ProHoster > Блог > Pagdumala > Ika-30 nga anibersaryo sa kaylap nga kawalay kasiguruhan

Ika-30 nga anibersaryo sa kaylap nga kawalay kasiguruhan

Sa diha nga ang "itom nga mga kalo" - ingon nga mga han-ay sa ihalas nga kalasangan sa cyberspace - nahimo nga labi ka malampuson sa ilang hugaw nga trabaho, ang dalag nga media mosinggit sa kalipay. Ingon usa ka sangputanan, ang kalibutan nagsugod sa pagtan-aw sa cybersecurity nga mas seryoso. Apan ikasubo nga dili dayon. Busa, bisan pa sa nagkadaghan nga mga katalagman sa cyber nga insidente, ang kalibutan dili pa hinog alang sa aktibo nga mga lakang nga aktibo. Bisan pa, gilauman nga sa umaabot nga umaabot, salamat sa "itom nga mga kalo," ang kalibutan magsugod sa pagseryoso sa cybersecurity. [7]

Ika-30 nga anibersaryo sa kaylap nga kawalay kasiguruhan

Sama ka seryuso sa mga sunog... Kaniadto ang mga siyudad bulnerable kaayo sa mga katalagman nga sunog. Bisan pa, bisan pa sa potensyal nga kapeligrohan, ang mga proactive nga mga lakang sa pagpanalipod wala gihimo - bisan pagkahuman sa higanteng sunog sa Chicago kaniadtong 1871, nga mikalas sa gatusan nga mga kinabuhi ug nagpahawa sa gatusan ka libo nga mga tawo. Ang mga proactive protective measures gihimo lamang human sa susamang kalamidad nahitabo pag-usab, tulo ka tuig ang milabay. Parehas kini sa cybersecurity - dili masulbad sa kalibutan ang kini nga problema gawas kung adunay mga katalagman nga insidente. Apan bisan kung mahitabo ang ingon nga mga insidente, ang kalibutan dili makasulbad dayon niini nga problema. [7] Busa, bisan ang panultihon: “Hangtod nga mahitabo ang usa ka bug, ang usa ka tawo dili mataptapan,” dili gayod mosaler. Mao nga sa 2018 gisaulog nato ang 30 ka tuig sa kaylap nga insecurity.


Ang lyrical digression

Ang sinugdanan niini nga artikulo, nga akong orihinal nga gisulat alang sa System Administrator nga magasin, nahimong matagnaon sa usa ka diwa. Isyu sa usa ka magasin uban niining artikuloha nigawas literal nga adlaw-adlaw uban sa makalilisang nga sunog sa Kemerovo shopping center "Winter Cherry" (2018, Marso 20th).
Ika-30 nga anibersaryo sa kaylap nga kawalay kasiguruhan

I-install ang Internet sa 30 minuto

Balik sa 1988, ang maalamat nga hacker nga galaksiya nga L0pht, nga namulong sa bug-os nga kusog sa wala pa ang usa ka miting sa labing impluwensyal nga mga opisyal sa Kasadpan, mipahayag: "Ang imong kompyuter nga kagamitan dali nga maapektuhan sa mga pag-atake sa cyber gikan sa Internet. Ug software, ug hardware, ug telekomunikasyon. Ang ilang mga tindera wala gyud nabalaka bahin sa kini nga kahimtang. Tungod kay ang modernong lehislasyon wala maghatag alang sa bisan unsang tulubagon alang sa usa ka pagpabaya nga pamaagi aron masiguro ang cybersecurity sa gigama nga software ug hardware. Ang responsibilidad alang sa mga potensyal nga kapakyasan (kon spontaneous man o tungod sa interbensyon sa mga cybercriminals) naa ra sa tiggamit sa kagamitan. Sama sa alang sa federal nga gobyerno, wala kini kahanas o tinguha nga masulbad kini nga problema. Busa, kung nangita ka alang sa cybersecurity, nan ang Internet dili ang lugar aron makit-an kini. Ang matag usa sa pito ka mga tawo nga naglingkod sa imong atubangan hingpit nga makaguba sa Internet ug, sa ingon, makuha ang hingpit nga kontrol sa mga kagamitan nga konektado niini. Sa kaugalingon. 30 minutos nga choreographed keystroke ug nahuman na. [7]

Ika-30 nga anibersaryo sa kaylap nga kawalay kasiguruhan

Makahuluganon nga miyango ang mga opisyal, nga giklaro nga nakasabot sila sa kaseryoso sa sitwasyon, apan walay nahimo. Karon, eksakto nga 30 ka tuig pagkahuman sa bantog nga pasundayag sa L0pht, ang kalibutan gihampak gihapon sa "kaylap nga kawalay kasiguruhan." Ang pag-hack sa computerized, Internet-connected equipment kay sayon ​​kaayo nga ang Internet, sa sinugdan usa ka gingharian sa idealistic scientists ug enthusiasts, anam-anam nga giokupar sa labing pragmatic sa mga propesyonal: scammers, swindlers, espiya, terorista. Silang tanan nagpahimulos sa mga kahuyangan sa mga gamit sa kompyuter para sa pinansyal o uban pang benepisyo. [7]

