Калі «чорныя капелюшы», - будучы санітарамі дзікага лесу кіберпрасторы, - аказваюцца асабліва паспяховымі ў сваёй чорнай справе, жоўтыя СМІ пішчаць ад захаплення. У выніку свет пачынае глядзець на кібербяспеку сур'ёзней. Але нажаль не адразу. Таму, нягледзячы на ​​ўсё большую колькасць катастрафічных кіберынцыдэнтаў, свет пакуль яшчэ не саспеў да актыўных папераджальных мер. Аднак чакаецца, што ў бліжэйшай будучыні дзякуючы «чорным капелюшам» свет усё ж такі пачне глядзець на кібербяспеку сур'ёзна. [7]

Гэтак жа сур'ёзна, як і на пажары… Калісьці гарады былі вельмі ўразлівыя для катастрафічных пажараў. Аднак, нягледзячы на ​​патэнцыйную небяспеку, папераджальныя ахоўныя меры не прадпрымаліся, - нават пасля гіганцкага пажару ў Чыкага, у 1871 году, які забраў сотні жыццяў і пазбавіў прытулку сотні тысяч людзей. Папераджальныя ахоўныя меры былі зроблены толькі пасля таго, як такая катастрофа паўтарылася зноў, праз тры гады. Тое ж самае з кібербяспекай - свет не будзе вырашаць гэтую праблему, калі не будзе катастрафічных інцыдэнтаў. Але нават калі такія інцыдэнты і будуць, мір не будзе вырашаць гэтую праблему адразу. [7] Таму нават прымаўка: «Пакуль баг не грымне, мужык не перапатчыцца», – працуе не зусім. Таму ў 2018 годзе мы адсвяткавалі 30-гадовы юбілей нястрымнай неабароненасці.

Лірычны адступ

Пачатак гэтага артыкула, які я першапачаткова пісаў для часопіса "Сістэмны адміністратар", апынулася ў некаторым сэнсе прарочым. Выпуск часопіса з гэтым артыкулам выйшаў літаральна дзень у дзень з трагічным пажарам у кемераўскім ТРЦ «Зімовая вішня» (2018, 20-га сакавіка).

Пакласці Інтэрнэт за 30 хвілін

Яшчэ ў 1988 году легендарная хакерская плеяда L0pht, выступаючы ў поўным складзе перад зборам самых уплывовых заходніх службоўцаў, заявіла: «Ваша кампутарызаванае абсталяванне ўразлівае для кібератак з Інтэрнэту. І софт, і жалеза, і тэлекамунікацыі. Іх вендараў такое становішча рэчаў зусім не клапоціць. Таму што ў сучасным заканадаўстве не прадугледжана якая-небудзь адказнасць за халатны падыход да забеспячэння кібербяспекі софту і жалеза. Адказнасць за патэнцыйна магчымыя збоі (хоць самаадвольныя, хоць выкліканыя ўмяшаннем кіберзлачынцаў) - ляжыць выключна на карыстачу абсталявання. Што ж тычыцца федэральнага ўрада, то ён для вырашэння гэтай праблемы не мае ні навыкаў, ні жадання. Таму калі вы шукаеце кібербяспекі, то Інтэрнэт не тое месца, дзе яе можна адшукаць. Цалкам зламаць Інтэрнэт, і адпаведна захапіць поўны кантроль над завязаным на яго абсталяваннем, - можа кожны з сямі чалавек, якія сядзяць перад вамі. Сам-адзін. 30 хвілін харэаграфічнага націску клавіш - і справа зроблена». [7]

Чыноўнікі шматзначна кіўнулі, даючы зразумець, што разумеюць усю сур'ёзнасць сітуацыі, але так нічога і не зрабілі. Сёння, роўна праз 30 гадоў пасля легендарнага выступу L0pht, у свеце па-ранейшаму пануе «нястрымная неабароненасць». Узлом кампутарызаванага, завязанага на Інтэрнэт абсталявання, настолькі лёгкі, што Інтэрнэт, – першапачаткова ўяўлялы сабой царства ідэалістычна настроеных навукоўцаў і энтузіястаў, – паступова акупавалі самыя прагматычныя з прафесіяналаў: ашуканцы, аферысты, шпіёны, тэрарысты. Усе яны эксплуатуюць уразлівасці кампутарызаванага абсталявання – для вымання фінансавай ці якой-небудзь іншай выгады. [7]

