Wenn sich die „Black Hats“ – die Ordnungshüter im wilden Wald des Cyberspace – als besonders erfolgreich bei ihrer Drecksarbeit erweisen, jubeln die gelben Medien vor Freude. Infolgedessen beginnt die Welt, sich ernsthafter mit der Cybersicherheit zu befassen. Aber leider nicht sofort. Daher ist die Welt trotz der zunehmenden Zahl katastrophaler Cyber-Vorfälle noch nicht reif für aktive proaktive Maßnahmen. Es wird jedoch erwartet, dass die Welt dank der „Black Hats“ in naher Zukunft beginnen wird, Cybersicherheit ernst zu nehmen. [7]

Genauso schwerwiegend wie Brände ... Städte waren einst sehr anfällig für katastrophale Brände. Doch trotz der potenziellen Gefahr wurden keine proaktiven Schutzmaßnahmen ergriffen – auch nicht nach dem Großbrand in Chicago im Jahr 1871, der Hunderte Todesopfer forderte und Hunderttausende Menschen vertrieben. Erst als sich drei Jahre später erneut eine ähnliche Katastrophe ereignete, wurden proaktive Schutzmaßnahmen ergriffen. Das Gleiche gilt für die Cybersicherheit – die Welt wird dieses Problem nicht lösen, es sei denn, es kommt zu katastrophalen Zwischenfällen. Aber selbst wenn es zu solchen Vorfällen kommt, wird die Welt dieses Problem nicht sofort lösen. [7] Daher funktioniert selbst das Sprichwort: „Bis ein Fehler auftritt, wird ein Mann nicht geflickt“ nicht ganz. Deshalb haben wir 2018 30 Jahre grassierende Unsicherheit gefeiert.

Abschweifung

Der Anfang dieses Artikels, den ich ursprünglich für die Zeitschrift System Administrator geschrieben habe, erwies sich in gewisser Weise als prophetisch. Ausgabe einer Zeitschrift mit diesem Artikel aus buchstäblich Tag für Tag mit dem tragischen Brand im Kemerowo-Einkaufszentrum „Winter Cherry“ (2018. März 20).

Installieren Sie das Internet in 30 Minuten

Bereits 1988 erklärte die legendäre Hackergalaxie L0pht vor einem Treffen der einflussreichsten westlichen Beamten mit voller Wucht: „Ihre computergestützte Ausrüstung ist anfällig für Cyberangriffe aus dem Internet.“ Und Software und Hardware und Telekommunikation. Ihre Verkäufer sind über diesen Zustand überhaupt nicht besorgt. Denn die moderne Gesetzgebung sieht keine Haftung für ein fahrlässiges Vorgehen bei der Gewährleistung der Cybersicherheit hergestellter Soft- und Hardware vor. Die Verantwortung für mögliche Ausfälle (ob spontan oder durch das Eingreifen von Cyberkriminellen verursacht) liegt allein beim Benutzer des Geräts. Was die Bundesregierung betrifft, so hat sie weder die Fähigkeiten noch den Willen, dieses Problem zu lösen. Wenn Sie also nach Cybersicherheit suchen, ist das Internet nicht der richtige Ort dafür. Jeder der sieben Personen, die vor Ihnen sitzen, kann das Internet vollständig zerstören und dementsprechend die vollständige Kontrolle über die angeschlossenen Geräte übernehmen. Alleine. 30 Minuten choreografierter Tastenanschläge und fertig.“ [7]

Die Beamten nickten bedeutungsvoll und machten damit deutlich, dass sie den Ernst der Lage verstanden, taten aber nichts. Heute, genau 30 Jahre nach L0phts legendärem Auftritt, ist die Welt immer noch von „zügelloser Unsicherheit“ geplagt. Das Hacken computergestützter, mit dem Internet verbundener Geräte ist so einfach, dass das Internet, ursprünglich ein Reich idealistischer Wissenschaftler und Enthusiasten, nach und nach von den pragmatischsten Profis besetzt wurde: Betrügern, Betrügern, Spionen, Terroristen. Sie alle nutzen die Schwachstellen computergestützter Geräte aus, um finanzielle oder andere Vorteile zu erzielen. [7]