Gipasagdan sa mga vendor ang cybersecurity

Ang mga vendor usahay, siyempre, mosulay sa pag-ayo sa pipila sa mga nahibal-an nga mga kahuyangan, apan sila nagduha-duha. Tungod kay ang ilang ganansya dili gikan sa proteksyon gikan sa mga hacker, apan gikan sa bag-ong kagamitan nga ilang gihatag sa mga konsumedor. Kay naka-focus lamang sa hamubo nga panahon nga ganansya, ang mga tigbaligya namuhunan lamang og salapi sa pagsulbad sa tinuod nga mga problema, dili sa mga hypothetical. Ang cybersecurity, sa mga mata sa kadaghanan kanila, usa ka hypothetical nga butang. [7]

Ang cybersecurity usa ka dili makita, dili mahikap nga butang. Kini mahimong mahikap lamang kung ang mga problema moabut uban niini. Kung giatiman nila kini pag-ayo (naggasto sila og daghang salapi sa probisyon niini), ug wala’y mga problema niini, ang katapusan nga konsumedor dili gusto nga mag-overpay alang niini. Dugang pa, agig dugang sa pagdugang sa gasto sa panalapi, ang pagpatuman sa mga lakang sa pagpanalipod nanginahanglan dugang nga oras sa pag-uswag, nanginahanglan paglimit sa mga kapabilidad sa mga ekipo, ug nagdala sa pagkunhod sa pagka-produktibo niini. [8]

Lisod ang pagkumbinser bisan sa atong kaugalingong mga tigpamaligya sa kahimoan sa nalista nga mga gasto, labi na sa pagtapos sa mga konsumidor. Ug tungod kay ang mga modernong tigbaligya interesado lamang sa mga mubu nga kita sa pagbaligya, dili gyud sila hilig nga mag-ako sa responsibilidad sa pagsiguro sa cybersecurity sa ilang mga binuhat. [1] Sa laing bahin, ang mas mabinantayon nga mga tigbaligya nga nag-atiman sa cybersecurity sa ilang mga ekipo nag-atubang sa kamatuoran nga ang mga konsumidor sa korporasyon mas gusto nga mas barato ug dali gamiton nga mga alternatibo. Nga. Dayag nga ang mga konsumedor sa korporasyon wala usab nagpakabana bahin sa cybersecurity. [8]

Sa kahayag sa ibabaw, dili ikatingala nga ang mga tigbaligya lagmit nga magpasagad sa cybersecurity, ug mosunod sa mosunod nga pilosopiya: "Padayon sa pagtukod, padayon sa pagbaligya ug pag-patch kung gikinahanglan. Naguba ba ang sistema? Nawala nga impormasyon? Database nga adunay mga numero sa credit card nga gikawat? Aduna bay bisan unsang makamatay nga mga kahuyangan nga nahibal-an sa imong kagamitan? Walay problema!" Ang mga konsumedor, sa baylo, kinahanglang mosunod sa prinsipyo: “Patch and pray.” [7] Ika-30 nga anibersaryo sa kaylap nga kawalay kasiguruhan

Giunsa kini mahitabo: mga pananglitan gikan sa ihalas

Usa ka talagsaong pananglitan sa pagpasagad sa cybersecurity sa panahon sa pag-uswag mao ang corporate insentibo nga programa sa Microsoft: "Kung dili nimo makalimtan ang mga deadline, multahan ka. Kung wala ka'y ​​panahon sa pagsumite sa pagpagawas sa imong kabag-ohan sa oras, dili kini ipatuman. Kung dili kini ipatuman, dili ka makadawat mga bahin sa kompanya (usa ka piraso sa pie gikan sa kita sa Microsoft). Sukad sa 1993, ang Microsoft nagsugod sa aktibong pag-link sa mga produkto niini sa Internet. Tungod kay kini nga inisyatiba naglihok subay sa parehas nga makapadasig nga programa, ang pagpaandar nga gipalapad mas paspas kaysa sa depensa nga makasunod niini. Sa kalipay sa pragmatic vulnerability mangangayam... [7]

Ang laing pananglitan mao ang sitwasyon sa mga kompyuter ug laptop: wala sila'y dala nga pre-installed nga antivirus; ug wala usab sila maghatag alang sa preset sa lig-on nga mga password. Gituohan nga ang end user mag-install sa antivirus ug magtakda sa mga parameter sa pagsumpo sa seguridad. [1]

Laing, mas grabe nga pananglitan: ang sitwasyon sa cybersecurity sa retail equipment (cash registers, PoS terminals alang sa shopping centers, ug uban pa). Nahitabo nga ang mga tigbaligya sa mga kagamitan sa komersyo nagbaligya lamang sa gibaligya, ug dili kung unsa ang luwas. [2] Kung adunay usa ka butang nga giatiman sa mga tigbaligya sa komersyal nga kagamitan bahin sa cybersecurity, gisiguro niini nga kung adunay usa ka kontrobersyal nga insidente, ang responsibilidad nahulog sa uban. [3]

