ProHoster > Bloc > Administració > 30è aniversari de la inseguretat desenfrenada

30è aniversari de la inseguretat desenfrenada

Quan els "barrets negres" -siendo els vigilants del bosc salvatge del ciberespai- tenen un èxit especial en la seva feina bruta, els mitjans grocs xisclen de goig. Com a resultat, el món comença a considerar la ciberseguretat més seriosament. Però malauradament no de seguida. Per tant, malgrat el nombre creixent d'incidents cibernètics catastròfics, el món encara no està madur per a mesures actives proactives. Tanmateix, s'espera que en un futur proper, gràcies als "barrets negres", el món comenci a prendre's seriosament la ciberseguretat. [7]

30è aniversari de la inseguretat desenfrenada

Tan greus com els incendis... Les ciutats abans eren molt vulnerables als incendis catastròfics. Tanmateix, malgrat el perill potencial, no es van prendre mesures de protecció proactives, fins i tot després del gegant incendi de Chicago el 1871, que va cobrar centenars de vides i va desplaçar centenars de milers de persones. Només es van prendre mesures de protecció proactives després que es tornés a produir un desastre similar, tres anys després. Passa el mateix amb la ciberseguretat: el món no solucionarà aquest problema tret que hi hagi incidents catastròfics. Però fins i tot si es produeixen aquests incidents, el món no solucionarà aquest problema immediatament. [7] Per tant, fins i tot la dita: "Fins que no es produeixi un error, un home no serà pegat", no acaba de funcionar. És per això que el 2018 vam celebrar 30 anys d'inseguretat desenfrenada.


Digressió lírica

El començament d'aquest article, que vaig escriure originalment per a la revista System Administrator, va resultar profètic en cert sentit. Edició d'una revista amb aquest article va sortir literalment dia rere dia amb el tràgic incendi al centre comercial "Winter Cherry" de Kemerovo (2018 de març de 20).
30è aniversari de la inseguretat desenfrenada

Instal·la Internet en 30 minuts

L'any 1988, la llegendària galàxia pirata informàtica L0pht, parlant amb tota força abans d'una reunió dels funcionaris occidentals més influents, va declarar: “Els vostres equips informatitzats són vulnerables als atacs cibernètics d'Internet. I programari, i maquinari, i telecomunicacions. Els seus venedors no estan gens preocupats per aquest estat de coses. Perquè la legislació moderna no preveu cap responsabilitat per un enfocament negligent per garantir la ciberseguretat del programari i maquinari fabricats. La responsabilitat de possibles avaries (ja siguin espontànies o provocades per la intervenció de ciberdelinqüents) recau exclusivament en l'usuari de l'equip. Pel que fa al govern federal, no té ni les habilitats ni les ganes de resoldre aquest problema. Per tant, si busqueu ciberseguretat, Internet no és el lloc per trobar-la. Cadascuna de les set persones assegudes davant vostre pot trencar completament Internet i, en conseqüència, prendre el control total sobre l'equip connectat a ella. Per un mateix. 30 minuts de tecles coreografiades i ja està". [7]

30è aniversari de la inseguretat desenfrenada

Els funcionaris van assentir significativament, deixant clar que entenien la gravetat de la situació, però no van fer res. Avui, exactament 30 anys després de la llegendària actuació de L0pht, el món encara està plagat per una "inseguretat rampant". Hackejar equips informàtics connectats a Internet és tan fàcil que Internet, inicialment un regne de científics i entusiastes idealistes, ha estat ocupada gradualment pels professionals més pragmàtics: estafadors, estafadors, espies, terroristes. Tots ells exploten les vulnerabilitats dels equips informàtics per obtenir beneficis econòmics o d'altres tipus. [7]

Els venedors descuiden la ciberseguretat

De vegades, és clar, els venedors intenten arreglar algunes de les vulnerabilitats identificades, però ho fan de mala gana. Perquè el seu benefici no prové de la protecció dels pirates informàtics, sinó de la nova funcionalitat que proporcionen als consumidors. En estar centrats únicament en beneficis a curt termini, els venedors inverteixen diners només en resoldre problemes reals, no hipotètics. La ciberseguretat, als ulls de molts d'ells, és una cosa hipotètica. [7]