Anbieter vernachlässigen die Cybersicherheit

Natürlich versuchen Anbieter manchmal, einige der identifizierten Schwachstellen zu beheben, tun dies jedoch nur sehr zögerlich. Denn ihr Gewinn liegt nicht im Schutz vor Hackern, sondern in der neuen Funktionalität, die sie den Verbrauchern bieten. Da Anbieter ausschließlich auf kurzfristige Gewinne ausgerichtet sind, investieren sie Geld nur in die Lösung realer Probleme, nicht in hypothetische. Cybersicherheit ist in den Augen vieler von ihnen eine hypothetische Sache. [7]

Cybersicherheit ist eine unsichtbare, immaterielle Sache. Es wird erst dann greifbar, wenn damit Probleme auftreten. Wenn sie sich gut darum gekümmert haben (sie haben viel Geld für die Bereitstellung ausgegeben) und es keine Probleme damit gibt, wird der Endverbraucher nicht zu viel dafür bezahlen wollen. Darüber hinaus erfordert die Umsetzung von Schutzmaßnahmen neben steigenden finanziellen Kosten zusätzliche Entwicklungszeit, bedingt eine Einschränkung der Leistungsfähigkeit der Geräte und führt zu einer Verringerung ihrer Produktivität. [8]

Es ist schwierig, selbst unsere eigenen Vermarkter von der Machbarkeit der aufgeführten Kosten zu überzeugen, geschweige denn die Endverbraucher. Und da moderne Anbieter nur an kurzfristigen Verkaufsgewinnen interessiert sind, sind sie überhaupt nicht geneigt, die Verantwortung für die Cybersicherheit ihrer Kreationen zu übernehmen. [1] Auf der anderen Seite sehen sich sorgfältigere Anbieter, die sich um die Cybersicherheit ihrer Geräte gekümmert haben, mit der Tatsache konfrontiert, dass Unternehmenskunden günstigere und benutzerfreundlichere Alternativen bevorzugen. Das. Es ist offensichtlich, dass sich Unternehmenskunden auch nicht besonders für Cybersicherheit interessieren. [8]

Vor diesem Hintergrund ist es nicht verwunderlich, dass Anbieter dazu neigen, die Cybersicherheit zu vernachlässigen und sich an die folgende Philosophie halten: „Bauen Sie weiter, verkaufen Sie weiter und führen Sie bei Bedarf Patches durch.“ Ist das System abgestürzt? Informationen verloren? Datenbank mit Kreditkartennummern gestohlen? Wurden schwerwiegende Schwachstellen in Ihrer Ausrüstung festgestellt? Kein Problem!" Verbraucher wiederum müssen dem Grundsatz folgen: „Patch and Pray.“ [7]

Wie das passiert: Beispiele aus der Wildnis

Ein markantes Beispiel für die Vernachlässigung der Cybersicherheit bei der Entwicklung ist das Unternehmensanreizprogramm von Microsoft: „Wer die Fristen versäumt, wird mit einer Geldstrafe belegt.“ Wenn Sie keine Zeit haben, die Freigabe Ihrer Innovation rechtzeitig einzureichen, wird sie nicht umgesetzt. Wenn es nicht umgesetzt wird, erhalten Sie keine Aktien des Unternehmens (ein Stück vom Kuchen aus den Gewinnen von Microsoft).“ Seit 1993 begann Microsoft, seine Produkte aktiv mit dem Internet zu verknüpfen. Da diese Initiative nach dem gleichen Motivationsprogramm lief, wurde die Funktionalität schneller erweitert, als die Verteidigung damit Schritt halten konnte. Zur Freude pragmatischer Schwachstellenjäger... [7]

Ein weiteres Beispiel ist die Situation bei Computern und Laptops: Auf ihnen ist kein Antivirenprogramm vorinstalliert; und sie sehen auch keine Voreinstellung sicherer Passwörter vor. Es wird davon ausgegangen, dass der Endbenutzer das Antivirenprogramm installiert und die Sicherheitskonfigurationsparameter festlegt. [1]

Ein weiteres, extremeres Beispiel: die Situation mit der Cybersicherheit von Einzelhandelsgeräten (Registrierkassen, PoS-Terminals für Einkaufszentren usw.). Es kam vor, dass Anbieter kommerzieller Geräte nur das verkaufen, was verkauft wird, und nicht, was sicher ist. [2] Wenn es kommerzielle Geräteanbieter im Hinblick auf die Cybersicherheit um eines geht, dann darum, sicherzustellen, dass im Falle eines kontroversen Vorfalls die Verantwortung auf andere übergeht. [3]