Usa ka timailhan nga pananglitan sa kini nga pag-uswag sa mga panghitabo: ang pagpopular sa EMV nga sumbanan alang sa mga bank card, nga, salamat sa takos nga trabaho sa mga tigpamaligya sa bangko, makita sa mga mata sa publiko nga dili teknikal nga sopistikado ingon usa ka labi ka luwas nga alternatibo sa "karaan na" magnetic nga mga kard. Sa samang higayon, ang nag-unang motibasyon sa industriya sa banking, nga maoy responsable sa pagpalambo sa EMV standard, mao ang pagbalhin sa responsibilidad alang sa malimbongon nga mga insidente (nahitabo tungod sa kasaypanan sa mga carder) - gikan sa mga tindahan ngadto sa mga konsumidor. Samtang kaniadto (sa dihang ang mga pagbayad gihimo pinaagi sa mga magnetic card), ang pinansyal nga responsibilidad anaa sa mga tindahan alang sa mga kalainan sa debit/kredito. [3] Busa ang mga bangko nga nagproseso sa mga bayranan nagbalhin sa responsibilidad ngadto sa mga negosyante (nga naggamit sa ilang hilit nga sistema sa pagbabangko) o sa mga bangko nga nag-isyu sa mga kard sa pagbayad; ang ulahi nga duha, sa baylo, ibalhin ang responsibilidad sa tag-iya sa kard. [2]

Gibabagan sa mga vendor ang cybersecurity

Samtang ang digital nga pag-atake sa nawong dili mapugngan nga nagkalapad-salamat sa pagbuto sa mga aparato nga konektado sa Internet-ang pagsubay sa kung unsa ang konektado sa corporate network nahimong labi ka lisud. Sa samang higayon, ang mga tigbaligya nagbalhin sa mga kabalaka mahitungod sa kaluwasan sa tanang kagamitan nga konektado sa Internet ngadto sa end user [1]: "Ang pagluwas sa mga nalumos nga mga tawo mao ang buhat sa mga nalumos mismo."

Dili lamang ang mga tigbaligya wala magtagad sa cybersecurity sa ilang mga binuhat, apan sa pipila ka mga kaso sila usab makabalda sa probisyon niini. Pananglitan, sa diha nga sa 2009 ang Conficker network worm leaked ngadto sa Beth Israel Medical Center ug nataptan nga bahin sa medikal nga ekipo didto, ang teknikal nga direktor niini nga medikal nga sentro, aron sa pagpugong sa susama nga mga insidente nga mahitabo sa umaabot, mihukom sa pag-disable sa operasyon suporta function sa mga ekipo nga apektado sa ulod uban sa network. Bisan pa, giatubang niya ang kamatuoran nga "ang kagamitan dili ma-update tungod sa mga pagdili sa regulasyon." Nagkinahanglan siya og daghang paningkamot aron makigsabot sa vendor aron ma-disable ang mga function sa network. [4]

Panguna nga Cyber-Insecurity sa Internet

Si David Clarke, ang maalamat nga propesor sa MIT kansang henyo nakadawat kaniya sa angga nga "Albus Dumbledore," nahinumdom sa adlaw nga ang ngitngit nga bahin sa Internet gipadayag sa kalibutan. Si Clark maoy nangulo sa usa ka komperensya sa telekomunikasyon niadtong Nobyembre 1988 sa dihang mibuto ang balita nga ang unang computer worm sa kasaysayan milusot sa mga wire sa network. Nahinumdom si Clark niining higayona tungod kay ang mamumulong nga naa sa iyang komperensya (usa ka empleyado sa usa sa mga nag-unang kompanya sa telekomunikasyon) adunay tulubagon sa pagkaylap sa kini nga ulod. Kini nga mamumulong, sa kainit sa emosyon, wala tuyoa nga miingon: “Ania ka!” Morag gisirado nako kini nga pagkahuyang," gibayran niya kini nga mga pulong. [5]

Ika-30 nga anibersaryo sa kaylap nga kawalay kasiguruhan

Bisan pa, kini sa ulahi nahimo nga ang pagkahuyang diin ang gihisgutan nga ulod mikaylap dili merito sa bisan kinsa nga indibidwal nga tawo. Ug kini, sa estrikto nga pagsulti, dili bisan usa ka kahuyang, apan usa ka sukaranan nga bahin sa Internet: ang mga magtutukod sa Internet, sa diha nga nagpalambo sa ilang utok, naka-focus lamang sa katulin sa pagbalhin sa data ug pagtugot sa sayup. Wala nila ibutang ang ilang kaugalingon sa tahas sa pagsiguro sa cybersecurity. [5]

Karon, mga dekada human sa pagkatukod sa Internet—nga adunay ginatos ka bilyong dolyares nga nagasto na sa walay pulos nga mga pagsulay sa cybersecurity—ang Internet dili kaayo mahuyang. Ang mga problema sa cybersecurity niini nagkagrabe matag tuig. Apan, aduna ba kitay katungod sa pagkondenar sa mga nagtukod sa Internet alang niini? Sa pagkatinuod, pananglitan, walay usa nga mokondenar sa mga magtutukod sa mga expressway tungod sa kamatuoran nga ang mga aksidente mahitabo sa "ilang mga dalan"; ug walay mokondenar sa mga tigplano sa siyudad tungod sa kamatuoran nga ang mga pagpanulis mahitabo sa “ilang mga siyudad.” [5]

Giunsa natawo ang hacker subculture

Ang hacker subculture naggikan sa sayong bahin sa 1960s, sa "Railway Technical Modeling Club" (naglihok sulod sa mga bungbong sa Massachusetts Institute of Technology). Ang mga mahiligon sa club nagdisenyo ug nag-assemble ug usa ka modelo nga riles, nga dako kaayo nga napuno niini ang tibuok lawak. Ang mga miyembro sa club kusog nga gibahin sa duha ka grupo: mga tigpasiugda sa kalinaw ug mga espesyalista sa sistema. [6]

Ang una nagtrabaho sa ibabaw sa yuta nga bahin sa modelo, ang ikaduha - sa ilawom sa yuta. Ang mga una nagkolekta ug nagdayandayan sa mga modelo sa mga tren ug mga siyudad: gimodelo nila ang tibuok kalibutan sa miniature. Ang ulahi nagtrabaho sa teknikal nga suporta alang sa tanan nga kini nga paghimo sa kalinaw: usa ka kakuti sa mga wire, relay ug coordinate switch nga nahimutang sa ilawom sa yuta nga bahin sa modelo - ang tanan nga nagkontrol sa "ibabaw sa yuta" nga bahin ug gipakaon kini sa kusog. [6]

Sa diha nga adunay usa ka problema sa trapiko ug adunay usa nga adunay usa ka bag-o ug maalamon nga solusyon sa pag-ayo niini, ang solusyon gitawag nga "hack." Alang sa mga miyembro sa club, ang pagpangita alang sa bag-ong mga hack nahimong usa ka intrinsic nga kahulugan sa kinabuhi. Mao nga nagsugod sila sa pagtawag sa ilang kaugalingon nga "mga hacker." [6]

Ang unang henerasyon sa mga hacker nagpatuman sa mga kahanas nga nakuha sa Simulation Railway Club pinaagi sa pagsulat sa mga programa sa kompyuter sa mga punched card. Dayon, sa dihang ang ARPANET (ang gisundan sa Internet) miabot sa kampus niadtong 1969, ang mga hacker nahimong labing aktibo ug hanas nga tiggamit niini. [6]

Karon, mga dekada ang milabay, ang modernong Internet nahisama nianang "underground" nga bahin sa modelo nga riles. Tungod kay ang mga nagtukod niini parehas nga mga hacker, mga estudyante sa "Railroad Simulation Club". Ang mga hacker ra karon ang naglihok sa tinuud nga mga lungsod imbes nga mga simulate nga miniature. [6] Ika-30 nga anibersaryo sa kaylap nga kawalay kasiguruhan

Giunsa ang pag-ruta sa BGP

Sa pagtapos sa 80s, isip usa ka resulta sa usa ka pagtaas sa sama sa avalanche sa gidaghanon sa mga himan nga konektado sa Internet, ang Internet miduol sa lisud nga limitasyon sa matematika nga gitukod sa usa sa mga batakang protocol sa Internet. Busa, ang bisan unsang panag-istoryahanay tali sa mga inhenyero niadtong panahona sa kadugayan nahimong usa ka panaghisgot niini nga problema. Ang duha ka higala walay eksepsiyon: Jacob Rechter (usa ka engineer gikan sa IBM) ug Kirk Lockheed (founder sa Cisco). Sa higayon nga nagkita sa lamesa sa panihapon, nagsugod sila sa paghisgot sa mga lakang aron mapreserbar ang pag-andar sa Internet. Ang mga higala misulat sa mga ideya nga mitumaw sa bisan unsa nga moabut sa kamot - usa ka panyo nga namansahan sa ketchup. Unya ang ikaduha. Unya ang ikatulo. Ang “three napkins protocol,” ingon sa kataw-anan nga pagtawag sa mga imbentor niini—nailhan sa mga opisyal nga grupo ingong BGP (Border Gateway Protocol)—sa wala madugay nagbag-o sa Internet. [8] Ika-30 nga anibersaryo sa kaylap nga kawalay kasiguruhan

Alang sa Rechter ug Lockheed, ang BGP usa lamang ka kaswal nga pag-hack, naugmad sa diwa sa nahisgutang Model Railroad Club, usa ka temporaryo nga solusyon nga sa dili madugay mapulihan. Ang mga higala nakahimo og BGP niadtong 1989. Karon, bisan pa, 30 ka tuig ang milabay, ang kadaghanan sa trapiko sa Internet gipadagan gihapon gamit ang "tulo ka napkin protocol" - bisan pa sa labi nga makapaalarma nga mga tawag bahin sa mga kritikal nga problema sa cybersecurity niini. Ang temporaryo nga hack nahimong usa sa sukaranan nga mga protocol sa Internet, ug ang mga nag-develop niini nakakat-on gikan sa ilang kaugalingong kasinatian nga "walay mas permanente pa kay sa temporaryo nga mga solusyon." [8]

Ang mga network sa tibuok kalibutan mibalhin sa BGP. Ang mga impluwensyal nga vendor, adunahang kliyente ug kompanya sa telekomunikasyon dali nga nahigugma sa BGP ug naanad niini. Busa, bisan pa sa nagkadaghan nga mga alarma sa alarma bahin sa kawalay kasiguruhan sa kini nga protocol, ang publiko sa IT wala gihapon magpakita kadasig alang sa pagbalhin sa bag-o, labi ka luwas nga kagamitan. [8]

