Kada se "crni šeširi" - kao redari divlje šume sajber-prostora - ispostavi da su posebno uspješni u svom prljavom poslu, žuti mediji zacvile od oduševljenja. Kao rezultat toga, svijet počinje ozbiljnije gledati na sajber sigurnost. Ali nažalost ne odmah. Stoga, uprkos sve većem broju katastrofalnih sajber incidenata, svijet još nije zreo za aktivne proaktivne mjere. Međutim, očekuje se da će u bliskoj budućnosti, zahvaljujući "crnim šeširima", svijet početi ozbiljno shvaćati sajber sigurnost. [7]

Ozbiljan kao i požari... Gradovi su nekada bili veoma ranjivi na katastrofalne požare. Međutim, uprkos potencijalnoj opasnosti, proaktivne zaštitne mjere nisu preduzete - čak ni nakon ogromnog požara u Čikagu 1871. godine, koji je odnio stotine života i raseljavao stotine hiljada ljudi. Proaktivne zaštitne mjere poduzete su tek nakon što se slična katastrofa ponovila, tri godine kasnije. Isto je i sa sajber-bezbednošću – svet neće rešiti ovaj problem osim ako ne dođe do katastrofalnih incidenata. Ali čak i ako se takvi incidenti dogode, svijet neće odmah riješiti ovaj problem. [7] Stoga, čak ni izreka: „Dok se buba ne dogodi, čovjek neće biti zakrpljen“ ne funkcionira baš. Zato smo 2018. proslavili 30 godina sveopće nesigurnosti.

Lirska digresija

Početak ovog članka, koji sam prvobitno napisao za časopis System Administrator, pokazao se proročkim na neki način. Izdanje časopisa sa ovim člankom pušten bukvalno dan za danom sa tragičnim požarom u kemerovskom tržnom centru „Zimska trešnja“ (2018. mart 20).

Instalirajte Internet za 30 minuta

Davne 1988. legendarna hakerska galaksija L0pht, govoreći u punoj snazi ​​pred sastanak najuticajnijih zapadnih zvaničnika, izjavila je: „Vaša kompjuterizovana oprema je ranjiva na sajber napade sa Interneta. I softver, i hardver, i telekomunikacije. Njihovi prodavci uopće nisu zabrinuti zbog ovakvog stanja stvari. Zato što moderno zakonodavstvo ne predviđa nikakvu odgovornost za nemaran pristup osiguravanju sajber sigurnosti proizvedenog softvera i hardvera. Odgovornost za potencijalne kvarove (bilo spontane ili uzrokovane intervencijom sajber kriminalaca) snosi isključivo korisnik opreme. Što se tiče savezne vlade, ona nema ni sposobnosti ni želje da riješi ovaj problem. Stoga, ako tražite sajber-sigurnost, onda Internet nije mjesto da je pronađete. Svaki od sedam ljudi koji sjede ispred vas može potpuno razbiti internet i, shodno tome, preuzeti potpunu kontrolu nad opremom koja je na njega povezana. Od sebe. 30 minuta koreografskih pritisaka na tastere i gotovo je.” [7]

Zvaničnici su značajno kimnuli glavom, jasno dajući do znanja da shvataju ozbiljnost situacije, ali ništa nisu preduzeli. Danas, tačno 30 godina nakon L0phtovog legendarnog nastupa, svijet je još uvijek opterećen "divljujućom nesigurnošću". Hakiranje kompjuterizovane opreme koja je povezana na Internet je tako lako da je Internet, u početku carstvo idealističkih naučnika i entuzijasta, postepeno zaokupljali najpragmatičniji profesionalci: prevaranti, prevaranti, špijuni, teroristi. Svi oni koriste ranjivost kompjuterizovane opreme za finansijske ili druge koristi. [7]