Ein bezeichnendes Beispiel für diese Entwicklung der Ereignisse: die Popularisierung des EMV-Standards für Bankkarten, der dank der kompetenten Arbeit von Bankvermarktern in den Augen einer technisch nicht versierten Öffentlichkeit als sicherere Alternative zu „veralteten“ erscheint. Magnetkarten. Gleichzeitig bestand die Hauptmotivation der Bankenbranche, die für die Entwicklung des EMV-Standards verantwortlich war, darin, die Verantwortung für betrügerische Vorfälle (die durch das Verschulden von Karteninhabern verursacht wurden) von den Geschäften auf die Verbraucher zu verlagern. Während früher (als Zahlungen mit Magnetkarten erfolgten) die finanzielle Verantwortung für Diskrepanzen zwischen Soll und Haben bei den Geschäften lag. [3] Also Banken, die Zahlungen abwickeln, verlagern die Verantwortung entweder auf Händler (die ihre Remote-Banking-Systeme nutzen) oder auf Banken, die Zahlungskarten ausgeben; die beiden letztgenannten wiederum verlagern die Verantwortung auf den Karteninhaber. [2]

Anbieter behindern die Cybersicherheit

Da die digitale Angriffsfläche dank der explosionsartigen Zunahme der mit dem Internet verbundenen Geräte unaufhaltsam wächst, wird es immer schwieriger, den Überblick darüber zu behalten, was mit dem Unternehmensnetzwerk verbunden ist. Gleichzeitig verlagern die Anbieter Bedenken hinsichtlich der Sicherheit aller mit dem Internet verbundenen Geräte auf den Endbenutzer [1]: „Die Rettung Ertrinkender ist die Arbeit der Ertrinkenden selbst.“

Anbieter kümmern sich nicht nur nicht um die Cybersicherheit ihrer Kreationen, sondern greifen in manchen Fällen sogar in deren Bereitstellung ein. Als beispielsweise im Jahr 2009 der Netzwerkwurm Conficker in das Beth Israel Medical Center eindrang und einen Teil der dortigen medizinischen Ausrüstung infizierte, beschloss der technische Direktor dieses medizinischen Zentrums, das zu deaktivieren, um zu verhindern, dass ähnliche Vorfälle in Zukunft auftreten Betriebsunterstützungsfunktion auf den vom Wurm betroffenen Geräten mit dem Netzwerk. Er sah sich jedoch mit der Tatsache konfrontiert, dass „die Geräte aufgrund behördlicher Beschränkungen nicht aktualisiert werden konnten“. Es erforderte erhebliche Anstrengungen, mit dem Anbieter über die Deaktivierung von Netzwerkfunktionen zu verhandeln. [4]

Grundlegende Cyber-Unsicherheit des Internets

David Clarke, der legendäre MIT-Professor, dessen Genie ihm den Spitznamen „Albus Dumbledore“ einbrachte, erinnert sich an den Tag, als der Welt die dunkle Seite des Internets offenbart wurde. Clark leitete im November 1988 eine Telekommunikationskonferenz, als bekannt wurde, dass sich der erste Computerwurm der Geschichte durch Netzwerkkabel geschlichen hatte. Clark erinnerte sich an diesen Moment, weil der auf seiner Konferenz anwesende Redner (ein Mitarbeiter eines der führenden Telekommunikationsunternehmen) für die Verbreitung dieses Wurms verantwortlich gemacht wurde. Dieser Redner sagte in der Hitze seiner Emotionen versehentlich: „Bitte schön!“ Ich scheine diese Schwachstelle geschlossen zu haben“, bezahlte er für diese Worte. [5]

Später stellte sich jedoch heraus, dass die Verwundbarkeit, durch die sich der erwähnte Wurm verbreitete, nicht auf das Verdienst einer einzelnen Person zurückzuführen war. Und das war streng genommen nicht einmal eine Schwachstelle, sondern ein grundlegendes Merkmal des Internets: Die Gründer des Internets konzentrierten sich bei der Entwicklung ihrer Idee ausschließlich auf Datenübertragungsgeschwindigkeit und Fehlertoleranz. Sie haben es sich nicht zur Aufgabe gemacht, die Cybersicherheit zu gewährleisten. [5]