Cyber-insecure BGP routing

Ngano nga ang BGP routing maayo kaayo ug ngano nga ang IT nga komunidad wala magdali sa pagbiya niini? Ang BGP nagtabang sa mga routers sa paghimo og mga desisyon kon asa i-ruta ang dagkong mga sapa sa datos nga gipadala sa usa ka dako nga network sa mga intersecting nga linya sa komunikasyon. Gitabangan sa BGP ang mga routers sa pagpili sa angay nga mga agianan bisan kung ang network kanunay nga nagbag-o ug ang mga sikat nga ruta kanunay nga makasinati mga paghuot sa trapiko. Ang problema kay ang Internet walay global nga mapa sa ruta. Ang mga router nga naggamit sa BGP naghimo og mga desisyon mahitungod sa pagpili sa usa ka dalan o sa lain base sa impormasyon nga nadawat gikan sa mga silingan sa cyberspace, nga sa baylo nangolekta og impormasyon gikan sa ilang mga silingan, ug uban pa. Bisan pa, kini nga kasayuran dali nga ma-false, nga nagpasabut nga ang pag-ruta sa BGP dali nga mahuyang sa mga pag-atake sa MiTM. [8]

Busa, ang mga pangutana sama sa mosunod kanunay nga mitungha: "Ngano nga ang trapiko tali sa duha ka mga kompyuter sa Denver miagi sa usa ka higanteng detour agi sa Iceland?", "Nganong ang classified Pentagon data sa makausa gibalhin sa transit pinaagi sa Beijing?" Adunay mga teknikal nga tubag sa mga pangutana nga sama niini, apan silang tanan nahulog sa kamatuoran nga ang BGP nagtrabaho base sa pagsalig: pagsalig sa mga rekomendasyon nga nadawat gikan sa mga silingan nga mga router. Salamat sa pagsalig nga kinaiya sa BGP protocol, ang misteryosong mga overlord sa trapiko mahimong makadani sa mga data sa ubang mga tawo nga nag-agay sa ilang domain kung gusto nila. [8]

Usa ka buhi nga pananglitan mao ang pag-atake sa BGP sa China sa American Pentagon. Niadtong Abril 2010, ang higanteng telecom nga gipanag-iya sa estado nga China Telecom nagpadala og napulo ka libo nga mga routers sa tibuok kalibutan, lakip ang 16 sa Estados Unidos, usa ka mensahe sa BGP nga nagsulti kanila nga sila adunay mas maayo nga mga ruta. Kung wala’y sistema nga makapamatuod sa kabalido sa usa ka mensahe sa BGP gikan sa China Telecom, ang mga router sa tibuuk kalibutan nagsugod sa pagpadala data sa pagbiyahe pinaagi sa Beijing. Lakip ang trapiko gikan sa Pentagon ug uban pang mga site sa US Department of Defense. Ang kasayon ​​​​sa pag-usab sa trapiko ug ang kakulang sa epektibo nga panalipod batok niini nga matang sa pag-atake maoy laing timailhan sa kawalay kasegurohan sa BGP routing. [8]

Ang BGP protocol sa teoriya nga huyang sa usa ka mas delikado nga pag-atake sa cyber. Sa panghitabo nga ang internasyonal nga mga panagbangi mograbe sa hingpit nga kusog sa cyberspace, ang China Telecom, o uban pang higante sa telekomunikasyon, mahimong mosulay sa pag-angkon sa pagpanag-iya sa mga bahin sa Internet nga dili tinuod nga iya niini. Ang ingon nga lakang makapalibog sa mga router, nga kinahanglan nga mag-bounce tali sa mga nagkompetensya nga mga bid alang sa parehas nga mga bloke sa mga adres sa Internet. Kung wala ang abilidad sa pag-ila sa usa ka lehitimong aplikasyon gikan sa usa ka peke, ang mga router magsugod sa paglihok nga dili maayo. Ingong resulta, mag-atubang kita sa Internet nga katumbas sa nukleyar nga gubat—usa ka dayag, dako-dakong pagpasundayag sa kasuko. Ang ingon nga pag-uswag sa mga panahon sa relatibong kalinaw ingon og dili realistiko, apan sa teknikal nga paagi kini mahimo. [8]

Usa ka walay pulos nga pagsulay sa pagbalhin gikan sa BGP ngadto sa BGPSEC

Ang cybersecurity wala gikonsiderar sa dihang naugmad ang BGP, tungod kay nianang panahona ang mga hack talagsa ra ug ang kadaot gikan niini gamay ra. Ang mga nag-develop sa BGP, tungod kay nagtrabaho sila sa mga kompanya sa telekomunikasyon ug interesado nga ibaligya ang ilang kagamitan sa network, adunay usa ka labi ka dinalian nga buluhaton: aron malikayan ang kusog nga pagkaguba sa Internet. Tungod kay ang mga pagkabalda sa Internet makapahilayo sa mga tiggamit, ug sa ingon makunhuran ang pagbaligya sa mga kagamitan sa network. [8]

Pagkahuman sa insidente sa pagpasa sa trapiko sa militar sa Amerika pinaagi sa Beijing kaniadtong Abril 2010, ang dagan sa trabaho aron masiguro nga ang cybersecurity sa BGP routing siguradong gipaspasan. Bisan pa, ang mga tigbaligya sa telecom nagpakita ug gamay nga kadasig sa pagpas-an sa mga gasto nga nalangkit sa paglalin sa bag-ong luwas nga ruta sa protocol nga BGPSEC, nga gisugyot ingon usa ka puli sa dili sigurado nga BGP. Giisip gihapon sa mga vendor ang BGP nga madawat ra, bisan pa sa dili maihap nga mga insidente sa interception sa trapiko. [8]

Si Radia Perlman, nga gitawag nga "Inahan sa Internet" alang sa pag-imbento sa lain nga dagkong protocol sa network kaniadtong 1988 (usa ka tuig sa wala pa ang BGP), nakakuha usa ka propetikanhon nga disertasyon sa doktor sa MIT. Gitagna ni Perlman nga ang usa ka routing protocol nga nagdepende sa pagkamatinud-anon sa mga silingan sa cyberspace sa sukaranan dili sigurado. Gipasiugda ni Perlman ang paggamit sa cryptography, nga makatabang nga limitahan ang posibilidad sa pagpeke. Bisan pa, ang pagpatuman sa BGP naglihok na, ang impluwensyal nga komunidad sa IT naanad niini, ug dili gusto nga magbag-o bisan unsa. Busa, human sa nangatarongan nga mga pasidaan gikan sa Perlman, Clark ug uban pang mga prominenteng eksperto sa kalibutan, ang relatibong bahin sa cryptographically secure nga BGP routing wala gayud misaka, ug sa gihapon 0%. [8]

Ang BGP routing dili lamang ang hack

Ug ang BGP routing dili lamang ang hack nga nagpamatuod sa ideya nga "walay mas permanente kaysa temporaryo nga mga solusyon." Usahay ang Internet, nga nagpaunlod kanato sa mga pantasya nga kalibutan, ingon ka elegante sama sa usa ka racing car. Bisan pa, sa tinuud, tungod sa mga hack nga gipatong sa usag usa, ang Internet mas sama sa Frankenstein kaysa Ferrari. Tungod kay kini nga mga hack (mas opisyal nga gitawag nga mga patch) dili gyud mapulihan sa kasaligan nga teknolohiya. Ang mga sangputanan niini nga pamaagi makalilisang: adlaw-adlaw ug matag oras, ang mga cybercriminals nag-hack sa mga huyang nga sistema, nga nagpalapad sa sakup sa cybercrime sa kaniadto dili mahunahuna nga mga proporsyon. [8]

Daghan sa mga kasaypanan nga gipahimuslan sa mga cybercriminal dugay na nga nahibal-an, ug napreserbar tungod lamang sa kalagmitan sa komunidad sa IT nga sulbaron ang mga mitumaw nga mga problema - nga adunay temporaryo nga mga hack/patch. Usahay, tungod niini, ang mga karaan nga teknolohiya magtapok sa usag usa sa dugay nga panahon, nga nagpalisud sa kinabuhi sa mga tawo ug nagbutang kanila sa peligro. Unsa ang imong hunahunaon kon imong mahibal-an nga ang imong bangko nagtukod sa iyang vault sa pundasyon sa uhot ug lapok? Mosalig ka ba nga tipigan niya ang imong tinigom? [8] Ika-30 nga anibersaryo sa kaylap nga kawalay kasiguruhan

Ang walay pagtagad nga kinaiya ni Linus Torvalds

Nagkinahanglan kini og mga tuig sa wala pa ang Internet nakaabot sa unang gatusan nga mga kompyuter. Karon, 100 ka bag-ong kompyuter ug ubang mga himan ang konektado niini kada segundo. Samtang ang mga aparato nga konektado sa Internet mobuto, mao usab ang pagkadinalian sa mga isyu sa cybersecurity. Bisan pa, ang tawo nga adunay labing dako nga epekto sa pagsulbad niini nga mga problema mao ang usa nga nagtan-aw sa cybersecurity uban ang pagtamay. Kini nga tawo gitawag nga usa ka henyo, usa ka tigdaogdaog, usa ka espirituhanon nga lider ug usa ka buotan nga diktador. Linus Torvalds. Ang kadaghanan sa mga aparato nga konektado sa Internet nagpadagan sa operating system niini, ang Linux. Paspas, flexible, libre - Ang Linux nahimong mas ug mas popular sa paglabay sa panahon. Sa samang higayon, kini naggawi nga lig-on kaayo. Ug mahimo kini nga molihok nga wala mag-reboot sa daghang mga tuig. Mao kini ang hinungdan nga ang Linux adunay kadungganan nga mahimong dominanteng operating system. Halos tanang computerized equipment nga magamit nato karon nagpadagan sa Linux: servers, medical equipment, flight computers, gagmay nga drone, military aircraft ug daghan pa. [9]

Ang Linux nagmalampuson sa kadaghanan tungod kay gipasiugda sa Torvalds ang pasundayag ug pagtugot sa sayup. Bisan pa, gibutang niya kini nga gibug-aton sa gasto sa cybersecurity. Bisan kung ang cyberspace ug ang tinuod nga pisikal nga kalibutan nag-intertwine ug ang cybersecurity nahimong usa ka global nga isyu, si Torvalds nagpadayon sa pagbatok sa pagpaila sa luwas nga mga inobasyon sa iyang operating system. [9]