Prodavci zanemaruju sajber sigurnost

Prodavci ponekad, naravno, pokušavaju da poprave neke od identifikovanih ranjivosti, ali to rade vrlo nevoljko. Jer njihov profit ne dolazi od zaštite od hakera, već od nove funkcionalnosti koju pružaju potrošačima. Budući da su fokusirani isključivo na kratkoročni profit, prodavci ulažu novac samo u rješavanje stvarnih, a ne hipotetičkih problema. Sajber sigurnost je, u očima mnogih od njih, hipotetička stvar. [7]

Sajber sigurnost je nevidljiva, nematerijalna stvar. Ono postaje opipljivo tek kada se s njim pojave problemi. Ako su se dobro pobrinuli za njega (potrošili su dosta novca na njegovo obezbjeđivanje), a s tim nema problema, krajnji potrošač neće htjeti da ga preplati. Osim toga, pored povećanja finansijskih troškova, implementacija zaštitnih mjera zahtijeva dodatno vrijeme razvoja, zahtijeva ograničavanje mogućnosti opreme i dovodi do smanjenja njene produktivnosti. [8]

U izvodljivost navedenih troškova teško je uvjeriti čak i vlastite trgovce, a kamoli krajnje potrošače. A budući da su moderni prodavci zainteresirani samo za kratkoročni profit od prodaje, oni uopće nisu skloni preuzeti odgovornost za osiguranje sajber sigurnosti svojih kreacija. [1] S druge strane, pažljiviji dobavljači koji su vodili računa o sajber sigurnosti svoje opreme suočeni su s činjenicom da korporativni potrošači preferiraju jeftinije i lakše za korištenje alternative. To. Očigledno je da ni korporativni potrošači ne brinu mnogo o sajber sigurnosti. [8]

U svjetlu gore navedenog, nije iznenađujuće da dobavljači imaju tendenciju da zanemare kibernetičku sigurnost i da se pridržavaju sljedeće filozofije: „Nastavite graditi, nastavite s prodajom i krpite kada je to potrebno. Da li se sistem srušio? Izgubljene informacije? Ukradena baza podataka sa brojevima kreditnih kartica? Da li su identifikovane fatalne ranjivosti u vašoj opremi? Nema problema!" Potrošači, zauzvrat, moraju slijediti princip: “Zakrpi se i moli se”. [7]

Kako se to događa: primjeri iz divljine

Upečatljiv primjer zanemarivanja sajber sigurnosti tokom razvoja je Microsoftov korporativni poticajni program: „Ako propustite rokove, bit ćete kažnjeni. Ako nemate vremena da objavite svoju inovaciju na vrijeme, ona neće biti implementirana. Ako se ne implementira, nećete dobiti dionice kompanije (djelić kolača od Microsoftove dobiti).“ Od 1993. godine Microsoft je počeo aktivno da povezuje svoje proizvode s internetom. Budući da je ova inicijativa funkcionirala u skladu s istim motivacijskim programom, funkcionalnost se širila brže nego što je odbrana mogla pratiti. Na radost pragmatičnih lovaca na ranjivost... [7]

Drugi primjer je situacija sa računarima i laptopima: oni ne dolaze sa unaprijed instaliranim antivirusom; a takođe ne obezbjeđuju unaprijed postavljene jake lozinke. Pretpostavlja se da će krajnji korisnik instalirati antivirus i podesiti sigurnosne konfiguracijske parametre. [1]

Drugi, ekstremniji primjer: situacija sa sajber-sigurnošću maloprodajne opreme (kasne, PoS terminali za trgovačke centre, itd.). Desilo se da prodavci komercijalne opreme prodaju samo ono što se proda, a ne ono što je sigurno. [2] Ako postoji jedna stvar do koje dobavljači komercijalne opreme brinu u smislu sajber-sigurnosti, to je osiguranje da ako dođe do kontroverznog incidenta, odgovornost padne na druge. [3]