Вендары грэбуюць кібербяспекай

Вендары часам вядома спрабуюць выправіць некаторыя з выяўленых уразлівасцяў, але робяць гэта вельмі неахвотна. Таму што прыбытак ім прыносіць не абарона ад хакераў, а новая функцыянальнасць, якую яны спажыўцам падаюць. Будучы арыентаванымі выключна на кароткатэрміновую прыбытак, вендары ўкладваюць грошы толькі ў вырашэнне рэальных праблем, а не гіпатэтычных. Кібербяспека ж, у вачах многіх з іх, - рэч гіпатэтычная. [7]

Кібербяспека рэч нябачная, невымоўная. Якая адчуваецца яна становіцца толькі калі з ёй праблемы ўзнікаюць. Калі ж пра яе добра паклапаціліся (шмат грошай на яе забеспячэнне выдаткавалі), і праблем з ёй не ўзнікае, - пераплачваць за яе канчатковы спажывец не захоча. Акрамя таго, акрамя павелічэння фінансавых затрат, рэалізацыя ахоўных мер патрабуе дадатковага часу на распрацоўку, патрабуе абмежавання магчымасцей абсталявання, прыводзіць да зніжэння яго прадукцыйнасці. [8]

У мэтазгоднасці пералічаных выдаткаў нават уласных маркетолагаў пераканаць цяжка, што ўжо казаць аб канчатковых спажыўцах. А паколькі сучасных вендараў цікавіць выключна кароткатэрміновы прыбытак ад продажаў, яны зусім не схільныя браць адказнасць за забеспячэнне кібербяспекі сваіх тварэнняў. [1] З іншага боку, больш клапатлівыя вендары, якія ўсё-ткі паклапаціліся аб кібербяспецы свайго абсталявання, сутыкаюцца з тым, што карпаратыўныя спажыўцы аддаюць перавагу – больш танным і простым у звароце альтэрнатывам. В.а. відавочна, што карпаратыўных спажыўцоў кібербяспека таксама клапоціць мала. [8]

У святле вышэйсказанага нядзіўна, што вендары схільныя грэбаваць кібербяспекай, і прытрымліваюцца наступнай філасофіі: «Працягвай будаваць, працягвай прадаваць і пры неабходнасці рабі патчы. Упала сістэма? Пацерлася інфармацыя? Скрадзена база дадзеных з нумарамі крэдытных карт? У абсталяванні выяўлены неадхільныя ўразлівасці? Не бяда!» Спажыўцам жа ў сваю чаргу даводзіцца прытрымлівацца прынцыпу: "Прапатчыў і маліся". [7]

Як гэта адбываецца: прыклады з дзікай прыроды

Яркі прыклад грэбавання кібербяспекай пры распрацоўцы – карпаратыўная матывацыйная праграма Microsoft: «Выбіўся з тэрмінаў – з цябе штраф. Не паспеў прадставіць рэліз сваёй навацыі своечасова - яна не будзе ўкаранёна. Не будзе ўкаранёна – не атрымаеш акцый кампаніі (кавалка пірага ад прыбытку Microsoft)». Пачынальна з 1993 гады Microsoft пачала актыўна завязваць свае прадукты на Інтэрнэт. Паколькі дадзеная ініцыятыва дзейнічала ў рэчышчы гэтай жа самай матывацыйнай праграмы, функцыянальныя магчымасці пашыраліся хутчэй, чым за імі паспявала абарона. На радасць прагматычным паляўнічым за ўразлівасцямі… [7]

Іншы прыклад - сітуацыя з кампутарамі і наўтбукамі: яны не пастаўляюцца з прадусталяваным антывірусам; і перадусталёўка надзейных пароляў у іх таксама не прадугледжана. Мяркуецца, што ўсталёўваць антывірус і задаваць параметры канфігурацыі бяспекі - будзе канчатковы карыстач. [1]

Яшчэ адзін, больш экстрэмальны прыклад: сітуацыя з кібербяспекай гандлёвага абсталявання (касавыя апараты, PoS-тэрміналы для гандлёвых цэнтраў і да т.п.). Так павялося, што вендары гандлёвага абсталявання прадаюць толькі тое, што прадаецца, а не тое што бяспечна. [2] Калі вендары гандлёвага абсталявання аб чымсьці і клапоцяцца ў плане кібербяспекі, дык гэта аб тым, каб у выпадку ўзнікнення спрэчнага інцыдэнту - адказнасць ўпала на іншых. [3]

