ProHoster > Blog > Amministrazione > 30 anni di insicurezza rampante

30 anni di insicurezza rampante

Quandu i "cappelli neri" - essendu l'urdinatori di a furesta salvatica di u ciberspaziu - diventanu particularmente riesciuti in u so travagliu bruttu, i media gialli sguillanu cun piacè. In u risultatu, u mondu cumencia à guardà a cibersecurità più seriamente. Ma sfurtunatamenti micca subitu. Dunque, malgradu u numeru crescente di incidenti cibernetici catastròfichi, u mondu ùn hè ancu maturu per misure attive attive. In ogni casu, hè previstu chì in un futuru vicinu, grazia à i "cappelli neri", u mondu hà da cumincià à piglià in seriu a cibersigurtà. [7]

30 anni di insicurezza rampante

Cum'è seriu cum'è l'incendi... E cità eranu una volta assai vulnerabile à incendi catastròfichi. Tuttavia, malgradu u periculu potenziale, e misure protettive proattive ùn sò micca state pigliate - ancu dopu à u focu giganti in Chicago in u 1871, chì hà riclamatu centinaie di vite è spustatu centinaie di millaie di persone. E misure protettive proattive sò state pigliate solu dopu chì un disastru simili hè accadutu di novu, trè anni dopu. Hè listessa cù a cibersecurità - u mondu ùn risolverà micca stu prublema, salvu chì ci sò incidenti catastròfichi. Ma ancu s'ellu accade tali incidenti, u mondu ùn risolve micca stu prublema immediatamente. [7] Dunque, ancu u dicendu: "Finu à chì un bug si trova, un omu ùn serà micca patched", ùn funziona micca bè. Hè per quessa chì in 2018 avemu celebratu 30 anni di insicurezza rampante.


Digressione lirica

U principiu di stu articulu, chì aghju scrittu urigginariamente per a rivista System Administrator, s'hè rivelatu profeticu in un sensu. Emissione di una rivista cù questu articulu partì Littiralmenti ghjornu dopu ghjornu cù u tragicu focu in u centru cummerciale Kemerovo "Winter Cherry" (2018, 20 di marzu).
30 anni di insicurezza rampante

Installa Internet in 30 minuti

Torna in u 1988, u legendariu pirate galaxy L0pht, parlendu in piena forza prima di una riunione di i funzionari occidentali più influenti, hà dichjaratu: "U vostru equipamentu computerizatu hè vulnerabile à l'attacchi cibernetici da Internet. E software, è hardware, è telecomunicazioni. I so vinditori ùn sò micca in tuttu preoccupatu di stu statu di l'affari. Perchè a legislazione muderna ùn prevede alcuna responsabilità per un approcciu negligente per assicurà a cibersigurtà di u software è u hardware fabbricati. A rispunsabilità per i fallimenti potenziali (sia spontanee o causate da l'intervenzione di i cibercriminali) hè solu à l'utilizatori di l'equipaggiu. In quantu à u guvernu federale, ùn hà nè e cumpetenze nè u desideriu di risolve stu prublema. Dunque, s'è vo circate di a cibersecurità, allora Internet ùn hè micca u locu per truvà. Ognuna di e sette persone sedute davanti à voi pò rompe cumplettamente l'Internet è, per quessa, piglià u cuntrollu tutale di l'equipaggiu cunnessu à questu. Per sè stessu. 30 minuti di tasti coreografiati è hè finitu. [7]

30 anni di insicurezza rampante

L'ufficiali annunziu significativu, facendu chjaru chì anu capitu a gravità di a situazione, ma ùn anu fattu nunda. Oghje, esattamente 30 anni dopu à a legendaria prestazione di L0pht, u mondu hè sempre infestatu da "una insicurezza rampante". Hacking computerized, l'equipaggiu cunnessu à Internet hè cusì faciule chì l'Internet, inizialmente un regnu di scientisti idealisti è dilettanti, hè stata gradualmente occupata da u più pragmaticu di i prufessiunali: scammers, truffatori, spie, terroristi. Tutti sfruttanu e vulnerabilità di l'equipaggiu informaticu per benefici finanziarii o altri. [7]

I venditori trascuranu a cibersigurtà

I venditori à volte, sicuru, pruvate à riparà alcune di e vulnerabilità identificate, ma facenu cusì assai riluttante. Perchè u so prufittu ùn vene micca da a prutezzione di i pirate, ma da a nova funziunalità chì furnisce à i cunsumatori. Fighjendu solu nantu à i profitti à cortu termine, i venditori investenu soldi solu per risolve i prublemi veri, micca ipotetichi. A cibersigurtà, à l'ochji di parechji di elli, hè una cosa ipotetica. [7]

A cibersigurtà hè una cosa invisibile, intangible. Diventa tangibile solu quandu i prublemi sò cun ellu. S'elli anu curatu bè (hanu spesu assai soldi nantu à a so prestazione), è ùn ci sò micca prublemi cù questu, u cunsumadore finale ùn vulete micca overpay per questu. Inoltre, in più di l'aumentu di i costi finanziarii, l'implementazione di misure protettive richiede un tempu di sviluppu supplementu, esige limitazione di e capacità di l'equipaggiu, è porta à una diminuzione di a so produtividade. [8]

Hè difficiuli di cunvince ancu i nostri propri marketers di a fattibilità di i costi listati, per ùn dì micca i cunsumatori finali. E postu chì i venditori muderni sò interessate solu in i profitti di vendita à cortu termini, ùn sò micca inclinati à piglià a rispunsabilità per assicurà a cibersigurtà di e so creazioni. [1] Per d 'altra banda, i venditori più attenti chì anu cura di a cibersigurtà di i so equipaghji sò affruntati cù u fattu chì i cunsumatori corporativi preferiscenu alternative più economiche è più faciuli d'utilizà. Chì. Hè ovvi chì i cunsumatori corporativi ùn importa micca assai di a cibersigurtà. [8]

In vista di ciò chì sopra, ùn hè micca surprisante chì i venditori tendenu à trascuratà a cibersecurità, è aderiscenu à a filusufìa seguente: "Cuntinuà à custruisce, mantene a vendita è patch quandu hè necessariu. U sistema hè cascatu? Informazioni perse? A basa di dati cù numeri di carte di creditu arrubati? Ci hè una vulnerabilità fatale identificata in u vostru equipamentu? Nisunu prublema!" I cunsumatori, à u turnu, anu da seguità u principiu: "Patch è pricà". [7] 30 anni di insicurezza rampante

Cumu succede questu: esempi da a natura

Un esempiu impressionante di negligenza di a cibersigurtà durante u sviluppu hè u prugramma di incentivazione corporativa di Microsoft: "Se mancate e scadenze, sarete amminatu. Se ùn avete micca u tempu di presentà a liberazione di a vostra innuvazione à tempu, ùn serà micca implementatu. Se ùn hè micca implementatu, ùn riceverete micca azioni di a cumpagnia (un pezzu di a torta da i profitti di Microsoft). Dapoi u 1993, Microsoft hà cuminciatu à ligà attivamente i so prudutti à Internet. Siccomu sta iniziativa operava in linea cù u listessu prugramma di motivazione, a funziunalità s'hè allargata più veloce di a difesa chì puderia mantene cun ellu. Per u piacè di i cacciatori di vulnerabili pragmatici... [7]

Un altru esempiu hè a situazione cù l'urdinatori è i laptops: ùn venenu micca cun un antivirus preinstallatu; è ancu ùn furnisce micca u preset di password forti. Si assume chì l'utilizatore finale installerà l'antivirus è stabilisce i paràmetri di cunfigurazione di sicurezza. [1]

Un altru esempiu più estremu: a situazione cù a cibersecurità di l'equipaggiu di vendita (cash registers, terminali PoS per centri commerciali, etc.). Hè accadutu chì i venditori di l'equipaggiu cummerciale vendenu solu ciò chì hè vindutu, è micca ciò chì hè sicuru. [2] S'ellu ci hè una cosa chì i venditori di l'equipaggiu cummirciali curanu in quantu à a cibersecurità, hè di assicurà chì, se si verifica un incidente cuntruversu, a rispunsabilità casca nantu à l'altri. [3]

Un esempiu indicativu di stu sviluppu di l'avvenimenti: a popularisazione di u standard EMV per e carte bancarie, chì, grazia à u travagliu cumpetente di i cummercializatori bancari, appare in l'ochji di u publicu chì ùn sò micca tecnicamente sofisticati cum'è una alternativa più sicura à "obsoleti". carte magnetiche. À u listessu tempu, a motivazione principale di l'industria bancaria, chì era rispunsevuli di u sviluppu di u standard EMV, era di trasfurmà a rispunsabilità per incidenti fraudulenti (accaduti per culpa di carders) - da i magazzini à i cunsumatori. Mentre chì prima (quandu i pagamenti eranu fatti da carte magnetiche), a rispunsabilità finanziaria era di e magazzini per discrepanzi in debitu / creditu. [3] Cusì i banche chì processanu i pagamenti cambianu a rispunsabilità sia à i cummircianti (chì utilizanu i so sistemi bancari remoti) sia à i banche chì emettenu carte di pagamentu; l'ultimi dui, à u turnu, trasferisce a rispunsabilità à u titular di a carta. [2]

I venditori impediscenu a cibersigurtà

Siccomu a superficia di l'attaccu digitale si espande inesorabilmente - grazie à l'esplosione di i dispositi cunnessi à Internet - mantene a traccia di ciò chì hè cunnessu à a reta corporativa diventa sempre più difficiule. À u listessu tempu, i venditori cambianu a preoccupazione di a sicurità di tutti l'equipaggiu cunnessi à l'Internet à l'utilizatori finali [1]: "U salvezza di e persone chì si affucanu hè u travagliu di e persone chì si affucanu".

Micca solu i venditori ùn importa micca di a cibersigurtà di e so creazioni, ma in certi casi ancu interferiscenu cù a so prestazione. Per esempiu, quandu in u 2009 u vermu di a rete Conficker hà filtratu in u Beth Israel Medical Center è hà infettatu una parte di l'equipaggiu medicale, u direttore tecnicu di stu centru medico, per prevene incidenti simili in u futuru, hà decisu di disattivà u funzione di supportu di u funziunamentu nantu à l'equipaggiu affettatu da u vermu cù a reta. Tuttavia, era affruntatu cù u fattu chì "l'equipaggiu ùn puderia micca esse aghjurnatu per via di restrizioni regulatori". Ci hà pigliatu un sforzu considerableu per negozià cù u venditore per disattivà e funzioni di rete. [4]

Fundamental Cyber-Insecurity di Internet

David Clarke, u legendariu prufissore di u MIT chì u geniu hà guadagnatu u soprannomu "Albus Dumbledore", ricorda u ghjornu chì u latu scuru di l'Internet hè statu revelatu à u mondu. Clark presideva una cunferenza di telecomunicazioni in nuvembre di u 1988, quandu a nutizia hè ghjunta chì u primu verme di l'informatica in a storia avia slithered through network wire. Clark s'hè ricurdatu di stu mumentu perchè l'oratore presente in a so cunferenza (un impiigatu di una di e cumpagnie di telecomunicazioni principali) hè statu rispunsevuli di a diffusione di stu vermu. Stu parlante, in u calore di l'emozioni, hà dettu inavvertitamente: "Eccu vai!" Mi pare d'avè chjusu sta vulnerabilità ", hà pagatu per queste parolle. [5]

30 anni di insicurezza rampante

In ogni casu, più tardi hè statu chì a vulnerabilità à traversu chì u vermu mintuatu si sparse ùn era micca u meritu di ogni persona individuale. È questu, in modu strettu, ùn era ancu una vulnerabilità, ma una caratteristica fundamentale di l'Internet: i fundatori di l'Internet, quandu anu sviluppatu a so idea, anu focu solu nantu à a velocità di trasferimentu di dati è a toleranza di difetti. Ùn si sò micca stabilitu u compitu di assicurà a cibersigurtà. [5]

Oghje, decennii dopu a fundazione di l'Internet - cù centinaie di miliardi di dollari digià spesi in tentativi inutili di cybersecurity - Internet ùn hè micca menu vulnerabile. I so prublemi di cibersecurità sò solu peghju ogni annu. Tuttavia, avemu u dirittu di cundannà i fundatori di l'Internet per questu? Dopu tuttu, per esempiu, nimu ùn cundannarà i custruttori di l'autostrade per u fattu chì l'accidenti passanu in "i so strade"; è nimu ùn cundannarà i pianificatori di a cità per u fattu chì i furti sò in "e so cità". [5]

Cumu hè natu a subcultura di i pirate

A subcultura di pirate hè urigginata à l'iniziu di l'anni 1960, in u "Railway Technical Modeling Club" (opera in i mura di l'Istitutu di Tecnulugia di Massachusetts). L'amatori di u club cuncepìu è assemblavanu un mudellu di ferrovia, cusì grande chì hà pienu tutta a stanza. I membri di u club spontaneamente divisu in dui gruppi: pacificatori è specialisti di u sistema. [6]

U primu hà travagliatu cù a parti suprana di u mudellu, u sicondu - cù u sottu. I primi cullighjanu è decorate mudelli di treni è di cità: anu modellatu u mondu sanu in miniatura. L'ultime hà travagliatu nantu à u supportu tecnicu per tuttu questu pacificu: una intricatu di fili, relay è coordenate interruttori situati in a parte sotterranea di u mudellu - tuttu ciò chì cuntrullava a parte "superiore" è alimentata cù energia. [6]

Quandu ci era un prublema di trafficu è qualcunu ghjunse cù una soluzione nova è ingegnosa per riparà, a suluzione hè stata chjamata "pirate". Per i membri di u club, a ricerca di novi pirate hè diventata un significatu intrinsicu di a vita. Hè per quessa ch'elli cuminciaru à chjamà "pirate". [6]

A prima generazione di pirate hà implementatu e cumpetenze acquistate à u Simulation Railway Club scrivendu prugrammi di computer nantu à carte perforate. Dopu, quandu l'ARPANET (u predecessore di l'Internet) hè ghjuntu in u campus in u 1969, i pirate sò diventati i so utilizatori più attivi è qualificati. [6]

Avà, decennii dopu, l'Internet mudernu s'assumiglia à quella parte assai "sottile" di u mudellu di ferrovia. Perchè i so fundatori eranu sti stessi pirate, studienti di u "Railroad Simulation Club". Solu i pirati ora operanu cità veri invece di miniature simulate. [6] 30 anni di insicurezza rampante

Cumu hè ghjuntu u routing BGP

À a fine di l'anni 80, per via di un aumentu di avalanche in u numeru di dispusitivi cunnessi à Internet, l'Internet s'avvicinò à u limitu matematicu duru custruitu in unu di i protokolli basi di Internet. Per quessa, ogni cunversazione trà l'ingegneri di quellu tempu eventualmente hà diventatu una discussione di stu prublema. Dui amichi ùn eranu micca eccezzioni: Jacob Rechter (un ingegnere da IBM) è Kirk Lockheed (fundatore di Cisco). Dopu avè scontru per casu à a tavula di cena, cuminciaru à discutiri misure per priservà a funziunalità di l'Internet. L'amici anu scrittu l'idee chì sò ghjunti nantu à ciò chì hè vinutu à a manu - un napkin macchiatu di ketchup. Allora u sicondu. Allora u terzu. U "protokollu di trè napkins", cum'è i so inventori l'anu chjamatu scherzosamente - cunnisciutu in i circoli ufficiali cum'è BGP (Protokollu di u Gateway di u Border) - hà prestu rivoluzionatu l'Internet. [8] 30 anni di insicurezza rampante

Per Rechter è Lockheed, BGP era solu un pirate casuale, sviluppatu in u spiritu di u Model Railroad Club sopra citatu, una suluzione tempuranea chì seria prestu rimpiazzata. L'amici anu sviluppatu BGP in u 1989. Oghje, però, 30 anni dopu, a maiò parte di u trafficu Internet hè sempre instradatu cù u "protokollu di trè napkin" - malgradu i chjamati sempre più alarmanti nantu à i prublemi critichi cù a so cibersigurtà. U pirate temporale hè diventatu unu di i protokolli Internet basi, è i so sviluppatori anu amparatu da a so propria sperienza chì "ùn ci hè nunda di più permanente chè solu suluzione tempurale". [8]

E rete in u mondu anu cambiatu à BGP. I venditori influenti, i clienti ricchi è l'imprese di telecomunicazioni si sò rapidamente innamurati di BGP è si sò abituati. Dunque, ancu s'ellu ci hè più è più campane d'alarma nantu à l'insicurità di stu protokollu, u publicu di l'IT ùn mostra ancu l'entusiasmu per a transizione à un equipamentu novu è più sicuru. [8]

Routing BGP Cyber-insicure

Perchè u routing BGP hè cusì bonu è perchè a cumunità IT ùn hà micca fretta per abbandunà? BGP aiuta i routers à piglià decisioni nantu à induve indirizzà l'enorme flussi di dati mandati à traversu una grande reta di linee di cumunicazione intersecanti. BGP aiuta i routers à sceglie i percorsi adattati ancu s'è a reta hè in constantemente cambiante è e rotte populari spessu soffrenu di trafficu. U prublema hè chì l'Internet ùn hà micca una mappa di routing globale. I routers chì utilizanu BGP facenu decisioni nantu à a scelta di una strada o di l'altru basatu nantu à l'infurmazioni ricevuti da i vicini in u ciberspaziu, chì à u turnu recullanu infurmazioni da i so vicini, etc. Tuttavia, sta informazione pò esse facilmente falsificata, chì significa chì u routing BGP hè assai vulnerabile à l'attacchi MiTM. [8]

Dunque, dumande cum'è e seguenti sò regularmente: "Perchè u trafficu trà dui computer in Denver hà pigliatu un giganti di detour per l'Islanda?", "Perchè i dati classificati di u Pentagonu sò stati trasferiti in transitu per Pechino?" Ci sò risposti tecnichi à e dumande cum'è queste, ma tutti sò ghjunti à u fattu chì BGP travaglia basatu nantu à a fiducia: fiducia in i cunsiglii ricevuti da i router vicini. Grazie à a natura di fiducia di u protokollu BGP, i signori misteriosi di u trafficu ponu attirà i flussi di dati di l'altri in u so duminiu se vulete. [8]

Un esempiu vivu hè l'attaccu BGP di a Cina à u Pentagonu americanu. In l'aprili di u 2010, u giant di telecomunicazione statale China Telecom hà mandatu decine di millaie di routers in u mondu, cumprese 16 8 in i Stati Uniti, un missaghju BGP dicendu ch'elli avianu rotte megliu. Senza un sistema chì puderia verificà a validità di un messagiu BGP da China Telecom, i routers in u mondu cuminciaru à mandà dati in transitu per Pechino. Cumpresu u trafficu da u Pentagonu è altri siti di u Dipartimentu di Difesa di i Stati Uniti. A facilità cù quale u trafficu hè stata rerouted è a mancanza di prutezzione efficace contru stu tipu d'attaccu hè un altru signu di l'insicurità di u routing BGP. [XNUMX]

U protocolu BGP hè teoricamente vulnerabile à un ciberattaccu ancu più periculosu. In l'eventuali chì i cunflitti internaziunali aumentanu in piena forza in u ciberspaziu, China Telecom, o un altru giant di telecomunicazioni, puderia pruvà à riclamà a pruprietà di parti di l'Internet chì ùn sò micca veramente appartene à ellu. Una tale mossa cunfonderebbe i routers, chì duveranu rimbalzà trà e offerte cuncurrenti per i stessi blocchi di indirizzi Internet. Senza l'abilità di distingue una applicazione legittima da una falsa, i routers cumincianu à agisce in modu erraticu. In u risultatu, seremu affruntatu cù l'equivalente in Internet di a guerra nucleare - una mostra aperta, à grande scala di ostilità. Un tali sviluppu in tempi di pace relativa pare micca realisticu, ma tecnicamente hè abbastanza fattibile. [8]

Un tentativu inutile di passà da BGP à BGPSEC

A Cybersecurity ùn hè micca stata cunsiderata quandu BGP hè statu sviluppatu, perchè à quellu tempu i pirate eranu rari è u dannu da elli era insignificante. I sviluppatori di BGP, perchè anu travagliatu per l'imprese di telecomunicazioni è anu interessatu à vende i so equipaghji di rete, anu avutu un compitu più pressante: per evità rupture spontanee di l'Internet. Perchè l'interruzzioni in Internet puderanu alienà l'utilizatori, è cusì riduce a vendita di l'equipaggiu di rete. [8]

Dopu à l'incidentu cù a trasmissione di u trafficu militare americanu attraversu Pechino in April 2010, u ritmu di u travagliu per assicurà a cibersigurtà di u routing BGP certamente acceleratu. Tuttavia, i venditori di telecomunicazioni anu dimustratu pocu entusiasmu per sopportà i costi assuciati à a migrazione à u novu protocolu di routing sicuru BGPSEC, prupostu cum'è un sustitutu di u BGP insicuru. I venditori consideranu sempre BGP abbastanza accettabile, ancu malgradu innumerevoli incidenti di interceptazione di u trafficu. [8]

Radia Perlman, soprannominata a "Mamma di l'Internet" per inventà un altru protokollu di rete maiò in u 1988 (un annu prima di BGP), hà guadagnatu una tesi di duttore profetica in MIT. Perlman hà preditu chì un protokollu di routing chì dipende di l'onestà di i vicini in u ciberspaziu hè fundamentalmente inseguru. Perlman hà favuritu l'usu di a criptografia, chì aiutava à limità a pussibilità di falsificazione. In ogni casu, l'implementazione di BGP era digià in piena, l'influente cumunità di l'IT era abituata à questu, è ùn vulia micca cambià nunda. Dunque, dopu à l'avvertimenti ragiunati da Perlman, Clark è certi altri esperti mundiali prominenti, a parte relativa di u routing BGP criptograficamente sicuru ùn hè micca aumentatu in tuttu, è hè sempre 0%. [8]

U routing BGP ùn hè micca l'unicu pirate

È u routing BGP ùn hè micca l'unicu pirate chì cunfirma l'idea chì "nunda hè più permanente cà solu suluzione tempurale". Calchì volta l'Internet, chì ci immerse in mondi di fantasia, pare cusì elegante cum'è una vittura di corsa. In ogni casu, in a realità, per via di pirate ammucciati l'una nantu à l'altru, Internet hè più cum'è Frankenstein chè Ferrari. Perchè sti pirate (più ufficialmente chjamati patches) ùn sò mai rimpiazzati da tecnulugia affidativa. E cunsequenze di questu approcciu sò terribili: ogni ghjornu è ogni ora, i cibercriminali pirate in sistemi vulnerabili, allargendu u scopu di a cibercriminalità à proporzioni precedentemente inimaginabili. [8]

Parechje di i difetti sfruttati da i cibercriminali sò cunnisciuti per un bellu pezzu, è sò stati cunservati solu per via di a tendenza di a cumunità IT per risolve i prublemi emergenti - cù pirate / patches tempuranee. Calchì volta, per quessa, i tecnulugii obsoleti s'ammuccianu l'un à l'altru per un bellu pezzu, rendendu a vita di e persone difficili è mette in periculu. Chì pensate si avete amparatu chì u vostru bancu custruì a so volta nantu à una fundazione di paglia è fangu ? Avete fiducia in ellu per mantene i vostri risparmi? [8] 30 anni di insicurezza rampante

L'attitudine spensierata di Linus Torvalds

Pigliò anni prima chì l'Internet hà ghjuntu i so primi centu computer. Oghje, 100 novi computers è altri dispositi sò cunnessi à questu ogni seconda. Cum'è l'apparecchi cunnessi à Internet espludenu, cusì l'urgenza di i prublemi di cibersigurtà. Tuttavia, a persona chì puderia avè u più grande impattu à risolve questi prublemi hè quellu chì vede a cibersigurtà cun disprezzu. Stu omu hè statu chjamatu un geniu, un bully, un capu spirituale è un dittatore benevolente. Linus Torvalds. A vasta maiuranza di i dispositi cunnessi à l'Internet eseguisce u so sistema operatore, Linux. Veloce, flessibile, liberu - Linux hè diventatu più è più populari cù u tempu. À u listessu tempu, si cumporta assai stabile. È pò travaglià senza rebooting per parechji anni. Hè per quessa chì Linux hà l'onore di esse u sistema operatore dominante. Quasi tutti l'equipaggiu informatizzatu dispunibili per noi oghje gestisce Linux: servitori, equipaggiu medicale, computer di volu, droni minuscoli, aerei militari è assai di più. [9]

Linux riesce in gran parte perchè Torvalds enfatizeghja u rendiment è a tolleranza di difetti. Tuttavia, mette questu enfasi à a spesa di a cibersigurtà. Ancu cum'è u ciberspaziu è u mondu fisicu reale si intreccianu è a cibersegurità diventa un prublema glubale, Torvalds cuntinueghja a resistere à l'introduzione di innovazioni sicure in u so sistema operatore. [9]

Dunque, ancu trà parechji fan di Linux, ci hè una preoccupazione crescente per e vulnerabilità di stu sistema operatore. In particulare, a parte più intima di Linux, u so kernel, chì Torvalds travaglia personalmente. I fan di Linux vedenu chì Torvalds ùn piglia micca seriu i prublemi di cibersigurtà. Inoltre, Torvalds s'hè circundatu di sviluppatori chì sparte sta attitudine spensierata. Se qualchissia da u circondu internu di Torvalds principia à parlà di l'intruduzioni di innovazioni sicure, hè immediatamente anatematizatu. Torvalds hà licenziatu un gruppu di tali innovatori, chjamendu "scimmie in masturbazione". Cum'è Torvalds hà dettu addiu à un altru gruppu di sviluppatori cuscenti di a sicurità, li disse: "Saresti cusì gentile da tumbà sè stessu. U mondu saria un locu megliu per quessa ". Ogni volta chì si trattava di aghjunghje funzioni di sicurezza, Torvalds era sempre contru. [9] Torvalds hà ancu una filusufìa sana in questu sensu, chì ùn hè micca senza un granu di sensu cumunu:

"A sicurezza assoluta hè inaccessibile. Per quessa, deve esse sempre cunsideratu solu in relazione à altre priorità: rapidità, flessibilità è facilità d'utilizazione. E persone chì si dedicanu interamente à furnisce a prutezzione sò pazzi. U so pensamentu hè limitatu, biancu è biancu. A sicurità per sè stessu hè inutile. L'essenza hè sempre in un altru locu. Dunque, ùn pudete micca assicurà a sicurità assoluta, ancu s'ellu vulete veramente. Di sicuru, ci sò persone chì prestanu più attenzione à a sicurità chè Torvalds. Tuttavia, sti picciotti sò solu travagliendu nantu à ciò chì li interessa è furnisce a sicurità in u strettu quadru relative chì delinea questi interessi. Nunda più. Dunque ùn cuntribuiscenu in alcun modu à aumentà a sicurità assoluta ". [9]

Sidebar: OpenSource hè cum'è un fustu di polvere [10]

U codice OpenSource hà salvatu miliardi in costi di sviluppu di software, eliminendu a necessità di sforzi duplicati: cù OpenSource, i programatori anu l'uppurtunità di utilizà l'innuvazioni attuali senza restrizioni o pagamentu. OpenSource hè adupratu in ogni locu. Ancu s'è avete assuciatu un sviluppatore di software per risolve u vostru prublemu specializatu da zero, questu sviluppatore prubabilmente aduprà qualchì tipu di libreria OpenSource. È probabilmente più di unu. Cusì, elementi OpenSource sò prisenti quasi in ogni locu. À u listessu tempu, deve esse capitu chì nisun software hè staticu; u so codice hè cambiatu constantemente. Per quessa, u principiu "set it and forget it" ùn funziona mai per u codice. Inclusu u codice OpenSource: prima o dopu una versione aghjurnata serà necessaria.

In 2016, avemu vistu e cunsequenze di stu statu di l'affari: un sviluppatore di 28 anni hà "rumpitu" brevemente l'Internet sguassendu u so codice OpenSource, ch'ellu avia prima resu dispunibule publicamente. Questa storia indica chì a nostra ciberinfrastruttura hè assai fragile. Certi pirsuni - chì sustenenu i prughjetti OpenSource - sò cusì impurtanti per mantene chì se, Diu ùn ci vole, sò culpiti da un autobus, Internet si romperà.

U codice difficiuli di mantene hè induve e vulnerabilità di cibersicurezza più seriu si stanu. Alcune cumpagnie ùn anu mancu capitu quantu vulnerabile sò per via di codice difficiuli di mantene. Vulnerabili assuciati cù tali codice ponu maturà in un veru prublema assai lentamente: i sistemi rotulanu lentamente, senza dimustrà fallimenti visibili in u prucessu di putrefazione. È quandu fallenu, e cunsequenze sò fatali.

Infine, postu chì i prughjetti OpenSource sò generalmente sviluppati da una cumunità di dilettanti, cum'è Linus Torvalds o cum'è i pirate di u Model Railroad Club mintuatu à u principiu di l'articulu, i prublemi cù u codice difficiuli di mantene ùn ponu esse risolti in modu tradiziunale (usendu leve cumerciali è di guvernu). Perchè i membri di tali cumunità sò vuluntarii è valutanu a so indipendenza sopra à tuttu.

Sidebar: Forse i servizii di intelligenza è i sviluppatori di antivirus ci prutegeranu?

In u 2013, hè diventatu cunnisciutu chì Kaspersky Lab avia una unità speciale chì hà realizatu investigazioni persunalizati di incidenti di sicurità di l'infurmazioni. Finu à pocu tempu, stu dipartimentu era guidatu da un anticu pulizzeru maiò, Ruslan Stoyanov, chì prima hà travagliatu in u Dipartimentu "K" di a capitale (USTM di a Direzzione Principale di l'Affari Interni di Mosca). Tutti l'impiegati di sta unità speciale di Kaspersky Lab venenu da l'agenzii di l'applicazione di a lege, cumpresu u Cumitatu Investigativu è a Direzzione "K". [ondeci]

À a fine di u 2016, u FSB arrestò Ruslan Stoyanov è l'accusò di tradimentu. In u stessu casu, Sergei Mikhailov, un rapprisentante altu di u FSB CIB (centru di sicurità di l'infurmazioni), hè statu arristatu, nantu à quale, prima di l'arrestu, era ligata tutta a cibersigurtà di u paese. [ondeci]

Sidebar: Cybersecurity Enforced

Prestu l'imprendituri russi seranu custretti à prestà una seria attenzione à a cibersigurtà. In ghjennaghju 2017, Nikolai Murashov, un rappresentante di u Centru di Prutezzione di l'Infurmazioni è Comunicazioni Speciali, hà dichjaratu chì in Russia, l'uggetti CII (infrastruttura critica di l'infurmazioni) sò stati attaccati solu più di 2016 milioni di volte in 70. L'uggetti CII includenu sistemi d'infurmazione di l'agenzii di u guvernu, l'imprese di l'industria di difesa, i trasporti, i settori di creditu è ​​finanziarii, l'industria energetica, di carburante è nucleari. Per prutezzione di elli, u 26 di lugliu, u presidente russu Vladimir Putin hà firmatu un pacchettu di lege "In a sicurità di CII". Da ghjennaghju 1, 2018, quandu a lege entra in vigore, i pruprietarii di e instalazioni CII devenu implementà un inseme di misure per prutege a so infrastruttura da l'attacchi di pirate, in particulare, cunnette à GosSOPKA. [12]

Bibliografia

  1. Jonathan Millet. IoT: L'impurtanza di assicurà i vostri dispositi intelligenti // 2017.
  2. Ross Anderson. Cume i sistemi di pagamentu smartcard fallenu // Black Hat. 2014.
  3. SJ Murdoch. Chip è PIN hè rottu // Proceedings of the IEEE Symposium on Security and Privacy. 2010. pp. 433-446.
  4. David Talbot. I virus di l'informatica sò "rampanti" nantu à i dispositi medichi in l'ospedali // MIT Technology Review (Digital). 2012.
  5. Craig Timberg. Net of Insecurity: Un flussu in u disignu // U Washington Post. 2015.
  6. Michael Lista. Era un pirate di l'adulescente chì hà spesu i so milioni in vitture, vestiti è orologi - finu à chì l'FBI hà pigliatu. // Toronto Life. 2018.
  7. Craig Timberg. Net of Insecurity: Un Disastru Prevista - è Ignoratu // U Washington Post. 2015.
  8. Craig Timberg. A longa vita di una "riparazione" rapida: u protokollu Internet da u 1989 lascia i dati vulnerabili à i pirati // U Washington Post. 2015.
  9. Craig Timberg. Net of Insecurity: U kernel di l'argumentu // U Washington Post. 2015.
  10. Joshua Gans. U codice Open-Source puderia fà chì e nostre paure di l'annu 2K diventenu finalmente realtà? // Harvard Business Review (Digital). 2017.
  11. Top manager di Kaspersky arrestatu da FSB // CNews. 2017. URL.
  12. Maria Kolomychenko. Serviziu di intelligenza cibernetica: Sberbank hà prupostu di creà una sede per cumbatte i pirate // RBC. 2017.

Source: www.habr.com

Add a comment