Heute, Jahrzehnte nach der Gründung des Internets – Hunderte Milliarden Dollar wurden bereits für vergebliche Versuche zur Cybersicherheit ausgegeben – ist das Internet nicht weniger anfällig. Seine Cybersicherheitsprobleme werden von Jahr zu Jahr schlimmer. Aber haben wir das Recht, die Gründer des Internets dafür zu verurteilen? Schließlich wird zum Beispiel niemand die Erbauer von Schnellstraßen dafür verurteilen, dass auf „ihren Straßen“ Unfälle passieren; und niemand wird Stadtplaner dafür verurteilen, dass es in „ihren Städten“ zu Raubüberfällen kommt. [5]

Wie die Hacker-Subkultur geboren wurde

Die Hacker-Subkultur entstand in den frühen 1960er Jahren im „Railway Technical Modeling Club“ (operativ innerhalb der Mauern des Massachusetts Institute of Technology). Clubbegeisterte entwarfen und bauten eine Modelleisenbahn, die so groß war, dass sie den gesamten Raum ausfüllte. Die Clubmitglieder teilten sich spontan in zwei Gruppen auf: Friedensstifter und Systemspezialisten. [6]

Der erste arbeitete mit dem oberirdischen Teil des Modells, der zweite mit dem Untergrund. Die Ersten sammelten und dekorierten Modelle von Zügen und Städten: Sie modellierten die ganze Welt im Miniaturformat. Letzterer arbeitete an der technischen Unterstützung für all diese Friedensstiftungen: ein kompliziertes Geflecht aus Drähten, Relais und Koordinatenschaltern im unterirdischen Teil des Modells – alles, was den „oberirdischen“ Teil steuerte und ihn mit Energie versorgte. [6]

Wenn es ein Verkehrsproblem gab und jemand eine neue und geniale Lösung zur Behebung fand, wurde die Lösung „Hack“ genannt. Für Clubmitglieder ist die Suche nach neuen Hacks zum inneren Sinn des Lebens geworden. Deshalb nannten sie sich selbst „Hacker“. [6]

Die erste Hackergeneration setzte die im Simulation Railway Club erworbenen Fähigkeiten um, indem sie Computerprogramme auf Lochkarten schrieb. Als dann 1969 das ARPANET (der Vorgänger des Internets) auf dem Campus eintraf, wurden Hacker zu seinen aktivsten und erfahrensten Nutzern. [6]

Heute, Jahrzehnte später, ähnelt das moderne Internet dem „unterirdischen“ Teil der Modelleisenbahn. Denn seine Gründer waren dieselben Hacker, Studenten des „Railroad Simulation Club“. Nur Hacker betreiben jetzt echte Städte statt simulierter Miniaturen. [6]

Wie das BGP-Routing entstand

Ende der 80er Jahre näherte sich das Internet aufgrund eines lawinenartigen Anstiegs der Anzahl an mit dem Internet verbundenen Geräten der harten mathematischen Grenze, die in einem der grundlegenden Internetprotokolle verankert ist. Daher wurde jedes Gespräch zwischen den damaligen Ingenieuren schließlich zu einer Diskussion dieses Problems. Zwei Freunde bildeten keine Ausnahme: Jacob Rechter (ein Ingenieur von IBM) und Kirk Lockheed (Gründer von Cisco). Nachdem sie sich zufällig am Esstisch getroffen hatten, begannen sie über Maßnahmen zur Erhaltung der Funktionalität des Internets zu diskutieren. Die Freunde schrieben die dabei entstandenen Ideen auf etwas, das gerade zur Hand war – eine mit Ketchup befleckte Serviette. Dann der zweite. Dann der Dritte. Das „Drei-Servietten-Protokoll“, wie seine Erfinder es scherzhaft nannten – in offiziellen Kreisen als BGP (Border Gateway Protocol) bekannt – revolutionierte bald das Internet. [8]

Für Rechter und Lockheed war BGP lediglich ein Gelegenheits-Hack, der im Geiste des oben genannten Model Railroad Club entwickelt wurde, eine vorübergehende Lösung, die bald ersetzt werden sollte. Die Freunde entwickelten 1989 BGP. Heute jedoch, 30 Jahre später, wird der Großteil des Internetverkehrs immer noch über das „Drei-Servietten-Protokoll“ geleitet – trotz zunehmend alarmierender Meldungen über kritische Probleme bei der Cybersicherheit. Der temporäre Hack wurde zu einem der grundlegenden Internetprotokolle, und seine Entwickler lernten aus eigener Erfahrung, dass „es nichts Dauerhafteres als temporäre Lösungen gibt“. [8]