Паказальны прыклад такога развіцця падзей: папулярызацыя EMV-стандарту для банкаўскіх карт, які дзякуючы пісьменнай працы банкаўскіх маркетолагаў выглядае ў вачах неспрактыкаванай тэхнічнымі ведамі публікі, - як больш бяспечная альтэрнатыва для "састарэлых" магнітных карт. Пры гэтым, асноўная матывацыя банкаўскай індустрыі, якая адказвала за распрацоўку EMV-стандарту, складалася ў тым, каб перакласці адказнасць за ашуканскія інцыдэнты (якія здараюцца па віне кардэраў) - з крам на пакупнікоў. Тады як раней (калі плацяжы ажыццяўляліся магнітнымі картамі) за разыходжанні ў дэбіце / крэдыце фінансавая адказнасць ляжала на крамах. [3] В.а. банкі, якія апрацоўваюць плацяжы, звальваюць адказнасць або на прадаўцоў (якія карыстаюцца іх сістэмамі дыстанцыйнага банкаўскага абслугоўвання), або на банкі, якія выпускаюць плацежныя карты; двое апошніх у сваю чаргу перакладаюць адказнасць на трымальніка карты. [2]

Вендары перашкаджаюць забеспячэнню кібербяспекі

Па меры таго, як паверхня лічбавых нападаў няўмольна пашыраецца, – дзякуючы выбухному прыросту падлучаных да Інтэрнэту прылад, – усачыць за тым, што падлучана да карпаратыўнай сеткі, становіцца ўсё цяжэй. Пры гэтым клопаты аб бяспецы ўсяго падлучанага да Інтэрнэту абсталявання, вендары перакладаюць на канчатковага карыстальніка [1]: «Выратаванне тапельцаў – справа рук саміх тапельцаў».

Мала таго, што вендары не клапоцяцца аб кібербяспецы сваіх тварэнняў, так яны ў некаторых выпадках яшчэ і перашкаджаюць яе забеспячэнню. Так напрыклад, калі ў 2009 годзе сеткавы чарвяк Conficker пратачыўся ў медыцынскі цэнтр «Beth Israel» і заразіў там частка медыцынскага абсталявання, - тэхнічны дырэктар гэтага медыцынскага цэнтра ў мэтах прадухілення ўзнікнення падобных інцыдэнтаў у будучыні, вырашыў адключыць на пацярпелым ад чарвяка абсталяванні функцыю падтрымкі з сеткай. Аднак ён сутыкнуўся з тым, што "абсталяванне не можа быць абноўлена з-за нарматыўных абмежаванняў". Яму запатрабаваліся значныя намаганні, каб узгадніць з вендарам адключэнне сеткавых функцый. [4]

Прынцыповая кібер-не-бяспека Інтэрнэту

Дэвід Кларк, легендарны прафесар MIT, які заслужыў сваёй геніяльнай праніклівасцю мянушка "Альбус Дамблдор", - сапраўды памятае той дзень, калі свету адкрыўся цёмны бок Інтэрнэту. Кларк старшыняваў у лістападзе 1988 гады на канферэнцыі па тэлекамунікацыях, калі прагрымела навіна аб тым, што па сеткавых правадах слізгануў першы ў гісторыі кампутарны чарвяк. Кларку гэты момант запомніўся таму, што да адказнасці за распаўсюджванне гэтага чарвяка - быў прыцягнуты прысутны на яго канферэнцыі дакладчык (супрацоўнік адной з лідзіруючых тэлекамунікацыйных кампаніі). Гэты дакладчык у запале эмоцый неасцярожна абмовіўся: «Вось тыя на! Я ж накшталт закрыў гэтую ўразлівасць», - за гэтыя свае словы ён і паплаціўся. [5]

Аднак пазней высветлілася, што ўразлівасць, праз якую распаўсюдзіўся згаданы чарвяк - не з'яўляецца заслугай нейкага асобнага чалавека. І гэта, строга кажучы, нават не ўразлівасць была, а фундаментальная асаблівасць Інтэрнэту: заснавальнікі Інтэрнэту пры распрацоўцы свайго стварэння засяродзіліся выключна на хуткасці перадачы даных і адмоваўстойлівасці. Задачу забеспячэння кібербяспекі яны сабе не ставілі. [5]

Сёння, праз дзесяцігоддзі з моманту заснавання Інтэрнэту, - калі ўжо сотні мільярдаў даляраў выдаткаваныя на марныя спробы забяспечыць кібербяспеку, - Інтэрнэт не стаў менш уразлівым. Праблемы з яго кібербяспекай з кожным годам толькі пагаршаюцца. Аднак, ці маем мы права асуджаць за гэта родапачынальнікаў Інтэрнету? Бо напрыклад, ніхто ж не будзе асуджаць будаўнікоў хуткасных аўтастрад за тое, што на "іх дарогах" аварыі здараюцца; і ніхто ж ня будзе асуджаць горадабудаўнікоў за тое, што ў іхніх гарадах рабаваньні адбываюцца. [5]

Як зараджалася хакерская субкультура

Хакерская субкультура зарадзілася ў пачатку 1960-х гадоў, у «Клубе тэхнічнага мадэлявання чыгункі» (дзеючым у сценах Масачусецкага тэхналагічнага інстытута). Энтузіясты клуба спраектавалі і сабралі мадэль чыгункі, - настолькі велізарную, што яна апанавалі сабой увесь пакой. Члены клуба самаадвольна дзяліліся на дзве групы: міратворцы і сістэмшчыкі. [6]

Першыя працавалі з надземнай часткай мадэлі, другія - з падземнай. Першыя збіралі і размалёўвалі мадэлі цягнікоў і гарадоў: мадэлявалі цэлы свет у мініяцюры. Другія працавалі над тэхнічным забеспячэннем усёй гэтай міратворчасці: хітраспляценне правадоў, рэле і каардынатных камутатараў, размешчаных у падземнай частцы мадэлі, – усім тым, што кантралявала «надземную» частку і запатрабавала яе энергіяй. [6]

Калі ўзнікала праблема з трафікам і нехта прыдумляў новае дасціпнае рашэнне для яе ўстаранення, то гэтае рашэнне называлі «хакам». Для чальцоў клуба пошук новых хакаў ператварыўся ў самакаштоўны сэнс жыцця. Менавіта таму яны сталі зваць сябе "хакерамі". [6]

Першае пакаленне хакераў рэалізоўвала набытыя ў "Клубе мадэлявання чыгункі" навыкі, - пры напісанні кампутарных праграм на перфакартах. Затым, калі да 1969 году ва ўніверсітэцкае мястэчка прыбыў ARPANET (папярэднік Інтэрнэту), яго найболей актыўнымі і кваліфікаванымі карыстачамі сталі менавіта хакеры. [6]

Цяпер, праз дзесяцігоддзі, сучасны Інтэрнэт нагадвае тую самую «падземную» частку мадэлі чыгункі. Таму што яго родапачынальнікамі былі гэтыя ж самыя хакеры, выхаванцы "Клуба мадэлявання чыгункі". Толькі хакеры зараз замест змадэляваных мініяцюр арудуюць рэальнымі гарадамі. [6]

Як з'явілася BGP-маршрутызацыя

Да канца 80-х у выніку лавінападобнага павелічэння колькасці прылад падлучаных да Інтэрнэту, Інтэрнэт наблізіўся да цвёрдага матэматычнага абмежавання, убудаванаму ў адзін з базавых інтэрнэт-пратаколаў. Таму любая гутарка тагачасных інжынераў, у рэшце рэшт, пераходзіла ў абмеркаванне гэтай праблемы. Не былі выключэннем і двое сяброў: Якаў Рэхтэр (інжынер з IBM) і Кірк Локхід (заснавальнік Cisco). Выпадкова сустрэўшыся за абедным сталом, - яны пачалі абмяркоўваць меры па захаванні працаздольнасці Інтэрнэту. Узнікаючыя ідэі прыяцелі запісвалі на тым, што трапілася пад руку, - запэцканай сурвэтцы кетчупам. Затым другі. Затым трэцяй. "Пратакол на трох сурвэтках", як яго жартам назвалі вынаходнікі, – вядомы ў афіцыйных колах як BGP (Border Gateway Protocol; пратакол памежнай маршрутызацыі), – неўзабаве зрабіў рэвалюцыю ў Інтэрнэце. [8]

Для Рэхтэра і Лакхіда BGP быў проста нязмушаным хакам, распрацаваным у духу згаданага вышэй «Клуба мадэлявання чыгункі», - часовым рашэннем, якое неўзабаве варта было б замяніць. Прыяцелі распрацавалі BGP у 1989 году. Аднак сёння, праз ужо 30 гадоў, пераважная частка Інтэрнэт-трафіку па-ранейшаму маршрутызуецца "пратаколам на трох сурвэтках", - нягледзячы на ​​ўсё больш і больш трывожныя званочкі аб крытычных праблемах з яго кібербяспекай. Часовы хак стаў адным з базавых інтэрнэт-пратаколаў, а ягоныя распрацоўшчыкі на ўласным досведзе пераканаліся ў тым, што «няма нічога больш сталага, чым часовыя рашэнні». [8]

Сеткі па ўсім свеце перайшлі на BGP. Уплывовыя вендары, заможныя кліенты і тэлекамунікацыйныя кампаніі - вельмі хутка пакахалі BGP і абвыклі да яго. Таму нават нягледзячы на ​​ўсё больш і больш трывожныя званочкі аб небяспецы гэтага пратакола, – IT-грамадскасць так і не праяўляюць энтузіязму да пераходу на новае, больш абароненае, абсталяванне. [8]