Busa, bisan sa daghang mga fans sa Linux, adunay nagkadako nga kabalaka bahin sa mga kahuyangan sa kini nga operating system. Sa partikular, ang labing suod nga bahin sa Linux, ang kernel niini, nga personal nga gigamit ni Torvalds. Nakita sa mga tagahanga sa Linux nga wala giseryoso sa Torvalds ang mga isyu sa cybersecurity. Dugang pa, gilibutan ni Torvalds ang iyang kaugalingon sa mga nag-develop nga adunay parehas nga walay pagtagad nga kinaiya. Kung ang usa ka tawo gikan sa sulod nga sirkulo ni Torvalds magsugod sa paghisgot bahin sa pagpaila sa luwas nga mga inobasyon, siya gitunglo dayon. Gisalikway ni Torvalds ang usa ka grupo sa maong mga innovator, nga nagtawag kanila nga "mga unggoy nga nag-masturbate." Samtang nanamilit si Torvalds sa laing grupo sa mga developers nga mahunahunaon sa seguridad, miingon siya kanila, “Mabination ba kamo nga magpakamatay. Ang kalibutan mahimong mas maayong lugar tungod niini.” Sa matag bahin sa pagdugang sa mga bahin sa seguridad, ang Torvalds kanunay nga supak niini. [9] Ang Torvalds adunay bisan usa ka tibuuk nga pilosopiya bahin niini, nga wala’y usa ka lugas sa sentido komon:

"Ang hingpit nga seguridad dili makab-ot. Busa, kini kinahanglan nga kanunay nga tagdon lamang kalabot sa ubang mga prayoridad: katulin, pagka-flexible ug kasayon ​​sa paggamit. Ang mga tawo nga bug-os nga naghalad sa ilang kaugalingon sa paghatag proteksyon mga buang. Limitado ang ilang panghunahuna, itom ug puti. Ang seguridad sa iyang kaugalingon walay kapuslanan. Ang esensya kanunay sa laing lugar. Busa, dili nimo masiguro ang hingpit nga seguridad, bisan kung gusto nimo. Siyempre, adunay mga tawo nga mas naghatag ug pagtagad sa kaluwasan kay sa Torvalds. Bisan pa, kini nga mga lalaki nagtrabaho lamang kung unsa ang ilang interes ug naghatag kasegurohan sulod sa pig-ot nga paryente nga gambalay nga naghulagway niini nga mga interes. Wala na. Mao nga wala gyud sila makatampo sa pagdugang sa hingpit nga seguridad. ” [9]

Sidebar: Ang OpenSource sama sa usa ka powder keg [10]

Ang OpenSource code nakadaginot og binilyon nga gasto sa pagpalambo sa software, nga nagwagtang sa panginahanglan alang sa dobleng mga paningkamot: uban sa OpenSource, ang mga programmer adunay kahigayonan sa paggamit sa kasamtangang mga inobasyon nga walay mga pagdili o pagbayad. Ang OpenSource gigamit bisan asa. Bisan kung nag-hire ka og software developer aron masulbad ang imong espesyal nga problema gikan sa wala, kini nga developer lagmit mogamit usa ka klase sa OpenSource library. Ug tingali labaw pa sa usa. Busa, ang mga elemento sa OpenSource anaa halos bisan asa. Sa parehas nga oras, kinahanglan sabton nga wala’y software nga static; ang code niini kanunay nga nagbag-o. Busa, ang prinsipyo nga "ibutang kini ug kalimtan kini" dili gyud magamit alang sa code. Lakip ang OpenSource code: sa madugay o sa madali gikinahanglan ang updated nga bersyon.

Sa 2016, among nakita ang mga sangputanan sa kini nga kahimtang: usa ka 28-anyos nga developer sa makadiyot "gibuak" ang Internet pinaagi sa pagtangtang sa iyang OpenSource code, nga kaniadto iyang gihimo nga magamit sa publiko. Gipunting niini nga istorya nga ang atong cyberinfrastructure huyang kaayo. Ang ubang mga tawo - nga nagsuporta sa mga proyekto sa OpenSource - importante kaayo sa pagmentinar niini nga kung, idili sa Dios, sila mabanggaan sa bus, ang Internet maguba.

Ang lisud nga pagmentinar nga code mao ang kung diin ang labing grabe nga mga kahuyangan sa cybersecurity nagtago. Ang ubang mga kompaniya wala gani makaamgo kon unsa sila ka bulnerable tungod sa lisud nga pagmentinar sa code. Ang mga kahuyangan nga nalangkit sa ingon nga code mahimong mohamtong sa usa ka tinuod nga problema nga hinay kaayo: ang mga sistema hinay nga madunot, nga wala magpakita sa makita nga mga kapakyasan sa proseso sa pagkadunot. Ug kung sila mapakyas, ang mga sangputanan makamatay.