Indikativan primjer ovakvog razvoja događaja: popularizacija EMV standarda za bankovne kartice, koji se, zahvaljujući kompetentnom radu bankarskih marketara, pojavljuje u očima tehnički nedovoljno sofisticirane javnosti kao sigurnija alternativa „zastarjelim“ magnetne kartice. Istovremeno, glavna motivacija bankarske industrije, koja je bila odgovorna za razvoj EMV standarda, bila je prebacivanje odgovornosti za lažne incidente (do kojih je došlo krivicom kartičara) - sa prodavnica na potrošače. Dok su ranije (kada su se plaćanja vršila magnetnim karticama), finansijska odgovornost je ležala na prodavnicama za neslaganja u debitu/kreditu. [3] Dakle banke koje obrađuju plaćanja odgovornost prebacuju ili na trgovce (koji koriste svoje sisteme daljinskog bankarstva) ili na banke koje izdaju platne kartice; posljednja dva, zauzvrat, prebacuju odgovornost na vlasnika kartice. [2]

Prodavci ometaju sajber sigurnost

Kako se površina digitalnog napada neumoljivo širi – zahvaljujući eksploziji uređaja povezanih s internetom – praćenje onoga što je povezano s korporativnom mrežom postaje sve teže. U isto vrijeme, prodavači prebacuju brigu o sigurnosti sve opreme povezane s internetom na krajnjeg korisnika [1]: „Spašavanje davljenika je djelo samih davljenika.“

Ne samo da prodavcima nije stalo do sajber sigurnosti svojih kreacija, već se u nekim slučajevima i miješaju u njeno pružanje. Na primjer, kada je 2009. mrežni crv Conficker procurio u Beth Israel Medical Center i zarazio dio medicinske opreme tamo, tehnički direktor ovog medicinskog centra je, kako bi spriječio da se slični incidenti dešavaju u budućnosti, odlučio da onemogući funkciju podrške radu na opremi zahvaćenoj crvom sa mrežom. Međutim, suočio se s činjenicom da "oprema nije mogla biti ažurirana zbog regulatornih ograničenja". Trebalo mu je dosta truda da pregovara sa dobavljačem da onemogući mrežne funkcije. [4]

Fundamentalna sajber-nesigurnost interneta

David Clarke, legendarni profesor MIT-a, čija mu je genijalnost donijela nadimak "Albus Dumbledore", prisjeća se dana kada je mračna strana interneta otkrivena svijetu. Clark je predsjedavao konferencijom o telekomunikacijama u novembru 1988. kada su se pojavile vijesti da je prvi kompjuterski crv u historiji prošao kroz mrežne žice. Clark je zapamtio ovaj trenutak jer je govornik koji je bio prisutan na njegovoj konferenciji (zaposlenik jedne od vodećih telekomunikacijskih kompanija) smatran odgovornim za širenje ovog crva. Ovaj govornik je, u žaru emocija, nehotice rekao: „Izvolite!“ Čini se da sam zatvorio ovu ranjivost”, platio je ove riječi. [5]

Međutim, kasnije se pokazalo da ranjivost kojom se širio pomenuti crv nije zasluga nijednog pojedinca. A to, strogo govoreći, nije čak ni bila ranjivost, već fundamentalna karakteristika interneta: osnivači interneta, kada su razvijali svoju zamisao, fokusirali su se isključivo na brzinu prijenosa podataka i toleranciju grešaka. Oni sebi nisu postavili zadatak da obezbede sajber bezbednost. [5]

Danas, decenijama nakon osnivanja interneta – sa stotinama milijardi dolara već potrošenih na uzaludne pokušaje sajber sigurnosti – internet nije ništa manje ranjiv. Njegovi problemi sa sajber-bezbednošću se samo pogoršavaju svake godine. Međutim, imamo li pravo osuđivati ​​osnivače interneta zbog toga? Uostalom, niko neće osuditi graditelje brzih puteva zbog toga što se nesreće dešavaju na „njihovim putevima“; i niko neće osuditi urbaniste zbog činjenice da se pljačke dešavaju u “njihovim gradovima”. [5]

Kako je rođena hakerska subkultura

Hakerska potkultura nastala je ranih 1960-ih, u "Klubu tehničkih modela željeznica" (koji djeluje unutar zidova Massachusetts Institute of Technology). Klubski entuzijasti dizajnirali su i sastavili maketu pruge, toliko ogromnu da je ispunila cijelu prostoriju. Članovi kluba su se spontano podijelili u dvije grupe: mirotvorci i sistemski stručnjaci. [6]

Prvi je radio s nadzemnim dijelom modela, drugi - s podzemnim. Prvi su sakupljali i ukrašavali makete vozova i gradova: modelirali su cijeli svijet u minijaturi. Potonji je radio na tehničkoj podršci za sve ovo mirotvorstvo: zamršenost žica, releja i koordinatnih prekidača smještenih u podzemnom dijelu modela - sve što je kontroliralo "nadzemni" dio i hranilo ga energijom. [6]

Kada je došlo do saobraćajnog problema i neko je smislio novo i genijalno rešenje da ga reši, rešenje se zvalo „hak“. Za članove kluba, potraga za novim hakovima postala je suštinski smisao života. Zbog toga su sebe počeli nazivati ​​"hakerima". [6]

Prva generacija hakera implementirala je vještine stečene u Simulation Railway Clubu pisanjem kompjuterskih programa na bušenim karticama. Zatim, kada je ARPANET (prethodnik Interneta) stigao na kampus 1969. godine, hakeri su postali njegovi najaktivniji i najvještiji korisnici. [6]

Sada, decenijama kasnije, savremeni internet liči na onaj „podzemni“ deo makete pruge. Jer njegovi osnivači su bili ti isti hakeri, studenti „Kluba za simulacije železnice“. Samo hakeri sada upravljaju stvarnim gradovima umjesto simuliranim minijaturama. [6]

Kako je nastalo BGP rutiranje

Krajem 80-ih, kao rezultat lavinskog porasta broja uređaja povezanih na Internet, Internet se približio tvrdoj matematičkoj granici ugrađenoj u jedan od osnovnih Internet protokola. Stoga se svaki razgovor između inženjera tog vremena na kraju pretvorio u raspravu o ovom problemu. Dva prijatelja nisu bila izuzetak: Jacob Rechter (inženjer iz IBM-a) i Kirk Lockheed (osnivač Cisco-a). Nakon što su se slučajno sreli za stolom, počeli su razgovarati o mjerama za očuvanje funkcionalnosti interneta. Prijatelji su zapisivali ideje koje su se pojavile na onome što im je došlo pod ruku – salveti umrljanoj kečapom. Onda drugi. Zatim treći. “Protokol tri salvete”, kako su ga njegovi izumitelji u šali nazvali – poznat u zvaničnim krugovima kao BGP (Border Gateway Protocol) – ubrzo je napravio revoluciju na Internetu. [8]

Za Rechter i Lockheed, BGP je bio jednostavno običan hak, razvijen u duhu gore spomenutog Model Railroad Cluba, privremeno rješenje koje će uskoro biti zamijenjeno. Prijatelji su razvili BGP 1989. Danas, međutim, 30 godina kasnije, većina internet saobraćaja se i dalje usmjerava korištenjem “protokola s tri salvete” – uprkos sve alarmantnijim pozivima o kritičnim problemima s njegovom cyber sigurnošću. Privremeni hak je postao jedan od osnovnih internet protokola, a njegovi programeri su iz vlastitog iskustva naučili da “nema ništa trajnije od privremenih rješenja”. [8]

Mreže širom svijeta prešle su na BGP. Uticajni prodavci, bogati klijenti i telekomunikacione kompanije brzo su se zaljubili u BGP i navikli na njega. Stoga, i pored sve više alarma o nesigurnosti ovog protokola, IT javnost i dalje ne pokazuje entuzijazam za prelazak na novu, sigurniju opremu. [8]