Кібер-не-бяспека BGP-маршрутызацыі

Чым жа такая добрая BGP-маршрутызацыя і чаму IT-грамадскасць не спяшаецца ад яе адмаўляцца? BGP дапамагае маршрутызатарам прымаць рашэнні аб тым, куды варта накіроўваць гіганцкія струмені дадзеных, якія перадаюцца праз велізарную сетку перасякальных ліній сувязі. BGP дапамагае маршрутызатарам выбіраць прыдатныя шляхі, нягледзячы на ​​тое, што сетка пастаянна змяняецца і на папулярных маршрутах нярэдка ўтвараюцца пробкі з трафіку. Праблема ў тым, што ў Інтэрнеце няма глабальнай карты маршрутызацыі. Маршрутызатары, якія выкарыстоўваюць BGP, прымаюць рашэнні аб выбары таго ці іншага шляху - на аснове інфармацыі, атрыманай ад суседзяў па кіберпрасторы, якія ў сваю чаргу, збіраюць інфармацыю ад сваіх суседзяў і г.д. Аднак гэтую інфармацыю лёгка фальсіфікаваць, а значыць BGP-маршрутызацыя вельмі ўразлівая для MiTM-нападаў. [8]

Таму рэгулярна ўзнікаюць пытанні накшталт наступных: "Чаму трафік паміж двума кампутарамі ў Дэнверы зрабіў гіганцкі крук праз Ісландыю?", "Чаму сакрэтныя дадзеныя Пентагона аднойчы былі перададзены транзітам праз Пекін?". У падобных пытанняў ёсць тэхнічныя адказы, але ўсе яны зводзяцца да таго факту, што праца BGP-пратакола заснавана на даверы: на даверы да рэкамендацый, атрыманых ад суседніх маршрутызатараў. Дзякуючы давернай прыродзе BGP-пратакола таямнічыя уладары трафіку пры жаданні могуць прыцягваць чужыя струмені дадзеных у свае валадарствы. [8]

Жывы прыклад - BGP-напад Кітая на амерыканскі Пентагон. У красавіку 2010 года дзяржаўны тэлекамунікацыйны гігант, China Telecom, адправіў дзясяткам тысяч маршрутызатараў па ўсім свеце, у тым ліку 16 тысячам з ЗША, BGP-паведамленне аб наяўнасці лепшых маршрутаў. У адсутнасць сістэмы, якая магла б праверыць дакладнасць BGP-паведамлення ад China Telecom, маршрутызатары па ўсім свеце пачалі адпраўляць дадзеныя транзітам праз Пекін. У тым ліку трафік Пентагона і іншых сайтаў амерыканскага міністэрства абароны. Лёгкасць, з якой быў перанакіраваны трафік, і адсутнасць эфектыўнай абароны ад падобнага роду нападаў, - чарговы званочак небяспекі BGP-маршрутызацыі. [8]

Пратакол BGP тэарэтычна ўразлівы нават для яшчэ больш небяспечнай кібератакі. У выпадку, калі міжнародныя канфлікты разгорнуцца ў кіберпрасторы ў поўную сілу, China Telecom, ці які-небудзь іншы тэлекамунікацыйны гігант - мог бы паспрабаваць абвясціць сваімі валадарствамі ўчасткі Інтэрнэту, якія насамрэч яму не прыналежаць. Такі ход збіў бы з панталыку маршрутызатары, якім прыйшлося б кідацца паміж канкуруючымі заяўкамі на адны і тыя ж блокі інтэрнэт-адрасоў. Не маючы магчымасці адрозніць праўдзівую заяўку ад падробленых, маршрутызатары б пачалі дзейнічаць хаатычна. У выніку мы б сутыкнуліся з Інтэрнэт-эквівалентам ядзернай вайны – адкрытай буйнамаштабнай праявай варожасці. Такое развіццё падзей у часы адноснага свету здаецца нерэалістычным, але тэхнічна яно цалкам здзяйсняльна. [8]

Марная спроба перайсці ад BGP да BGPSEC

Пры распрацоўцы BGP кібербяспека да ўвагі не прымалася, таму што на той момант узломы былі рэдкімі, а шкода ад іх нікчэмным. Перад распрацоўшчыкамі BGP-пратакола, паколькі яны працавалі ў тэлекамунікацыйных кампаніях і былі зацікаўлены ў продажы свайго сеткавага абсталявання, стаяла больш надзённая задача: пазбегнуць самаадвольных паломак Інтэрнэту. Таму што перабоі ў працы Інтэрнэту маглі адапхнуць карыстачоў, і тым самым зменшыць продажы сеткавага абсталявання. [8]