La ciberseguretat és una cosa invisible i intangible. Només es fa tangible quan sorgeixen problemes amb ell. Si el van cuidar bé (es van gastar molts diners en la seva prestació) i no hi ha cap problema, el consumidor final no voldrà pagar-ne de més. A més, a més d'augmentar els costos financers, la implementació de mesures de protecció requereix un temps de desenvolupament addicional, requereix limitar les capacitats de l'equip i comporta una disminució de la seva productivitat. [8]

És difícil convèncer fins i tot els nostres propis venedors de la viabilitat dels costos enumerats, i molt menys als consumidors finals. I com que els venedors moderns només estan interessats en els beneficis de vendes a curt termini, no estan gens inclinats a assumir la responsabilitat de garantir la ciberseguretat de les seves creacions. [1] D'altra banda, els venedors més curosos que han tingut cura de la ciberseguretat dels seus equips s'enfronten al fet que els consumidors corporatius prefereixen alternatives més barates i fàcils d'utilitzar. Això. És obvi que als consumidors corporatius tampoc els importa gaire la ciberseguretat. [8]

A la vista de l'anterior, no és d'estranyar que els venedors tendeixin a descuidar la ciberseguretat i s'adhereixin a la següent filosofia: “Seguiu construint, seguiu venent i pedaceu quan sigui necessari. Ha fallat el sistema? Informació perduda? Base de dades amb números de targetes de crèdit robats? Hi ha alguna vulnerabilitat mortal identificada al vostre equip? Cap problema!" Els consumidors, al seu torn, han de seguir el principi: "Pedaça i resa". [7] 30è aniversari de la inseguretat desenfrenada

Com passa això: exemples de la natura

Un exemple sorprenent de negligència de la ciberseguretat durant el desenvolupament és el programa d'incentius corporatius de Microsoft: "Si no compleixes els terminis, seràs multat. Si no teniu temps per enviar el llançament de la vostra innovació a temps, no s'implementarà. Si no s'implementa, no rebràs accions de l'empresa (una part del pastís dels beneficis de Microsoft). Des de 1993, Microsoft va començar a vincular activament els seus productes a Internet. Com que aquesta iniciativa funcionava d'acord amb el mateix programa de motivació, la funcionalitat es va expandir més ràpidament del que la defensa podia mantenir-hi el ritme. Per a delit dels pragmàtics caçadors de vulnerabilitats... [7]

Un altre exemple és la situació dels ordinadors i portàtils: no vénen amb un antivirus preinstal·lat; i tampoc no proporcionen la configuració predeterminada de contrasenyes fortes. Se suposa que l'usuari final instal·larà l'antivirus i establirà els paràmetres de configuració de seguretat. [1]

Un altre exemple més extrem: la situació de la ciberseguretat dels equipaments comercials (caixes registradores, terminals PoS per a centres comercials, etc.). Va passar que els venedors d'equips comercials només venen el que es ven, i no el que és segur. [2] Si hi ha alguna cosa que preocupa als venedors d'equips comercials en termes de ciberseguretat, és assegurar-se que si es produeix un incident controvertit, la responsabilitat recau en altres. [3]

Un exemple indicatiu d'aquest desenvolupament d'esdeveniments: la popularització de l'estàndard EMV per a les targetes bancàries, que, gràcies al treball competent dels venedors bancaris, apareix als ulls del públic que no és tècnicament sofisticat com una alternativa més segura als "obsolets". targetes magnètiques. Al mateix temps, la principal motivació del sector bancari, responsable del desenvolupament de l'estàndard EMV, va ser traslladar la responsabilitat dels incidents fraudulents (ocorreguts per culpa dels carders) - de les botigues als consumidors. Mentre que abans (quan els pagaments es feien amb targetes magnètiques), la responsabilitat financera era de les botigues per les discrepàncies de dèbit/crèdit. [3] Així els bancs que processen pagaments traslladen la responsabilitat als comerciants (que utilitzen els seus sistemes bancaris remots) o als bancs que emeten targetes de pagament; aquests dos últims, al seu torn, traslladen la responsabilitat al titular de la targeta. [2]

Els venedors estan dificultant la ciberseguretat

A mesura que la superfície d'atac digital s'expandeix inexorablement, gràcies a l'explosió de dispositius connectats a Internet, fer un seguiment del que està connectat a la xarxa corporativa es fa cada cop més difícil. Al mateix temps, els venedors traslladen les preocupacions sobre la seguretat de tots els equips connectats a Internet a l'usuari final [1]: "El rescat de les persones ofegades és feina de les mateixes persones que s'ofega".

Els venedors no només no es preocupen per la ciberseguretat de les seves creacions, sinó que en alguns casos també interfereixen amb la seva prestació. Per exemple, quan l'any 2009 el cuc de la xarxa Conficker es va filtrar al Centre Mèdic Beth Israel i va infectar part de l'equip mèdic que hi havia, el director tècnic d'aquest centre mèdic, per tal d'evitar que es produïssin incidents similars en el futur, va decidir desactivar el funció de suport al funcionament dels equips afectats pel cuc amb la xarxa. No obstant això, es va enfrontar al fet que "l'equip no es va poder actualitzar per restriccions normatives". Li va costar un esforç considerable per negociar amb el venedor per desactivar les funcions de xarxa. [4]

Ciberinseguretat fonamental d'Internet

David Clarke, el llegendari professor del MIT el geni del qual li va valer el sobrenom d'"Albus Dumbledore", recorda el dia que es va revelar al món el costat fosc d'Internet. Clark presidia una conferència de telecomunicacions el novembre de 1988 quan es va saber que el primer cuc informàtic de la història s'havia lliscat pels cables de la xarxa. Clark va recordar aquest moment perquè el ponent present a la seva conferència (un empleat d'una de les principals empreses de telecomunicacions) va ser responsable de la propagació d'aquest cuc. Aquest orador, en plena emoció, va dir sense voler: "Aquí tens!" Sembla que he tancat aquesta vulnerabilitat”, va pagar aquestes paraules. [5]

30è aniversari de la inseguretat desenfrenada

No obstant això, més tard va resultar que la vulnerabilitat per la qual es va estendre el cuc esmentat no era mèrit de cap persona individual. I això, en sentit estricte, ni tan sols era una vulnerabilitat, sinó una característica fonamental d'Internet: els fundadors d'Internet, quan van desenvolupar la seva idea, es van centrar exclusivament en la velocitat de transferència de dades i la tolerància a errors. No es van proposar la tasca de garantir la ciberseguretat. [5]

Avui, dècades després de la fundació d'Internet, amb centenars de milers de milions de dòlars ja gastats en intents inútils de ciberseguretat, Internet no és menys vulnerable. Els seus problemes de ciberseguretat només empitjoren cada any. Tanmateix, tenim dret a condemnar els fundadors d'Internet per això? Al cap i a la fi, per exemple, ningú condemnarà els constructors d'autopistes pel fet que els accidents succeeixin a "les seves carreteres"; i ningú condemnarà els urbanistes pel fet que els robatoris es produeixin a "les seves ciutats". [5]

Com va néixer la subcultura dels hackers

La subcultura dels pirates informàtics es va originar a principis dels anys 1960, al "Railway Technical Modeling Club" (que funcionava dins dels murs de l'Institut Tecnològic de Massachusetts). Els entusiastes del club van dissenyar i muntar una maqueta de ferrocarril, tan gran que va omplir tota la sala. Els membres del club es van dividir espontàniament en dos grups: pacificadors i especialistes en sistemes. [6]

El primer va treballar amb la part superior del model, el segon amb el subterrani. Els primers van recollir i decorar maquetes de trens i ciutats: van modelar el món sencer en miniatura. Aquest últim va treballar en el suport tècnic per a tota aquesta consolidació de la pau: una complexitat de cables, relés i interruptors de coordenades situats a la part subterrània del model, tot el que controlava la part "a dalt" i l'alimentava d'energia. [6]

Quan hi havia un problema de trànsit i algú va trobar una solució nova i enginyosa per solucionar-ho, la solució es deia "pirateig". Per als membres del club, la recerca de nous hacks s'ha convertit en un sentit intrínsec de la vida. Per això van començar a dir-se "hackers". [6]

La primera generació de pirates informàtics va implementar les habilitats adquirides al Simulation Railway Club escrivint programes informàtics en targetes perforades. Aleshores, quan l'ARPANET (el predecessor d'Internet) va arribar al campus el 1969, els hackers es van convertir en els seus usuaris més actius i hàbils. [6]

Ara, dècades més tard, la Internet moderna s'assembla a aquella part molt "subterrània" del model de ferrocarril. Com que els seus fundadors eren aquests mateixos hackers, estudiants del "Railroad Simulation Club". Ara només els pirates informàtics operen ciutats reals en lloc de miniatures simulades. [6] 30è aniversari de la inseguretat desenfrenada

