة بهم من هجمات القراصنة، على وجه الخصوص، الاتصال بـ GosSOPKA. [2018]

قائمة المراجع

1. جوناثان ميليت. إنترنت الأشياء: أهمية تأمين أجهزتك الذكية // 2017.
2. روس أندرسون. كيف تفشل أنظمة الدفع بالبطاقة الذكية // بلاك هات. 2014.
3. إس جي مردوخ. الشريحة ورقم التعريف الشخصي مكسوران // وقائع ندوة IEEE حول الأمن والخصوصية. 2010. ص. 433-446.
4. ديفيد تالبوت. فيروسات الكمبيوتر "تتفشى" على الأجهزة الطبية في المستشفيات // إم آي تي ​​تكنولوجي ريفيو (رقمي). 2012.
5. كريج تيمبرج. شبكة من انعدام الأمن: التدفق في التصميم // واشنطن بوست. 2015.
6. مايكل ليستا. لقد كان هاكرًا مراهقًا أنفق ملايينه على السيارات والملابس والساعات، حتى اكتشف مكتب التحقيقات الفيدرالي الأمر // تورنتو لايف. 2018.
7. كريج تيمبرج. شبكة من انعدام الأمن: كارثة تم التنبؤ بها - وتم تجاهلها // واشنطن بوست. 2015.
8. كريج تيمبرج. العمر الطويل للحل السريع: بروتوكول الإنترنت من عام 1989 يترك البيانات عرضة للخاطفين // واشنطن بوست. 2015.
9. كريج تيمبرج. صافي انعدام الأمن: نواة الحجة // واشنطن بوست. 2015.
10. جوشوا غانز. هل يمكن للتعليمات البرمجية مفتوحة المصدر أن تجعل مخاوفنا بشأن العام 2 حقيقة؟ // هارفارد بيزنس ريفيو (رقمي). 2017.
11. القبض على مدير كبير لشركة Kaspersky من قبل FSB // سي نيوز. 2017. URL.
12. ماريا كولوميشينكو. خدمة الاستخبارات السيبرانية: اقترح سبيربنك إنشاء مقر لمكافحة المتسللين // كرات الدم الحمراء. 2017.

المصدر: www.habr.com