Cyber-nesigurno BGP rutiranje

Zašto je BGP rutiranje tako dobro i zašto IT zajednica ne žuri da ga napusti? BGP pomaže ruterima da donesu odluke o tome gdje će usmjeriti ogromne tokove podataka koji se šalju preko ogromne mreže komunikacijskih linija koje se ukrštaju. BGP pomaže ruterima da odaberu odgovarajuće putanje iako se mreža stalno mijenja i popularne rute često imaju gužve. Problem je što Internet nema globalnu mapu rutiranja. Usmjerivači koji koriste BGP donose odluke o odabiru jednog ili drugog puta na osnovu informacija dobijenih od susjeda u sajber prostoru, koji zauzvrat prikupljaju informacije od svojih susjeda, itd. Međutim, ove informacije se mogu lako krivotvoriti, što znači da je BGP rutiranje veoma ranjivo na MiTM napade. [8]

Stoga se redovno postavljaju pitanja poput sljedećeg: „Zašto je saobraćaj između dva kompjutera u Denveru krenuo ogromnim zaobilaznim putem kroz Island?“, „Zašto su povjerljivi podaci Pentagona jednom prebačeni u tranzitu kroz Peking?“ Postoje tehnički odgovori na ovakva pitanja, ali svi se svode na činjenicu da BGP funkcioniše na osnovu poverenja: poverenja u preporuke dobijene od susednih rutera. Zahvaljujući povjerljivoj prirodi BGP protokola, misteriozni gospodari saobraćaja mogu namamiti tokove podataka drugih ljudi u svoju domenu ako žele. [8]

Živi primjer je kineski BGP napad na američki Pentagon. U aprilu 2010. godine, državni telekom gigant China Telecom poslao je desetine hiljada rutera širom svijeta, uključujući 16 u Sjedinjenim Državama, BGP poruku u kojoj im se govori da imaju bolje rute. Bez sistema koji bi mogao da potvrdi validnost BGP poruke od China Telecoma, ruteri širom sveta počeli su da šalju podatke u tranzitu kroz Peking. Uključujući saobraćaj iz Pentagona i drugih lokacija američkog Ministarstva odbrane. Lakoća sa kojom je saobraćaj preusmjeren i nedostatak efikasne zaštite od ove vrste napada je još jedan znak nesigurnosti BGP rutiranja. [8]

BGP protokol je teoretski ranjiv na još opasniji sajber napad. U slučaju da međunarodni sukobi eskaliraju punom snagom u sajber prostoru, China Telecom, ili neki drugi telekomunikacioni gigant, mogao bi pokušati da preuzme vlasništvo nad dijelovima interneta koji mu zapravo ne pripadaju. Takav potez bi zbunio rutere, koji bi morali da skakuću između konkurentskih ponuda za iste blokove internet adresa. Bez mogućnosti razlikovanja legitimne aplikacije od lažne, ruteri bi počeli da se ponašaju pogrešno. Kao rezultat toga, bili bismo suočeni s internetskim ekvivalentom nuklearnog rata – otvorenim, velikim prikazom neprijateljstva. Takav razvoj događaja u vremenima relativnog mira izgleda nerealno, ali je tehnički sasvim izvodljiv. [8]

Uzaludan pokušaj prelaska sa BGP-a na BGPSEC

Sajber bezbednost nije uzeta u obzir prilikom razvoja BGP-a, jer su u to vreme hakovi bili retki i šteta od njih bila zanemarljiva. Programeri BGP-a, jer su radili za telekomunikacione kompanije i bili zainteresovani za prodaju svoje mrežne opreme, imali su hitniji zadatak: da izbegnu spontane kvarove na Internetu. Zato što bi prekidi na internetu mogli otuđiti korisnike, a time i smanjiti prodaju mrežne opreme. [8]

Nakon incidenta sa prenosom američkog vojnog saobraćaja kroz Peking u aprilu 2010. godine, tempo rada na osiguranju sajber sigurnosti BGP rutiranja svakako je ubrzan. Međutim, prodavci telekomunikacija su pokazali malo entuzijazma da snose troškove povezane sa migracijom na novi protokol bezbednog rutiranja BGPSEC, predložen kao zamena za nebezbedni BGP. Prodavci i dalje smatraju BGP sasvim prihvatljivim, čak i uprkos nebrojenim incidentima presretanja saobraćaja. [8]

Radia Perlman, nazvana “Majka interneta” zbog izuma drugog velikog mrežnog protokola 1988. (godinu prije BGP-a), zaradila je proročansku doktorsku disertaciju na MIT-u. Perlman je predvideo da je protokol rutiranja koji zavisi od poštenja suseda u sajber prostoru suštinski nesiguran. Perlman je zagovarao upotrebu kriptografije, koja bi pomogla u ograničavanju mogućnosti krivotvorenja. Međutim, implementacija BGP-a je već bila u punom jeku, uticajna IT zajednica je bila navikla na to i nije željela ništa mijenjati. Stoga, nakon obrazloženih upozorenja Perlmana, Clarka i nekih drugih istaknutih svjetskih stručnjaka, relativni udio kriptografski bezbednog BGP rutiranja uopšte nije povećan, i dalje iznosi 0%. [8]

BGP rutiranje nije jedini hak

A BGP rutiranje nije jedini hak koji potvrđuje ideju da “ništa nije trajnije od privremenih rješenja”. Ponekad internet, koji nas uranja u svetove fantazije, deluje elegantno kao trkački automobil. Međutim, u stvarnosti, zbog hakova nagomilanih jedan na drugom, internet više liči na Frankensteina nego na Ferrari. Zato što ove hakove (zvaničnije nazvane zakrpe) nikada ne zamjenjuje pouzdana tehnologija. Posljedice ovakvog pristupa su strašne: sajber kriminalci svakodnevno i svaki sat hakuju u ranjive sisteme, proširujući obim cyber kriminala do ranije nezamislivih razmjera. [8]

Mnoge mane koje koriste sajber kriminalci poznate su već duže vrijeme, a sačuvane su isključivo zahvaljujući težnji IT zajednice da rješava probleme koji se pojavljuju – privremenim hakovima/zakrpama. Ponekad se zbog toga zastarjele tehnologije gomilaju jedna na drugu dugo vremena, otežavajući živote ljudi i dovodeći ih u opasnost. Šta biste pomislili kada biste saznali da vaša banka gradi svoj trezor na temeljima od slame i blata? Da li biste mu vjerovali da će zadržati vašu ušteđevinu? [8]

Bezbrižan stav Linusa Torvaldsa

Prošle su godine pre nego što je Internet došao do svojih prvih sto računara. Danas se na njega svake sekunde poveže 100 novih računara i drugih uređaja. Kako uređaji povezani s internetom rastu, raste i hitnost pitanja kibernetičke sigurnosti. Međutim, osoba koja bi mogla imati najveći utjecaj na rješavanje ovih problema je ona koja s prezirom gleda na sajber sigurnost. Ovog čovjeka nazivali su genijem, nasilnikom, duhovnim vođom i dobroćudnim diktatorom. Linus Torvalds. Velika većina uređaja povezanih na Internet pokreće njegov operativni sistem, Linux. Brz, fleksibilan, besplatan - Linux vremenom postaje sve popularniji. Istovremeno se ponaša vrlo stabilno. I može raditi bez ponovnog pokretanja mnogo godina. Zbog toga Linux ima čast da bude dominantan operativni sistem. Gotovo sva kompjuterizirana oprema koja nam je danas dostupna radi na Linuxu: serveri, medicinska oprema, kompjuteri za letenje, sićušni dronovi, vojni avioni i još mnogo toga. [9]

Linux uglavnom uspijeva jer Torvalds naglašava performanse i toleranciju grešaka. Međutim, on stavlja ovaj naglasak na račun sajber sigurnosti. Čak i dok se sajber prostor i stvarni fizički svijet prepliću i sajber sigurnost postaje globalno pitanje, Torvalds nastavlja da se opire uvođenju sigurnih inovacija u svoj operativni sistem. [9]

Stoga, čak i među mnogim fanovima Linuxa, raste zabrinutost zbog ranjivosti ovog operativnog sistema. Konkretno, najintimniji dio Linuxa, njegov kernel, na kojem Torvalds lično radi. Ljubitelji Linuxa vide da Torvalds ne shvata ozbiljno probleme sajber bezbednosti. Štoviše, Torvalds se okružio programerima koji dijele ovaj bezbrižan stav. Ako neko iz Torvaldsovog najužeg kruga počne pričati o uvođenju sigurnih inovacija, odmah biva anatemisan. Torvalds je odbacio jednu grupu takvih inovatora, nazvavši ih "majmunima koji masturbiraju". Dok se Torvalds opraštao od druge grupe programera svjesnih sigurnosti, rekao im je: „Biste li bili tako ljubazni da se ubijete. Svijet bi zbog toga bio bolje mjesto.” Kad god se radilo o dodavanju sigurnosnih funkcija, Torvalds je uvijek bio protiv toga. [9] Torvalds čak ima čitavu filozofiju u tom pogledu, koja nije bez zrna zdravog razuma:

“Apsolutna sigurnost je nedostižna. Stoga ga uvijek treba razmatrati samo u odnosu na druge prioritete: brzinu, fleksibilnost i jednostavnost korištenja. Ljudi koji se u potpunosti posvete pružanju zaštite su ludi. Njihovo razmišljanje je ograničeno, crno-bijelo. Sigurnost sama po sebi je beskorisna. Suština je uvek negde drugde. Stoga ne možete osigurati apsolutnu sigurnost, čak i ako to zaista želite. Naravno, postoje ljudi koji više vode računa o sigurnosti od Torvalda. Međutim, ovi momci jednostavno rade na onome što ih zanima i pružaju sigurnost unutar uskog relativnog okvira koji ocrtava te interese. Dosta. Dakle, oni ni na koji način ne doprinose povećanju apsolutne sigurnosti.” [9]

Bočna traka: OpenSource je kao bure baruta [10]

OpenSource kod je uštedio milijarde u troškovima razvoja softvera, eliminirajući potrebu za duplim naporima: uz OpenSource, programeri imaju priliku da koriste trenutne inovacije bez ograničenja ili plaćanja. OpenSource se koristi svuda. Čak i ako ste unajmili programera softvera da riješi vaš specijalizovani problem od nule, ovaj programer će najvjerovatnije koristiti neku vrstu OpenSource biblioteke. I vjerovatno više od jednog. Stoga su OpenSource elementi prisutni gotovo svuda. Istovremeno, treba shvatiti da nijedan softver nije statičan, njegov kod se stalno mijenja. Stoga, princip “postavi i zaboravi” nikada ne funkcionira za kod. Uključujući OpenSource kod: prije ili kasnije će biti potrebna ažurirana verzija.

U 2016. godini vidjeli smo posljedice ovakvog stanja: 28-godišnji programer je nakratko „razbio“ internet brisanjem svog OpenSource koda, koji je prethodno učinio dostupnim javnosti. Ova priča ističe da je naša sajber infrastruktura vrlo krhka. Neki ljudi - koji podržavaju OpenSource projekte - toliko su važni za njegovo održavanje da će, ako ih, ne daj Bože, udariti autobus, internet pokvariti.

Kod koji je teško održavati vrebaju najozbiljnije propuste u sajber sigurnosti. Neke kompanije čak i ne shvaćaju koliko su ranjive zbog koda koji se teško održava. Ranjivosti povezane sa takvim kodom mogu vrlo sporo sazreti u pravi problem: sistemi polako trunu, bez pokazivanja vidljivih grešaka u procesu truljenja. A kada ne uspeju, posledice su fatalne.

Konačno, budući da OpenSource projekte obično razvija zajednica entuzijasta, poput Linusa Torvaldsa ili poput hakera iz Model Railroad Cluba spomenutog na početku članka, problemi s kodom koji se teško održava ne mogu se riješiti na tradicionalne načine (koristeći komercijalne i vladine poluge). Zato što su pripadnici takvih zajednica svojevoljni i iznad svega cijene svoju nezavisnost.

Sidebar: Možda će nas obavještajne službe i antivirusni programeri zaštititi?

Godine 2013. postalo je poznato da Kaspersky Lab ima specijalnu jedinicu koja je sprovodila prilagođene istrage incidenata u informacionoj bezbednosti. Donedavno je ovo odjeljenje vodio bivši major policije Ruslan Stojanov, koji je ranije radio u Odjelu glavnog grada "K" (USTM Glavne uprave unutrašnjih poslova Moskve). Svi zaposleni u ovoj specijalnoj jedinici Kaspersky Lab dolaze iz agencija za provođenje zakona, uključujući Istražni komitet i Direkciju „K“. [jedanaest]

Krajem 2016. godine FSB je uhapsio Ruslana Stojanova i optužio ga za izdaju. U istom slučaju uhapšen je Sergej Mihajlov, visoki predstavnik FSB CIB-a (informaciono-bezbednosnog centra), na koga je, pre hapšenja, bila vezana celokupna sajber bezbednost zemlje. [jedanaest]

Bočna traka: Cybersecurity Enforced

Uskoro će ruski preduzetnici biti primorani da posvete ozbiljnu pažnju sajber bezbednosti. U januaru 2017. Nikolaj Murašov, predstavnik Centra za zaštitu informacija i specijalne komunikacije, izjavio je da su samo u Rusiji objekti CII (kritična informaciona infrastruktura) napadnuti više od 2016 miliona puta u 70. godini. Objekti CII obuhvataju informacione sisteme vladinih agencija, preduzeća odbrambene industrije, transportnog, kreditnog i finansijskog sektora, energetike, goriva i nuklearne industrije. Kako bi ih zaštitio, ruski predsjednik Vladimir Putin je 26. jula potpisao paket zakona „O sigurnosti CII-a“. Do 1. januara 2018. godine, kada zakon stupa na snagu, vlasnici CII objekata moraju sprovesti niz mjera za zaštitu svoje infrastrukture od hakerskih napada, posebno da se povežu na GosSOPKA. [12]

Bibliografija

1. Jonathan Millet. IoT: Važnost zaštite vaših pametnih uređaja // 2017.
2. Ross Anderson. Kako sistemi plaćanja pametnim karticama propadaju // Black Hat. 2014.
3. SJ Murdoch. Čip i PIN su pokvareni // Proceedings of the IEEE Symposium on Security and Privacy. 2010. pp. 433-446.
4. David Talbot. Kompjuterski virusi su "nasilni" na medicinskim uređajima u bolnicama // MIT Technology Review (Digital). 2012.
5. Craig Timberg. Mreža nesigurnosti: tok u dizajnu // The Washington Post. 2015.
6. Michael Lista. Bio je tinejdžer haker koji je potrošio svoje milione na automobile, odjeću i satove - sve dok FBI nije uhvatio // Život u Torontu. 2018.
7. Craig Timberg. Mreža nesigurnosti: Predviđena katastrofa – i zanemarena // The Washington Post. 2015.
8. Craig Timberg. Dug život brzog 'popravka': Internet protokol iz 1989. ostavlja podatke ranjivim na otmičare // The Washington Post. 2015.
9. Craig Timberg. Net of Insecurity: jezgro argumenta // The Washington Post. 2015.
10. Joshua Gans. Može li kod otvorenog koda učiniti da se naši strahovi iz Y2K konačno obistine? // Harvard Business Review (Digital). 2017.
11. FSB je uhapsio najvišeg menadžera kompanije Kaspersky // CNews. 2017. URL.
12. Maria Kolomychenko. Cyber ​​obavještajna služba: Sberbanka predložila stvaranje štaba za borbu protiv hakera // RBC. 2017.

izvor: www.habr.com