Com va ser l'encaminament BGP

A finals dels anys 80, com a conseqüència d'un augment semblant a una allau del nombre de dispositius connectats a Internet, Internet es va acostar al límit matemàtic dur integrat en un dels protocols bàsics d'Internet. Per tant, qualsevol conversa entre els enginyers d'aquella època es va convertir finalment en una discussió sobre aquest problema. Dos amics no van ser una excepció: Jacob Rechter (enginyer d'IBM) i Kirk Lockheed (fundador de Cisco). Havent-se trobat per casualitat a la taula del sopar, van començar a discutir mesures per preservar la funcionalitat d'Internet. Els amics van anotar les idees que van sorgir en el que es va arribar a la mà: un tovalló tacat de salsa de totxo. Després la segona. Després la tercera. El "protocol dels tres tovallons", com l'anomenaven en broma els seus inventors, conegut als cercles oficials com a BGP (Border Gateway Protocol), aviat va revolucionar Internet. [8] 30è aniversari de la inseguretat desenfrenada

Per a Rechter i Lockheed, BGP era simplement un hack casual, desenvolupat amb l'esperit de l'esmentat Model Railroad Club, una solució temporal que aviat seria substituïda. Els amics van desenvolupar BGP el 1989. Avui, però, 30 anys després, la majoria del trànsit d'Internet encara s'encamina mitjançant el "protocol de tres tovallons", malgrat les trucades cada cop més alarmants sobre problemes crítics amb la seva ciberseguretat. El pirateig temporal es va convertir en un dels protocols bàsics d'Internet i els seus desenvolupadors van aprendre de la seva pròpia experiència que "no hi ha res més permanent que les solucions temporals". [8]

Les xarxes d'arreu del món han passat a BGP. Els venedors influents, els clients rics i les empreses de telecomunicacions es van enamorar ràpidament de BGP i s'hi van acostumar. Per tant, tot i que cada cop hi ha més campanes d'alarma sobre la inseguretat d'aquest protocol, el públic informàtic encara no mostra entusiasme per la transició a equips nous i més segurs. [8]

Encaminament BGP cibernsegur

Per què és tan bo l'encaminament BGP i per què la comunitat informàtica no té pressa per abandonar-lo? BGP ajuda els encaminadors a prendre decisions sobre on encaminar els grans fluxos de dades enviats a través d'una enorme xarxa de línies de comunicació que s'entrecreuen. BGP ajuda els encaminadors a triar els camins adequats tot i que la xarxa canvia constantment i les rutes populars sovint pateixen embussos de trànsit. El problema és que Internet no té un mapa d'encaminament global. Els encaminadors que utilitzen BGP prenen decisions sobre l'elecció d'un camí o un altre en funció de la informació rebuda dels veïns del ciberespai, que al seu torn recullen informació dels seus veïns, etc. Tanmateix, aquesta informació es pot falsificar fàcilment, la qual cosa significa que l'encaminament BGP és molt vulnerable als atacs MiTM. [8]

Per tant, sovint sorgeixen preguntes com les següents: "Per què el trànsit entre dos ordinadors a Denver va fer un desviament gegant per Islàndia?", "Per què les dades classificades del Pentàgon es van transferir un cop en trànsit per Pequín?" Hi ha respostes tècniques a preguntes com aquestes, però totes es redueixen al fet que BGP funciona basat en la confiança: la confiança en les recomanacions rebudes dels encaminadors veïns. Gràcies a la naturalesa de confiança del protocol BGP, els misteriosos senyors del trànsit poden atraure els fluxos de dades d'altres persones al seu domini si ho desitgen. [8]

Un exemple viu és l'atac BGP de la Xina al Pentàgon americà. L'abril de 2010, el gegant estatal de telecomunicacions China Telecom va enviar desenes de milers d'encaminadors a tot el món, inclosos 16 als Estats Units, un missatge de BGP els deia que tenien millors rutes. Sense un sistema que pogués verificar la validesa d'un missatge BGP de China Telecom, els encaminadors de tot el món van començar a enviar dades en trànsit per Beijing. Inclòs el trànsit del Pentàgon i altres llocs del Departament de Defensa dels EUA. La facilitat amb què es va desviar el trànsit i la manca de protecció efectiva contra aquest tipus d'atac és un altre signe de la inseguretat de l'encaminament BGP. [8]

El protocol BGP és teòricament vulnerable a un ciberatac encara més perillós. En el cas que els conflictes internacionals augmentin amb tota força al ciberespai, China Telecom, o algun altre gegant de les telecomunicacions, podria intentar reclamar la propietat de parts d'Internet que en realitat no li pertanyen. Aquest moviment confondria els encaminadors, que haurien de rebotar entre ofertes competidores pels mateixos blocs d'adreces d'Internet. Sense la capacitat de distingir una aplicació legítima d'una falsa, els encaminadors començarien a actuar de manera erràtica. Com a resultat, ens trobaríem davant de l'equivalent a Internet de la guerra nuclear: una mostra oberta i a gran escala d'hostilitat. Aquest desenvolupament en temps de relativa pau sembla poc realista, però tècnicament és força factible. [8]

Un intent inútil de passar de BGP a BGPSEC

La ciberseguretat no es va tenir en compte quan es va desenvolupar BGP, perquè en aquella època els pirates eren rars i el dany d'ells era insignificant. Els desenvolupadors de BGP, perquè treballaven per a empreses de telecomunicacions i estaven interessats a vendre els seus equips de xarxa, tenien una tasca més urgent: evitar avaries espontànies d'Internet. Perquè les interrupcions a Internet podrien alienar els usuaris i, per tant, reduir les vendes d'equips de xarxa. [8]

Després de l'incident amb la transmissió del trànsit militar nord-americà a través de Pequín l'abril de 2010, el ritme de treball per garantir la ciberseguretat de l'encaminament BGP certament es va accelerar. No obstant això, els venedors de telecomunicacions han mostrat poc entusiasme per assumir els costos associats a la migració al nou protocol d'encaminament segur BGPSEC, proposat com a reemplaçament del BGP insegur. Els venedors encara consideren que BGP és bastant acceptable, fins i tot malgrat els innombrables incidents d'intercepció del trànsit. [8]

Radia Perlman, anomenada la "mare d'Internet" per inventar un altre protocol de xarxa important el 1988 (un any abans de BGP), va obtenir una tesi doctoral profètica al MIT. Perlman va predir que un protocol d'encaminament que depèn de l'honestedat dels veïns del ciberespai és fonamentalment insegur. Perlman va defensar l'ús de la criptografia, que ajudaria a limitar la possibilitat de falsificació. No obstant això, la implementació de BGP ja estava en ple apogeu, la comunitat informàtica influent hi estava acostumada i no volia canviar res. Per tant, després de les advertències raonades de Perlman, Clark i alguns altres destacats experts mundials, la quota relativa de l'encaminament BGP criptogràficament segur no ha augmentat gens i encara és del 0%. [8]

L'encaminament BGP no és l'únic pirateig

I l'encaminament BGP no és l'únic hack que confirma la idea que "res és més permanent que les solucions temporals". De vegades, Internet, que ens submergeix en mons de fantasia, sembla tan elegant com un cotxe de carreres. No obstant això, en realitat, a causa dels hacks amuntegats uns sobre els altres, Internet s'assembla més a Frankenstein que a Ferrari. Perquè aquests hacks (més oficialment anomenats pegats) mai es substitueixen per tecnologia fiable. Les conseqüències d'aquest enfocament són nefastes: diàriament i cada hora, els ciberdelinqüents pirategen sistemes vulnerables, ampliant l'abast del ciberdelicte a proporcions abans inimaginables. [8]

Molts dels defectes explotats pels ciberdelinqüents es coneixen des de fa molt de temps i s'han conservat únicament a causa de la tendència de la comunitat informàtica a resoldre problemes emergents, amb hacks/pedaços temporals. De vegades, per això, les tecnologies obsoletes s'amunteguen durant molt de temps, dificultant la vida de les persones i posant-les en perill. Què pensaries si sabés que el teu banc està construint la seva volta sobre una base de palla i fang? Confiaries en ell per mantenir els teus estalvis? [8] 30è aniversari de la inseguretat desenfrenada

L'actitud despreocupada de Linus Torvalds

Van passar anys abans que Internet arribés als seus primers cent ordinadors. Actualment, s'hi connecten 100 ordinadors i altres dispositius nous cada segon. A mesura que els dispositius connectats a Internet exploten, també ho fa la urgència dels problemes de ciberseguretat. Tanmateix, la persona que pot tenir un impacte més gran en la resolució d'aquests problemes és la que veu la ciberseguretat amb menyspreu. Aquest home ha estat anomenat un geni, un matón, un líder espiritual i un dictador benèvol. Linus Torvalds. La gran majoria dels dispositius connectats a Internet fan servir el seu sistema operatiu, Linux. Ràpid, flexible, gratuït: Linux és cada cop més popular amb el temps. Al mateix temps, es comporta de manera molt estable. I pot funcionar sense reiniciar durant molts anys. És per això que Linux té l'honor de ser el sistema operatiu dominant. Gairebé tots els equips informàtics disponibles avui en dia fan servir Linux: servidors, equips mèdics, ordinadors de vol, petits drons, avions militars i molt més. [9]

Linux té èxit en gran part perquè Torvalds posa èmfasi en el rendiment i la tolerància a errors. Tanmateix, posa aquest èmfasi a costa de la ciberseguretat. Tot i que el ciberespai i el món físic real s'entrellacen i la ciberseguretat esdevé un problema global, Torvalds continua resistint-se a introduir innovacions segures al seu sistema operatiu. [9]

Per tant, fins i tot entre molts fans de Linux, hi ha una preocupació creixent per les vulnerabilitats d'aquest sistema operatiu. En particular, la part més íntima de Linux, el seu nucli, on Torvalds treballa personalment. Els aficionats a Linux veuen que Torvalds no es pren seriosament els problemes de ciberseguretat. A més, Torvalds s'ha envoltat de desenvolupadors que comparteixen aquesta actitud despreocupada. Si algú del cercle íntim de Torvalds comença a parlar d'introduir innovacions segures, immediatament queda anatematitzat. Torvalds va acomiadar un grup d'aquests innovadors, anomenant-los "micos masturbants". Quan Torvalds es va acomiadar d'un altre grup de desenvolupadors conscients de la seguretat, els va dir: "Seríeu tan amable de suïcidar-vos. El món seria un lloc millor gràcies a això". Sempre que es tractava d'afegir funcions de seguretat, Torvalds sempre hi va estar en contra. [9] Torvalds fins i tot té tota una filosofia en aquest sentit, que no està exempta d'un gra de sentit comú:

"La seguretat absoluta és inassolible. Per tant, sempre s'ha de considerar només en relació a altres prioritats: velocitat, flexibilitat i facilitat d'ús. Les persones que es dediquen completament a proporcionar protecció són boges. El seu pensament és limitat, en blanc i negre. La seguretat per si mateixa és inútil. L'essència sempre és en un altre lloc. Per tant, no podeu garantir la seguretat absoluta, encara que realment ho vulgueu. Per descomptat, hi ha gent que presta més atenció a la seguretat que els Torvalds. Tanmateix, aquests nois simplement estan treballant en allò que els interessa i oferint seguretat dins del marc relatiu estret que delimita aquests interessos. No més. Per tant, de cap manera contribueixen a augmentar la seguretat absoluta". [9]

Barra lateral: OpenSource és com un barril de pólvora [10]

El codi OpenSource ha estalviat milers de milions en costos de desenvolupament de programari, eliminant la necessitat d'esforços duplicats: amb OpenSource, els programadors tenen l'oportunitat d'utilitzar les innovacions actuals sense restriccions ni pagament. OpenSource s'utilitza a tot arreu. Fins i tot si heu contractat un desenvolupador de programari per resoldre el vostre problema especialitzat des de zero, és probable que aquest desenvolupador utilitzi algun tipus de biblioteca OpenSource. I probablement més d'un. Així, els elements OpenSource estan presents gairebé a tot arreu. Al mateix temps, s'ha d'entendre que cap programari és estàtic; el seu codi està canviant constantment. Per tant, el principi "configura'l i oblida'l" mai funciona per al codi. Incloent el codi OpenSource: tard o d'hora caldrà una versió actualitzada.

L'any 2016 vam veure les conseqüències d'aquest estat de coses: un desenvolupador de 28 anys "va trencar" breument Internet esborrant el seu codi OpenSource, que abans havia posat a disposició del públic. Aquesta història assenyala que la nostra ciberinfraestructura és molt fràgil. Algunes persones -que donen suport als projectes OpenSource- són tan importants per mantenir-lo que si, Déu no ho permeti, els atropella un autobús, Internet es trencarà.

El codi difícil de mantenir és on s'amaguen les vulnerabilitats de ciberseguretat més greus. Algunes empreses ni tan sols s'adonen de la vulnerabilitat que són a causa del codi difícil de mantenir. Les vulnerabilitats associades a aquest codi poden convertir-se en un problema real molt lentament: els sistemes es podrien lentament, sense demostrar fallades visibles en el procés de podridura. I quan fracassen, les conseqüències són fatals.

Finalment, com que els projectes OpenSource solen ser desenvolupats per una comunitat d'entusiastes, com Linus Torvalds o com els pirates informàtics del Model Railroad Club esmentats a l'inici de l'article, els problemes amb codi difícil de mantenir no es poden resoldre de la manera tradicional (utilitzant palanques comercials i governamentals). Perquè els membres d'aquestes comunitats són voluntaris i valoren la seva independència per sobre de tot.

Barra lateral: potser els serveis d'intel·ligència i els desenvolupadors d'antivirus ens protegiran?

El 2013, es va saber que Kaspersky Lab tenia una unitat especial que realitzava investigacions personalitzades d'incidents de seguretat de la informació. Fins fa poc, aquest departament estava dirigit per un antic comandant de la policia, Ruslan Stoyanov, que abans treballava al Departament "K" de la capital (USTM de la Direcció Principal d'Afers Interns de Moscou). Tots els empleats d'aquesta unitat especial de Kaspersky Lab provenen d'agències d'aplicació de la llei, inclòs el Comitè d'Investigació i la Direcció "K". [onze]

A finals de 2016, l'FSB va arrestar Ruslan Stoyanov i el va acusar de traïció. En el mateix cas, va ser detingut Sergei Mikhailov, un alt representant del FSB CIB (centre de seguretat de la informació), a qui, abans de la detenció, estava lligada tota la ciberseguretat del país. [onze]

Barra lateral: ciberseguretat aplicada

Aviat els empresaris russos es veuran obligats a prestar una atenció seriosa a la ciberseguretat. El gener de 2017, Nikolai Murashov, representant del Centre de Protecció de la Informació i Comunicacions Especials, va declarar que a Rússia, només els objectes CII (infraestructura crítica d'informació) van ser atacats més de 2016 milions de vegades el 70. Els objectes CII inclouen sistemes d'informació d'agències governamentals, empreses de la indústria de defensa, sectors de transport, crèdit i financer, energia, combustible i indústries nuclears. Per protegir-los, el 26 de juliol, el president rus Vladimir Putin va signar un paquet de lleis "Sobre la seguretat de la CII". L'1 de gener de 2018, quan la llei entri en vigor, els propietaris de les instal·lacions CII han d'implementar un conjunt de mesures per protegir la seva infraestructura dels atacs de pirates informàtics, en particular, connectar-se a GosSOPKA. [12]

Bibliografia

  1. Jonathan Millet. IoT: la importància de protegir els vostres dispositius intel·ligents // 2017.
  2. Ross Anderson. Com fallen els sistemes de pagament amb targeta intel·ligent // Black Hat. 2014.
  3. SJ Murdoch. El xip i el PIN estan trencats // Actes del Simposi IEEE sobre seguretat i privadesa. 2010. pàgs. 433-446.
  4. David Talbot. Els virus informàtics són "rampants" als dispositius mèdics als hospitals // MIT Technology Review (Digital). 2012.
  5. Craig Timberg. Net d'inseguretat: un flux en el disseny // The Washington Post. 2015.
  6. Miquel Lista. Era un pirata informàtic adolescent que es va gastar els seus milions en cotxes, roba i rellotges, fins que l'FBI es va adonar. // Toronto Life. 2018.
  7. Craig Timberg. Xarxa d'inseguretat: un desastre predit i ignorat // The Washington Post. 2015.
  8. Craig Timberg. La llarga vida d'una "solució" ràpida: el protocol d'Internet de 1989 deixa les dades vulnerables als segrestadors // The Washington Post. 2015.
  9. Craig Timberg. Net of Insecurity: el nucli de l'argument // The Washington Post. 2015.
  10. Joshua Gans. El codi de codi obert podria fer realitat les nostres pors del Y2K? // Harvard Business Review (Digital). 2017.
  11. El màxim responsable de Kaspersky arrestat per FSB // CNews. 2017. URL.
  12. Maria Kolomychenko. Servei d'intel·ligència cibernètica: Sberbank va proposar la creació d'una seu per combatre els pirates informàtics // RBC. 2017.

Font: www.habr.com

Afegeix comentari