Netzwerke auf der ganzen Welt sind auf BGP umgestiegen. Einflussreiche Anbieter, vermögende Kunden und Telekommunikationsunternehmen verliebten sich schnell in BGP und gewöhnten sich daran. Daher ist die IT-Öffentlichkeit trotz immer lauter werdender Alarmglocken wegen der Unsicherheit dieses Protokolls immer noch nicht begeistert von der Umstellung auf neue, sicherere Geräte. [8]

Cyber-unsicheres BGP-Routing

Warum ist BGP-Routing so gut und warum hat die IT-Community keine Eile, es aufzugeben? BGP hilft Routern dabei, Entscheidungen darüber zu treffen, wohin die riesigen Datenströme weitergeleitet werden sollen, die über ein riesiges Netzwerk sich kreuzender Kommunikationsleitungen gesendet werden. BGP hilft Routern dabei, geeignete Pfade auszuwählen, auch wenn sich das Netzwerk ständig ändert und es bei beliebten Routen häufig zu Staus kommt. Das Problem besteht darin, dass das Internet keine globale Routing-Karte hat. Router, die BGP verwenden, treffen Entscheidungen über die Wahl des einen oder anderen Pfads auf der Grundlage von Informationen, die sie von Nachbarn im Cyberspace erhalten, die wiederum Informationen von ihren Nachbarn usw. sammeln. Allerdings können diese Informationen leicht gefälscht werden, wodurch das BGP-Routing sehr anfällig für MiTM-Angriffe ist. [8]

Daher stellen sich regelmäßig Fragen wie die folgenden: „Warum musste der Datenverkehr zwischen zwei Computern in Denver einen großen Umweg über Island machen?“, „Warum wurden geheime Daten des Pentagons einmal über Peking übertragen?“ Auf Fragen wie diese gibt es technische Antworten, aber alle laufen darauf hinaus, dass BGP auf Vertrauen basiert: Vertrauen in Empfehlungen, die von benachbarten Routern empfangen werden. Dank der vertrauensvollen Natur des BGP-Protokolls können mysteriöse Traffic-Overlords auf Wunsch die Datenflüsse anderer Leute in ihre Domain locken. [8]

Ein lebendiges Beispiel ist Chinas BGP-Angriff auf das amerikanische Pentagon. Im April 2010 schickte der staatliche Telekommunikationsriese China Telecom Zehntausende Router in die ganze Welt, darunter 16 in die Vereinigten Staaten, und teilte ihnen mit einer BGP-Nachricht mit, dass es bessere Routen gäbe. Ohne ein System, das die Gültigkeit einer BGP-Nachricht von China Telecom überprüfen konnte, begannen Router auf der ganzen Welt, Daten über Peking zu übertragen. Einschließlich Verkehr vom Pentagon und anderen Standorten des US-Verteidigungsministeriums. Die Leichtigkeit, mit der der Datenverkehr umgeleitet wurde, und das Fehlen eines wirksamen Schutzes gegen diese Art von Angriffen sind ein weiteres Zeichen für die Unsicherheit des BGP-Routings. [8]

Das BGP-Protokoll ist theoretisch anfällig für einen noch gefährlicheren Cyberangriff. Für den Fall, dass internationale Konflikte im Cyberspace mit voller Wucht eskalieren, könnte China Telecom oder ein anderer Telekommunikationsriese versuchen, Eigentum an Teilen des Internets zu beanspruchen, die ihm eigentlich nicht gehören. Ein solcher Schritt würde die Router verwirren, die zwischen konkurrierenden Angeboten für dieselben Blöcke von Internetadressen wechseln müssten. Ohne die Möglichkeit, eine legitime Anwendung von einer gefälschten zu unterscheiden, würden die Router fehlerhaft reagieren. Infolgedessen stünden wir vor dem Internet-Äquivalent eines Atomkriegs – einer offenen, groß angelegten Zurschaustellung von Feindseligkeit. Eine solche Entwicklung erscheint in Zeiten relativen Friedens unrealistisch, ist aber technisch durchaus machbar. [8]

Ein vergeblicher Versuch, von BGP zu BGPSEC zu wechseln

Cybersicherheit wurde bei der Entwicklung von BGP nicht berücksichtigt, da Hacks zu dieser Zeit selten waren und der Schaden dadurch vernachlässigbar war. Da die Entwickler von BGP für Telekommunikationsunternehmen arbeiteten und daran interessiert waren, ihre Netzwerkausrüstung zu verkaufen, hatten sie eine dringendere Aufgabe: spontane Ausfälle des Internets zu verhindern. