Když se ukáže, že „černí klobouky“ – jako správci divokého lesa kyberprostoru – jsou ve své špinavé práci obzvláště úspěšní, žlutá média zapištějí rozkoší. V důsledku toho se svět začíná dívat na kybernetickou bezpečnost vážněji. Ale bohužel ne hned. I přes narůstající počet katastrofických kybernetických incidentů proto svět ještě není zralý na aktivní proaktivní opatření. Očekává se však, že v blízké budoucnosti díky „černým kloboukům“ svět začne brát kybernetickou bezpečnost vážně. [7]

Stejně vážné jako požáry... Města byla kdysi velmi zranitelná katastrofickými požáry. Navzdory potenciálnímu nebezpečí však nebyla přijata proaktivní ochranná opatření – a to ani po obřím požáru v Chicagu v roce 1871, který si vyžádal stovky životů a vysídlil statisíce lidí. Proaktivní ochranná opatření byla přijata až poté, co k podobné katastrofě došlo znovu, o tři roky později. S kybernetickou bezpečností je to stejné – svět tento problém nevyřeší, pokud nedojde ke katastrofickým incidentům. Ale i kdyby k takovým incidentům došlo, svět tento problém hned nevyřeší. [7] Proto ani rčení: „Dokud se neobjeví chyba, člověk nebude záplatován,“ tak docela nefunguje. Proto jsme v roce 2018 oslavili 30 let bující nejistoty.

Lyrická odbočka

Začátek tohoto článku, který jsem původně psal pro časopis System Administrator, se ukázal být v jistém smyslu prorocký. Vydání časopisu s tímto článkem vyšel doslova den za dnem tragický požár v kemerovském nákupním centru „Winter Cherry“ (2018, 20. března).

Instalace internetu za 30 minut

V roce 1988 legendární hackerská galaxie L0pht v plné síle před setkáním nejvlivnějších západních představitelů prohlásila: „Vaše počítačové vybavení je zranitelné vůči kybernetickým útokům z internetu. A software, hardware a telekomunikace. Jejich prodejci se o tento stav vůbec nezajímají. Protože moderní legislativa nestanoví žádnou odpovědnost za nedbalý přístup k zajištění kybernetické bezpečnosti vyráběného softwaru a hardwaru. Odpovědnost za případné poruchy (ať už spontánní nebo způsobené zásahem kyberzločinců) nese výhradně uživatel zařízení. Pokud jde o federální vládu, nemá ani schopnosti, ani chuť tento problém řešit. Pokud tedy hledáte kybernetickou bezpečnost, pak internet není místo, kde byste ji našli. Každý ze sedmi lidí, kteří sedí před vámi, může zcela rozbít internet a získat tak úplnou kontrolu nad zařízením, které je k němu připojeno. Sám. 30 minut choreografických úhozů a je hotovo.“ [7]

Úředníci významně přikývli, čímž dali najevo, že chápou vážnost situace, ale nic neudělali. Dnes, přesně 30 let po legendárním vystoupení L0pht, je svět stále sužován „bůhající nejistotou“. Hackovat počítačově řízená zařízení připojená k internetu je tak snadné, že internet, zpočátku království idealistických vědců a nadšenců, postupně obsadili ti nejpragmatičtější z profesionálů: podvodníci, podvodníci, špióni, teroristé. Všechny využívají zranitelnosti počítačového vybavení pro finanční nebo jiné výhody. [7]

Prodejci zanedbávají kybernetickou bezpečnost

Prodejci se samozřejmě někdy pokoušejí opravit některé zjištěné zranitelnosti, ale činí tak velmi neochotně. Protože jejich zisk nepochází z ochrany před hackery, ale z nové funkce, kterou poskytují spotřebitelům. Prodejci, kteří jsou zaměřeni pouze na krátkodobé zisky, investují peníze pouze do řešení skutečných problémů, nikoli hypotetických. Kybernetická bezpečnost je v očích mnoha z nich hypotetická věc. [7]

Kybernetická bezpečnost je neviditelná, nehmotná věc. Stává se hmatatelným, až když s ním nastanou problémy. Pokud se o něj dobře starali (vynaložili na jeho poskytování nemalé peníze), a nejsou s ním žádné problémy, nebude chtít konečný spotřebitel přeplácet. Zavedení ochranných opatření navíc kromě zvyšujících se finančních nákladů vyžaduje další vývojový čas, vyžaduje omezení schopností zařízení a vede ke snížení jeho produktivity. [8]

O proveditelnosti uvedených nákladů je těžké přesvědčit i naše vlastní obchodníky, natož konečné spotřebitele. A protože moderním prodejcům jde pouze o krátkodobé zisky z prodeje, nejsou vůbec nakloněni převzít odpovědnost za zajištění kybernetické bezpečnosti svých výtvorů. [1] Na druhou stranu opatrnější prodejci, kteří si dali záležet na kybernetické bezpečnosti svých zařízení, se potýkají s tím, že firemní spotřebitelé preferují levnější a snáze použitelné alternativy. Že. Je zřejmé, že firemní spotřebitelé se o kybernetickou bezpečnost příliš nestarají. [8]

Ve světle výše uvedeného není překvapivé, že prodejci mají tendenci zanedbávat kybernetickou bezpečnost a drží se následující filozofie: „Pokračujte ve výstavbě, pokračujte v prodeji a v případě potřeby opravujte. Zhroutil se systém? Ztracené informace? Byla odcizena databáze s čísly kreditních karet? Jsou ve vašem zařízení zjištěna nějaká závažná zranitelnost? Žádný problém!" Spotřebitelé se zase musí řídit zásadou: „Zaplať a modli se“. [7]

Jak se to děje: příklady z volné přírody

Pozoruhodným příkladem zanedbání kybernetické bezpečnosti během vývoje je firemní motivační program společnosti Microsoft: „Pokud nedodržíte termíny, dostanete pokutu. Pokud nestihnete odeslat vydání své inovace včas, nebude implementována. Pokud nebude implementována, nebudete dostávat akcie společnosti (část koláče ze zisků Microsoftu). Od roku 1993 začal Microsoft aktivně propojovat své produkty s internetem. Protože tato iniciativa fungovala v souladu se stejným motivačním programem, funkčnost se rozšiřovala rychleji, než s ní obrana mohla držet krok. K radosti pragmatických lovců zranitelnosti... [7]

Dalším příkladem je situace s počítači a notebooky: nedodávají se s předinstalovaným antivirem; a také neposkytují přednastavená silná hesla. Předpokládá se, že si koncový uživatel nainstaluje antivirus a nastaví parametry konfigurace zabezpečení. [1]

Jiný, extrémnější příklad: situace s kyberbezpečností maloobchodních zařízení (pokladny, PoS terminály pro obchodní centra atd.). Stalo se, že prodejci komerčního vybavení prodávají pouze to, co se prodává, a ne to, co je bezpečné. [2] Pokud existuje jedna věc, která se komerčním prodejcům zařízení v oblasti kybernetické bezpečnosti věnuje, je to zajištění toho, že pokud dojde ke kontroverznímu incidentu, odpovědnost padne na ostatní. [3]

Názorným příkladem tohoto vývoje událostí je popularizace standardu EMV pro bankovní karty, který se díky kompetentní práci bankovních marketérů objevuje v očích technicky nevyspělé veřejnosti jako bezpečnější alternativa k „zastaralým“ magnetické karty. Hlavní motivací bankovního sektoru, který byl zodpovědný za vývoj standardu EMV, přitom bylo přesunout odpovědnost za podvodné incidenty (vznikající vinou karetních společností) – z obchodů na spotřebitele. Zatímco dříve (kdy se platby prováděly magnetickými kartami), finanční odpovědnost za nesrovnalosti v debetní/kreditní oblasti spočívala na prodejnách. [3] Tak banky, které zpracovávají platby, přenášejí odpovědnost buď na obchodníky (kteří využívají jejich vzdálené bankovní systémy), nebo na banky, které vydávají platební karty; posledně jmenované dva zase přesouvají odpovědnost na držitele karty. [2]

Prodejci brání kybernetické bezpečnosti

Jak se plocha pro digitální útoky neúprosně rozšiřuje – díky explozi zařízení připojených k internetu – sledování toho, co je připojeno k podnikové síti, je stále obtížnější. Prodejci zároveň přesouvají obavy o bezpečnost veškerého zařízení připojeného k internetu na koncového uživatele [1]: „Záchrana tonoucích je dílem samotných tonoucích.“

Nejenže se prodejci o kyberbezpečnost svých výtvorů nestarají, ale v některých případech zasahují i ​​do jejího poskytování. Když například v roce 2009 pronikl síťový červ Conficker do Beth Israel Medical Center a infikoval tam část lékařského vybavení, rozhodl se technický ředitel tohoto zdravotnického střediska, aby v budoucnu nedocházelo k podobným incidentům, deaktivovat funkce podpory provozu na zařízení postiženém červem se sítí. Potýkal se však s tím, že „zařízení nebylo možné aktualizovat kvůli regulačním omezením“. Vyjednat s prodejcem o deaktivaci síťových funkcí ho stálo značné úsilí. [4]

Základní kybernetická bezpečnost internetu

David Clarke, legendární profesor MIT, jehož genialita mu vynesla přezdívku „Albus Brumbál“, vzpomíná na den, kdy byla světu odhalena temná strana internetu. Clark předsedal telekomunikační konferenci v listopadu 1988, když se objevila zpráva, že první počítačový červ v historii proklouzl síťovými dráty. Clark si na tento okamžik vzpomněl, protože řečník přítomný na jeho konferenci (zaměstnanec jedné z předních telekomunikačních společností) nesl odpovědnost za šíření tohoto červa. Tento řečník v zápalu emocí bezděčně řekl: "Tady to máš!" Zdá se, že jsem tuto zranitelnost uzavřel,“ doplatil na tato slova. [5]

Později se však ukázalo, že zranitelnost, kterou se zmíněný červ šířil, nebyla zásluhou žádného jednotlivého člověka. A to, přísně vzato, nebyla ani zranitelnost, ale základní rys internetu: zakladatelé internetu se při vývoji svého duchovního dítěte zaměřili výhradně na rychlost přenosu dat a odolnost proti chybám. Nestanovili si za úkol zajistit kybernetickou bezpečnost. [5]

Dnes, desítky let po založení internetu – se stovkami miliard dolarů již vynaloženými na marné pokusy o kybernetickou bezpečnost – není internet o nic méně zranitelný. Jeho problémy s kybernetickou bezpečností se každým rokem jen zhoršují. Máme však právo za to odsuzovat zakladatele internetu? Nikdo přece nebude odsuzovat například stavitele rychlostních komunikací za to, že se na „jejich silnicích“ stávají nehody; a nikdo nebude odsuzovat urbanisty za to, že v „jejich městech“ dochází k loupežím. [5]

Jak se zrodila hackerská subkultura

Hackerská subkultura vznikla na počátku 1960. let 6. století v „Railway Technical Modeling Club“ (fungujícím ve zdech Massachusetts Institute of Technology). Kluboví nadšenci navrhli a sestavili model železnice, tak obrovský, že zaplnil celou místnost. Členové klubu se spontánně rozdělili do dvou skupin: mírotvůrci a systémoví specialisté. [XNUMX]

První pracoval s nadzemní částí modelu, druhý - s podzemím. Ti první sbírali a zdobili modely vlaků a měst: v miniaturách modelovali celý svět. Ten pracoval na technické podpoře pro všechno toto mírotvorba: spletitost drátů, relé a souřadnicových spínačů umístěných v podzemní části modelu - vše, co ovládalo „nadzemní“ část a napájelo ji energií. [6]

Když došlo k dopravnímu problému a někdo přišel s novým a důmyslným řešením, jak jej opravit, bylo toto řešení nazýváno „hack“. Pro členy klubu se hledání nových hacků stalo vnitřním smyslem života. Proto si začali říkat „hackeři“. [6]

První generace hackerů implementovala dovednosti získané v Simulation Railway Club psaním počítačových programů na děrné štítky. Když pak ARPANET (předchůdce internetu) dorazil na univerzitu v roce 1969, hackeři se stali jeho nejaktivnějšími a nejzkušenějšími uživateli. [6]

Nyní, o desítky let později, moderní internet připomíná onu „podzemní“ část modelové železnice. Protože jeho zakladateli byli ti samí hackeři, studenti „Klubu simulace železnic“. Pouze hackeři nyní místo simulovaných miniatur provozují skutečná města. [6]

Jak vzniklo směrování BGP

Koncem 80. let se internet v důsledku lavinovitého nárůstu počtu zařízení připojených k internetu přiblížil tvrdému matematickému limitu zabudovanému do jednoho ze základních internetových protokolů. Jakýkoli rozhovor tehdejších inženýrů se proto nakonec změnil v diskusi o tomto problému. Dva přátelé nebyli výjimkou: Jacob Rechter (inženýr z IBM) a Kirk Lockheed (zakladatel Cisco). Poté, co se náhodou setkali u jídelního stolu, začali diskutovat o opatřeních k zachování funkčnosti internetu. Kamarádky zapisovaly nápady, které vznikly na cokoli, co jim přišlo pod ruku – na ubrousek potřísněný kečupem. Pak ten druhý. Pak třetí. „Protokol tří ubrousků“, jak jej jeho vynálezci vtipně nazvali – v oficiálních kruzích známý jako BGP (Border Gateway Protocol) – brzy způsobil revoluci na internetu. [8]

Pro Rechtera a Lockheeda byl BGP prostě ležérní hack, vyvinutý v duchu výše zmíněného Model Railroad Club, dočasné řešení, které bude brzy nahrazeno. Kamarádi vyvinuli BGP v roce 1989. Dnes, o 30 let později, je však většina internetového provozu stále směrována pomocí „protokolu tří ubrousků“ – navzdory stále alarmujícím výzvám o kritických problémech s jeho kybernetickou bezpečností. Dočasný hack se stal jedním ze základních internetových protokolů a jeho vývojáři se z vlastní zkušenosti naučili, že „neexistuje nic trvalejšího než dočasná řešení“. [8]

Sítě po celém světě přešly na BGP. Vlivní prodejci, bohatí klienti a telekomunikační společnosti si BGP rychle oblíbili a zvykli si na něj. Proto, i přes stále více poplašných zvonů o nejistotě tohoto protokolu, IT veřejnost stále neprojevuje nadšení z přechodu na nové, bezpečnější zařízení. [8]

Kyberneticky nezabezpečené směrování BGP

Proč je směrování BGP tak dobré a proč IT komunita nespěchá, aby ho opustila? BGP pomáhá směrovačům při rozhodování o tom, kam směrovat obrovské toky dat odesílané přes obrovskou síť protínajících se komunikačních linek. BGP pomáhá směrovačům zvolit vhodné cesty, i když se síť neustále mění a oblíbené trasy často zažívají dopravní zácpy. Problém je v tom, že internet nemá mapu globálního směrování. Směrovače používající BGP se rozhodují o volbě té či oné cesty na základě informací získaných od sousedů v kyberprostoru, kteří zase shromažďují informace od svých sousedů atd. Tyto informace však lze snadno zfalšovat, což znamená, že směrování BGP je vysoce zranitelné vůči útokům MiTM. [8]

Proto pravidelně vyvstávají otázky, jako jsou následující: „Proč provoz mezi dvěma počítači v Denveru vedl obří oklikou přes Island?“, „Proč byla klasifikovaná data Pentagonu přenesena při tranzitu přes Peking?“ Na podobné otázky existují technické odpovědi, ale všechny vycházejí ze skutečnosti, že BGP funguje na základě důvěry: důvěry v doporučení přijatá od sousedních směrovačů. Díky důvěryhodné povaze protokolu BGP mohou tajemní vládci provozu nalákat datové toky jiných lidí do své domény, pokud si to přejí. [8]

Živým příkladem je čínský útok BGP na americký Pentagon. V dubnu 2010 státní telekomunikační gigant China Telecom rozeslal desítky tisíc routerů po celém světě, včetně 16 8 ve Spojených státech, zprávu BGP, která jim sdělovala, že mají lepší trasy. Bez systému, který by dokázal ověřit platnost zprávy BGP od China Telecom, začaly routery po celém světě posílat data při tranzitu přes Peking. Včetně provozu z Pentagonu a dalších míst amerického ministerstva obrany. Snadnost, s jakou byl provoz přesměrován, a nedostatek účinné ochrany proti tomuto typu útoku je dalším znakem nejistoty směrování BGP. [XNUMX]

Protokol BGP je teoreticky zranitelný vůči ještě nebezpečnějšímu kybernetickému útoku. V případě, že by v kyberprostoru naplno eskalovaly mezinárodní konflikty, mohl by se China Telecom nebo nějaký jiný telekomunikační gigant pokusit získat vlastnictví částí internetu, které mu ve skutečnosti nepatří. Takový krok by zmátl routery, které by musely odskakovat mezi konkurenčními nabídkami o stejné bloky internetových adres. Bez schopnosti rozlišit legitimní aplikaci od falešné by se routery začaly chovat nevyzpytatelně. V důsledku toho bychom čelili internetovému ekvivalentu jaderné války – otevřenému projevu nepřátelství ve velkém měřítku. Takový vývoj v dobách relativního klidu se zdá nereálný, ale technicky je celkem proveditelný. [8]

Marný pokus o migraci z BGP na BGPSEC

S kybernetickou bezpečností se při vývoji BGP nepočítalo, protože v té době byly hacky vzácné a škody z nich byly zanedbatelné. Vývojáři BGP, protože pracovali pro telekomunikační společnosti a měli zájem prodávat svá síťová zařízení, měli naléhavější úkol: vyhnout se spontánním výpadkům internetu. Protože přerušení internetu by mohlo uživatele odcizit, a tím snížit prodej síťového vybavení. [8]

Po incidentu s přenosem amerického vojenského provozu přes Peking v dubnu 2010 se tempo prací na zajištění kybernetické bezpečnosti směrování BGP rozhodně zrychlilo. Prodejci telekomunikačních služeb však projevili malé nadšení pro nesení nákladů spojených s migrací na nový bezpečný směrovací protokol BGPSEC, který je navržen jako náhrada za nezabezpečený BGP. Prodejci stále považují BGP za docela přijatelné, a to i přes bezpočet případů zachycování dopravy. [8]

Radia Perlman, přezdívaná „Matka internetu“ za vynález dalšího významného síťového protokolu v roce 1988 (rok před BGP), získala prorocký doktorát na MIT. Perlman předpověděl, že směrovací protokol, který závisí na poctivosti sousedů v kyberprostoru, je zásadně nejistý. Perlman obhajoval použití kryptografie, která by pomohla omezit možnost padělání. Implementace BGP však již byla v plném proudu, vlivná IT komunita na ni byla zvyklá a nechtěla nic měnit. Po odůvodněných varováních Perlmana, Clarka a některých dalších významných světových odborníků se proto relativní podíl kryptograficky bezpečného směrování BGP vůbec nezvýšil a je stále 0 %. [8]

Směrování BGP není jediným hackem

A směrování BGP není jediným hackem, který potvrzuje myšlenku, že „nic není trvalejšího než dočasná řešení“. Někdy nám internet, ponořující se do fantasy světů, připadá elegantní jako závodní auto. Ve skutečnosti je však internet díky hackům naskládaným na sebe spíše jako Frankenstein než Ferrari. Protože tyto hacky (oficiálněji nazývané patche) nejsou nikdy nahrazeny spolehlivou technologií. Důsledky tohoto přístupu jsou hrozivé: kyberzločinci se denně a každou hodinu nabourávají do zranitelných systémů a rozšiřují rozsah kyberzločinu do dříve nepředstavitelných rozměrů. [8]

Mnohé z nedostatků využívaných kyberzločinci jsou známy již dlouhou dobu a byly zachovány pouze díky tendenci IT komunity řešit vznikající problémy – pomocí dočasných hacků/záplat. Někdy se kvůli tomu zastaralé technologie nahromadí jedna na druhou po dlouhou dobu, což lidem ztěžuje život a vystavuje je nebezpečí. Co byste si pomysleli, kdybyste se dozvěděli, že vaše banka staví svůj trezor na základech ze slámy a bahna? Věřili byste mu, že si nechá vaše úspory? [8]

Bezstarostný přístup Linuse Torvaldse

Trvalo roky, než se internet dostal na prvních sto počítačů. Dnes je k němu každou sekundu připojeno 100 nových počítačů a dalších zařízení. S explozí zařízení připojených k internetu roste i naléhavost problémů s kybernetickou bezpečností. Největší vliv na řešení těchto problémů by však mohl mít ten, kdo se na kybernetickou bezpečnost dívá s despektem. Tento muž byl nazýván géniem, tyranem, duchovním vůdcem a shovívavým diktátorem. Linus Torvalds. Na drtivé většině zařízení připojených k internetu běží jeho operační systém Linux. Rychlý, flexibilní, bezplatný – Linux je postupem času stále populárnější. Přitom se chová velmi stabilně. A může fungovat bez restartu po mnoho let. To je důvod, proč má Linux tu čest být dominantním operačním systémem. Téměř všechna počítačová zařízení, která máme dnes k dispozici, běží na Linuxu: servery, lékařské vybavení, letecké počítače, malé drony, vojenská letadla a mnoho dalšího. [9]

Linux je úspěšný především proto, že Torvalds klade důraz na výkon a odolnost proti chybám. Tento důraz však klade na úkor kybernetické bezpečnosti. I když se kyberprostor a skutečný fyzický svět prolínají a kybernetická bezpečnost se stává globálním problémem, Torvalds se nadále brání zavádění bezpečných inovací do svého operačního systému. [9]

Proto i mezi mnoha fanoušky Linuxu roste obava ze zranitelnosti tohoto operačního systému. Zejména nejintimnější část Linuxu, jeho jádro, na kterém Torvalds osobně pracuje. Fanoušci Linuxu vidí, že Torvalds nebere problémy kybernetické bezpečnosti vážně. Torvalds se navíc obklopil vývojáři, kteří sdílejí tento bezstarostný přístup. Pokud někdo z Torvaldsova nejužšího okruhu začne mluvit o zavádění bezpečných inovací, je okamžitě proklet. Torvalds zavrhl jednu skupinu takových inovátorů a nazval je „masturbujícími opicemi“. Když se Torvalds loučil s další skupinou vývojářů, kteří si uvědomovali bezpečnost, řekl jim: „Byli byste tak laskav a zabili se. Svět by byl díky tomu lepším místem." Kdykoli došlo na přidání bezpečnostních prvků, Torvalds byl vždy proti. [9] Torvalds má v tomto ohledu dokonce celou filozofii, která není bez zrnka zdravého rozumu:

„Absolutní bezpečnost je nedosažitelná. Proto by se měl vždy posuzovat pouze ve vztahu k ostatním prioritám: rychlost, flexibilita a snadnost použití. Lidé, kteří se zcela věnují poskytování ochrany, jsou blázni. Jejich myšlení je omezené, černobílé. Zabezpečení samo o sobě je k ničemu. Podstata je vždy někde jinde. Absolutní bezpečnost tedy nemůžete zajistit, i kdybyste opravdu chtěli. Samozřejmě existují lidé, kteří dbají na bezpečnost více než Torvalds. Tito lidé však jednoduše pracují na tom, co je zajímá, a poskytují bezpečnost v úzkém relativním rámci, který tyto zájmy vymezuje. Už ne. V žádném případě tedy nepřispívají ke zvýšení absolutní bezpečnosti.“ [9]

Postranní panel: OpenSource je jako soudek s prachem [10]

Kód OpenSource ušetřil miliardy na nákladech na vývoj softwaru a eliminuje potřebu duplicitního úsilí: s OpenSource mají programátoři možnost využívat aktuální inovace bez omezení a plateb. OpenSource se používá všude. I když jste najali vývojáře softwaru, aby vyřešil váš specializovaný problém od nuly, tento vývojář s největší pravděpodobností použije nějaký druh knihovny OpenSource. A pravděpodobně více než jeden. Prvky OpenSource jsou tedy přítomny téměř všude. Zároveň je třeba si uvědomit, že žádný software není statický, jeho kód se neustále mění. Proto princip „nastav a zapomeň“ u kódu nikdy nefunguje. Včetně kódu OpenSource: dříve nebo později bude vyžadována aktualizovaná verze.

V roce 2016 jsme viděli důsledky tohoto stavu: 28letý vývojář krátce „rozbil“ internet tím, že smazal svůj OpenSource kód, který předtím zpřístupnil veřejnosti. Tento příběh poukazuje na to, že naše kybernetická infrastruktura je velmi křehká. Někteří lidé – kteří podporují projekty OpenSource – jsou pro jeho udržování tak důležití, že pokud je nedej bože srazí autobus, internet se rozpadne.

Obtížně udržovatelný kód je místem, kde se skrývají nejzávažnější zranitelnosti kybernetické bezpečnosti. Některé společnosti si ani neuvědomují, jak jsou zranitelné kvůli obtížně udržovatelnému kódu. Zranitelnosti spojené s takovým kódem mohou velmi pomalu dozrát ve skutečný problém: systémy pomalu hnijí, aniž by se projevovaly viditelné poruchy v procesu hnití. A když selžou, následky jsou fatální.

A konečně, protože OpenSource projekty jsou obvykle vyvíjeny komunitou nadšenců, jako je Linus Torvalds nebo jako hackeři z Model Railroad Club zmínění na začátku článku, problémy s obtížně udržovatelným kódem nelze řešit tradičními způsoby (pomocí komerční a vládní páky). Protože členové takových společenství jsou svévolní a nade vše si cení své nezávislosti.

Postranní panel: Možná nás ochrání zpravodajské služby a vývojáři antivirů?

V roce 2013 vyšlo najevo, že společnost Kaspersky Lab měla speciální jednotku, která prováděla vlastní vyšetřování incidentů v oblasti bezpečnosti informací. Toto oddělení donedávna vedl bývalý policejní major Ruslan Stoyanov, který dříve pracoval v oddělení „K“ hlavního města (USTM Moskevského hlavního ředitelství pro vnitřní záležitosti). Všichni zaměstnanci této speciální jednotky společnosti Kaspersky Lab pocházejí z orgánů činných v trestním řízení, včetně vyšetřovacího výboru a ředitelství „K“. [jedenáct]

Na konci roku 2016 zatkla FSB Ruslana Stojanova a obvinila ho z velezrady. Ve stejném případě byl zatčen Sergej Michajlov, vysoký představitel FSB CIB (centrum informační bezpečnosti), na kterého byla před zatčením vázána veškerá kybernetická bezpečnost země. [jedenáct]

Postranní panel: Vynucena kybernetická bezpečnost

Ruští podnikatelé budou brzy nuceni věnovat kybernetické bezpečnosti vážnou pozornost. V lednu 2017 Nikolaj Murašov, zástupce Centra pro ochranu informací a speciální komunikace, uvedl, že jen v Rusku byly objekty CII (kritická informační infrastruktura) v roce 2016 napadeny více než 70 milionůkrát. Objekty CII zahrnují informační systémy vládních agentur, podniků obranného průmyslu, dopravy, úvěrového a finančního sektoru, energetiky, palivového a jaderného průmyslu. Na jejich ochranu podepsal ruský prezident Vladimir Putin 26. července balíček zákonů „O bezpečnosti CII“. Do 1. ledna 2018, kdy zákon vstoupí v platnost, musí vlastníci objektů CII zavést soubor opatření na ochranu své infrastruktury před útoky hackerů, zejména se připojit k GosSOPKA. [12]

Bibliografie

1. Jonathan Millet. IoT: Důležitost zabezpečení vašich chytrých zařízení // První.
2. Ross Anderson. Jak selhávají platební systémy smartcard // Black Hat. 2014.
3. SJ Murdoch. Chip and PIN is Broken // Proceedings of the IEEE Symposium on Security and Privacy. 2010. str. 433-446.
4. David Talbot. Počítačové viry se „množí“ na zdravotnických zařízeních v nemocnicích // MIT Technology Review (digitální). 2012.
5. Craig Timberg. Síť nejistoty: tok v designu // The Washington Post. 2015.
6. Michael Lista. Byl to mladistvý hacker, který utrácel své miliony za auta, oblečení a hodinky – dokud to nezachytila ​​FBI // Život v Torontu. 2018.
7. Craig Timberg. Síť nejistoty: Předpověděná katastrofa – a ignorovaná // The Washington Post. 2015.
8. Craig Timberg. Dlouhá životnost rychlé „opravy“: Internetový protokol z roku 1989 ponechává data zranitelná vůči únoscům // The Washington Post. 2015.
9. Craig Timberg. Net of Insecurity: Jádro argumentu // The Washington Post. 2015.
10. Joshua Gans. Mohl by open-source kód konečně splnit naše obavy z Y2K? // Harvard Business Review (digitální). 2017.
11. Vrchní manažer Kaspersky zatčen FSB // CNews. 2017. URL.
12. Maria Kolomychenko. Kybernetická zpravodajská služba: Sberbank navrhla vytvoření ústředí pro boj proti hackerům // RBC. 2017.

Zdroj: www.habr.com