Sa katapusan, tungod kay ang mga proyekto sa OpenSource kasagaran gipalambo sa usa ka komunidad sa mga mahiligon, sama ni Linus Torvalds o sama sa mga hacker gikan sa Model Railroad Club nga gihisgutan sa sinugdanan sa artikulo, ang mga problema sa lisud nga pagmentinar nga code dili masulbad sa tradisyonal nga mga paagi (gamit ang komersyal ug gobyerno levers). Tungod kay ang mga miyembro sa maong mga komunidad tinuyo ug gipabilhan ang ilang kagawasan labaw sa tanan.

Sidebar: Tingali ang mga serbisyo sa paniktik ug mga developer sa antivirus manalipod kanamo?

Sa 2013, nahibal-an nga ang Kaspersky Lab adunay usa ka espesyal nga yunit nga nagpahigayon mga kostumbre nga imbestigasyon sa mga insidente sa seguridad sa impormasyon. Hangtud bag-o lang, kini nga departamento gipangulohan sa usa ka kanhi mayor sa kapolisan, Ruslan Stoyanov, nga kaniadto nagtrabaho sa kaulohan sa Departamento "K" (USTM sa Moscow Main Internal Affairs Directorate). Ang tanan nga mga empleyado niining espesyal nga yunit sa Kaspersky Lab gikan sa mga ahensya sa pagpatuman sa balaod, lakip ang Investigative Committee ug Directorate "K". [onse]

Sa katapusan sa 2016, gidakop sa FSB si Ruslan Stoyanov ug gisumbong siya sa pagbudhi. Sa samang kaso, si Sergei Mikhailov, usa ka taas nga ranggo nga representante sa FSB CIB (information security center), gidakop, kinsa, sa wala pa ang pagdakop, ang tibuok cybersecurity sa nasud gihigot. [onse]

Sidebar: Gipatuman ang Cybersecurity

Sa dili madugay ang mga negosyante sa Russia mapugos sa paghatag og seryoso nga pagtagad sa cybersecurity. Niadtong Enero 2017, si Nikolai Murashov, usa ka representante sa Center for Information Protection and Special Communications, nag-ingon nga sa Russia, ang mga butang sa CII (kritikal nga imprastraktura sa impormasyon) lamang ang giatake labaw pa sa 2016 ka milyon nga beses sa 70. Ang mga butang sa CII naglakip sa mga sistema sa impormasyon sa mga ahensya sa gobyerno, mga negosyo sa industriya sa depensa, transportasyon, kredito ug pinansyal nga sektor, enerhiya, gasolina ug nukleyar nga industriya. Aron mapanalipdan sila, kaniadtong Hulyo 26, ang Presidente sa Russia nga si Vladimir Putin mipirma sa usa ka pakete sa mga balaod "Sa kaluwasan sa CII." Sa Enero 1, 2018, kung ang balaod nagsugod na, ang mga tag-iya sa mga pasilidad sa CII kinahanglan nga magpatuman sa usa ka hugpong sa mga lakang aron mapanalipdan ang ilang mga imprastraktura gikan sa mga pag-atake sa hacker, labi na, magkonektar sa GosSOPKA. [12]

Bibliograpiya

  1. Jonathan Millet. IoT: Ang Kamahinungdanon sa Pagsiguro sa Imong Mga Smart Device // 2017.
  2. Ross Anderson. Giunsa mapakyas ang mga sistema sa pagbayad sa smartcard // Black Hat. 2014.
  3. SJ Murdoch. Ang Chip ug PIN Nabuak // Mga Proceedings sa IEEE Symposium on Security and Privacy. 2010. pp. 433-446.
  4. David Talbot. Ang mga Virus sa Kompiyuter “Kay kaylap” sa mga Medical Device sa mga Ospital // MIT Technology Review (Digital). 2012.
  5. Craig Timberg. Pukot sa Kawalay Kasegurohan: Usa ka Pag-agos sa Disenyo // Ang Washington Post. 2015.
  6. Michael Lista. Usa siya ka tin-edyer nga hacker nga migasto sa iyang milyon-milyon sa mga awto, sinina ug relo—hangtod nga nasakpan sa FBI. // Toronto Kinabuhi. 2018.
  7. Craig Timberg. Pukot sa Kawalay Kasegurohan: Usa ka Kalamidad nga Gitagna – ug Gibalewala // Ang Washington Post. 2015.
  8. Craig Timberg. Ang taas nga kinabuhi sa usa ka dali nga 'pag-ayo': Ang protocol sa Internet gikan sa 1989 nagbilin sa datos nga huyang sa mga hijacker // Ang Washington Post. 2015.
  9. Craig Timberg. Net of Insecurity: Ang kernel sa argumento // Ang Washington Post. 2015.
  10. Joshua Gans. Mahimo ba nga ang Open-Source Code Makahimo sa Atong mga Kahadlok sa Y2K nga Matuman? // Pagrepaso sa Negosyo sa Harvard (Digital). 2017.
  11. Top manager sa Kaspersky gidakop sa FSB // CNews. 2017. URL.
  12. Maria Kolomychenko. Serbisyo sa Cyber ​​​​intelligence: Gisugyot sa Sberbank ang paghimo og usa ka punoan nga opisina aron makigbatok sa mga hacker // RBC. 2017.

Source: www.habr.com

Idugang sa usa ka comment