Пасля інцыдэнту з перадачай амерыканскага ваеннага трафіку праз Пекін у красавіку 2010 года - тэмпы работ па забеспячэнні кібербяспекі BGP-маршрутызацыі вядома паскорыліся. Аднак тэлекамунікацыйныя вендары не праяўляюць вялікага энтузіязму да таго, каб несці выдаткі, звязаныя з пераходам на новы бяспечны пратакол маршрутызацыі BGPSEC, прапанаваны ў якасці замены небяспечнага BGP. Вендары па-ранейшаму лічаць BGP суцэль прымальным, нават нягледзячы на ​​незлічоныя інцыдэнты з перахопам трафіку. [8]

Радыё Перлман, якую за вынаходства ў 1988 годзе (за год да з'яўлення BGP) іншага важнага сеткавага пратакола, ахрысцілі "маці Інтэрнэту", - абараніла ў MIT доктарскую дысертацыю, якая стала прароцкай. Перлман прадказала, што пратакол маршрутызацыі, які залежыць ад сумленнасці суседзяў у кіберпрасторы, - у корані небяспечны. Перлман выступала за выкарыстанне крыптаграфіі, якая дапамагла б абмежаваць магчымасці фальсіфікацыі. Аднак укараненне BGP ужо ішло поўным ходам, уплывовая IT-грамадскасць прывыкла да яго, і нічога не хацела мяняць. Таму пасля аргументаваных папярэджанняў з боку Перлман, Кларка і некаторых іншых вядомых сусветных экспертаў, адносная доля крыптаграфічна абароненай BGP-маршрутызацыі ніколькі не павялічылася, і па-ранейшаму складае 0%. [8]

BGP-маршрутызацыя - далёка не адзіны «хак»

І бо BGP-маршрутызацыя – не адзіны хак, які пацвярджае ідэю аб тым, што "няма нічога больш сталага, чым часавыя рашэнні". Часам Інтэрнэт, які апускае нас у фантастычныя міры, здаецца гэтак жа элегантным, як гоначны аўтамабіль. Аднак у рэчаіснасці з-за нагрувашчаных сябар на сябра хакаў, Інтэрнэт хутчэй на Франкенштэйна падобны, чым на Ферары. Таму што гэтыя хакі (якія больш афіцыйна патчамі завуць) так і не замяняюцца надзейнымі тэхналогіямі. Следствы такога падыходу сумныя: штодня і кожную гадзіну кіберзлачынцы ўзломваюць уразлівыя сістэмы, пашыраючы маштабы кіберзлачыннасці да неймаверных раней маштабаў. [8]

Многія эксплуатуемыя кіберзлачынцамі заганы вядомыя ўжо даўным-даўно, і захаваліся выключна дзякуючы схільнасці ІТ-грамадскасці вырашаць якія ўзнікаюць праблемы – часавымі хакамі/патчамі. Часам, з-за гэтага састарэлыя тэхналогіі працяглы час грувасцяцца адна на іншую, абцяжарваючы жыццё людзей і падвяргаючы іх небяспекі. Што б вы падумалі, калі б даведаліся, што ваш банк будуе сваё сховішча на падмурку з саломы і бруду? Даверылі б вы яму захоўваць свае зберажэнні? [8]

Бесклапотны настрой Лінуса Торвальдса

Прайшлі цэлыя гады, перш чым Інтэрнэт дасягнуў сваіх першых ста кампутараў. Сёння да яго падключаецца па 100 новых кампутараў і іншых прылад - штосекундна. Па меры лавінападобнага росту падлучаных да Інтэрнэту прылад, расце і актуальнасць праблем кібербяспекі. Аднак чалавек, які мог бы аказаць найбольшы ўплыў у вырашэнні гэтых праблем, - адносіцца да забеспячэння кібербяспекі з грэбаваннем. Гэтага чалавека называюць геніем, хуліганам, духоўным лідэрам і добразычлівым дыктатарам. Лінус Торвальдс. Пераважная большасць падлучаных да Інтэрнэту прылад - працуюць пад кіраваннем яго аперацыйнай сістэмы, Linux. Хуткая, гнуткая, вольная, - Linux з цягам часу становіцца ўсё папулярнейшай. Пры гэтым паводзіць сябе вельмі стабільна. І можа працаваць без перазагрузкі на працягу многіх гадоў. Менавіта таму Linux мае гонар быць дамінантнай аперацыйнай сістэмай. Практычна ўсё кампутарызаванае абсталяванне, даступнае нам сёння, працуе пад кіраваннем Linux: серверы, медыцынскае абсталяванне, бартавыя кампутары, малюсенькія дроны, ваенныя самалёты і шматлікае іншае. [9]

Linux мае поспех у асноўным таму, што Торвальдс робіць акцэнт на прадукцыйнасці і адмоваўстойлівасці. Аднак робіць ён гэта акцэнт - у шкоду кібербяспекі. Нават калі кіберпрастора і рэальны фізічны свет перапляліся, і кібербяспека стала пытаннем агульнапланетарнага маштабу, Торвальдс працягвае супрацьстаяць укараненню бяспечных навацый у сваю аперацыйную сістэму. [9]

Таму нават сярод шматлікіх прыхільнікаў Linux расце турботу аб уразлівасцях гэтай аперацыйнай сістэмы. У асаблівасці самай інтымнай часткі Linux'а, - яго ядра, над якім Торвальдс працуе асабіста. Прыхільнікі Linux'а бачаць, што Торвальдс не ставіцца да праблем кібербяспекі сур'ёзна. Больш за тое, Торвальдс атачыў сябе распрацоўшчыкамі, якія падзяляюць гэтую яго бесклапотнасць. Калі ж хтосьці з бліжэйшага кола Торвальдса пачынае размову аб укараненні бяспечных навацый, - яго тут жа здраджваюць анафеме. Адну групу такіх наватараў Торвальдс звольніў, назваўшы іх «мастурбуючымі малпамі». Развітваючыся з іншай групай якія растуць за бяспеку распрацоўшчыкаў, Торвальдс сказаў ім: «Ці не зробіце ласку вы забіць сябе. Свет ад гэтага стаў бы лепшы». Калі б гаворка ні заходзіла аб даданні функцый бяспекі, Торвальдс заўсёды быў супраць. [9] У Торвальдса ў сувязі гэтым ёсць нават цэлая філасофія, якая не пазбаўлена збожжа разумнага сэнсу:

«Абсалютная бяспека - недасяжная. Таму яе заўсёды трэба разглядаць толькі ў супастаўленні з іншымі прыярытэтамі: хуткасць, гнуткасць і прастата выкарыстання. Людзі, якія цалкам аддаюць сябе забеспячэнню абароны - вар'яты. Іх мысленне абмежаванае, чорна-белае. Бяспека сама па сабе бескарысная. Іста заўсёды знаходзіцца дзесьці ў іншым месцы. Таму вы не зможаце забяспечыць абсалютную бяспеку, нават калі моцна захочаце. Вядома, ёсць людзі, якія надаюць бяспецы больш увагі, чым Торвальдс. Аднак гэтыя хлопцы проста працуюць над тым, што ім цікава, і гарантуюць бяспеку ў вузкіх адносных рамках, якія акрэсліваюць гэтыя іх інтарэсы. Не больш за. Так што павелічэнню абсалютнай бяспекі яны ніякім чынам не спрыяюць». [9]

Урэзка: З OpenSource як на парахавой бочцы [10]

OpenSource-код зэканоміў мільярды ў выдатках на распрацоўку софту, выключыўшы неабходнасць дубляваных высілкаў: з OpenSource у праграмістаў ёсць магчымасць карыстацца актуальнымі навацыямі без абмежаванняў і аплаты. OpenSource выкарыстоўваецца паўсюдна. Нават калі вы нанялі распрацоўніка софту для рашэння сваёй спецыялізаванай задачы "з нуля", гэты распрацоўшчык верагодней за ўсё задзейнічае якую-небудзь OpenSource-бібліятэку. І напэўна не адну. Такім чынам, элементы OpenSource прысутнічаюць практычна ўсюды. Разам з тым, варта разумець, што ніякі софт не з'яўляецца статычным, яго код увесь час змяняецца. Таму прынцып "размясціў і забыўся" - для кода ніколі не працуе. У тым ліку і для OpenSource-кода: рана ці позна запатрабуецца яго абноўленая версія.

У 2016 годзе мы ўбачылі наступствы такога стану рэчаў: 28-гадовы распрацоўшчык ненадоўга «зламаў» Інтэрнэт, выдаліўшы свой OpenSource-код, які раней зрабіў агульнадаступным. Гэтая гісторыя паказвае на тое, што наша кіберынфраструктура вельмі далікатная. Некаторыя людзі, - на якіх трымаюцца OpenSource-праекты, - важныя для яе падтрымання настолькі, што калі іх не дай Бог зб'е аўтобус, то Інтэрнэт зламаецца.

Цяжкападтрымліваемы код - гэта менавіта тое месца, дзе ўтойваюцца самыя сур'ёзныя ўразлівасці кібербяспекі. Асобныя кампаніі нават не падазраюць, наколькі яны ўразлівыя з-за цяжкападтрымліваемага кода. Звязаныя з такім кодам уразлівасці могуць выспяваць у рэальную праблему вельмі павольна: сістэмы павольна загніваюць, не дэманструючы падчас гэтага гніення бачных збояў. А калі яны ўсё ж такі даюць збой, то наступствы аказваюцца фатальнымі.

Нарэшце, паколькі OpenSource-праекты звычайна развіваюцца супольнасцю энтузіястаў, накшталт Лінуса Торвальдса ці накшталт згаданых у пачатку артыкула хакераў з "Клуба мадэлявання чыгункі", – праблемы цяжкападтрымліваемага кода не атрымліваецца вырашаць традыцыйнымі спосабамі (з ужываннем камерцыйных і ўрадавых рычагоў). Таму што сябры падобных суполак наравістыя і шануюць сваю незалежнасць вышэй за ўсё.

Урэзка: Можа быць нас абароняць спецслужбы і распрацоўшчыкі антывірусаў?

У 2013 годзе стала вядома, што ў "Лабараторыі Касперскага" існуе спецпадраздзяленне, якое ажыццяўляе заказныя расследаванні інцыдэнтаў у галіне інфармацыйнай бяспекі. Да нядаўняга часу гэты аддзел узначальваў былы маёр паліцыі, Руслан Стаянаў, які да гэтага працаваў у сталічным Упраўленні «К» (УСТМ ГУУС Масквы). Усе супрацоўнікі дадзенага спецпадраздзялення "Лабараторыі касперскага" - выхадцы з праваахоўных органаў, у тым ліку Следчага камітэта і Упраўлення "К". [11]

У канцы 2016 года ФСБ арыштавала Руслана Стаянава, і прад'явіла яму аб'яву ў дзяржаўнай здрадзе. Па той жа справе арыштавалі Сяргея Міхайлава, высокапастаўленага прадстаўніка ЦІБ ФСБ (цэнтр інфармацыйнай бяспекі), на якім да арышту была завязана ўся кібербяспека краіны. [11]

Урэзка: Кібербяспека ў прымусовым парадку

Хутка расейскіх прадпрымальнікаў будуць у прымусовым парадку прымушаць надаваць сур'ёзную ўвагу кібербяспекі. У студзені 2017 года прадстаўнік Цэнтра абароны інфармацыі і спецыяльнай сувязі Мікалай Мурашоў заяўляў, што ў Расіі адны толькі КІІ-аб'екты (крытычная інфармацыйная інфраструктура) падвергліся ў 2016 годзе атакам больш за 70 млн. разоў. Да КІІ-аб'ектаў адносяцца інфармацыйныя сістэмы дзяржорганаў, прадпрыемстваў абароннай прамысловасці, транспарту, крэдытна-фінансавай сферы, энергетыкі, паліўнай і атамнай прамысловасці. Для іх абароны 26 ліпеня прэзідэнтам Расіі Уладзімірам Пуціным быў падпісаны пакет законаў "Аб бяспецы КІІ". Да 1 студзеня 2018 года, калі закон уступае ў сілу, уладальнікі КІІ-аб'ектаў павінны рэалізаваць комплекс мер па абароне сваёй інфраструктуры ад хакерскіх нападаў, у прыватнасці падключыцца да ГосСОПКА. [12]

Бібліяграфія

1. Jonathan Millet. IoT: The Importance of Securing Your Smart Devices // 2017.
2. Ross Anderson. How smartcard payment systems fail // Black Hat. 2014.
3. SJ Murdoch. Chip and PIN is Broken // Працысаванне з IEEE Сімпозія на здароўе. 2010. pp. 433-446.
4. David Talbot. Кампутарныя вірусы А «Рампант» на медыцынскіх прадпрыемствах у hospitals // MIT Technology Review (Digital). 2012.
5. Craig Timberg. Net of Insecurity: Flow in the Design // The Washington Post. 2015.
6. Michael Lista. He was a teenage hacker who spent his millions on cars, clothes and watches-until the FBI caught on // Toronto Life. 2018.
7. Craig Timberg. Net of Insecurity: Disaster Foretold – і Ignored // The Washington Post. 2015.
8. Craig Timberg. long life of quick 'fix': Internet protocol ад 1989 г. // The Washington Post. 2015.
9. Craig Timberg. Net of Insecurity: The kernel of the argument // The Washington Post. 2015.
10. Joshua Gans. Could Open-Source Code Make Our Y2K Fears Finally Come True? // Harvard Business Review (Digital). 2017.
11. Топ-менеджэр "Касперскага" арыштаваны ФСБ // CNews. 2017. URL.
12. Марыя Каламычэнка. Кіберспецслужба: Ашчадбанк прапанаваў стварыць штаб барацьбы з хакерамі // РБК. 2017.

Крыніца: habr.com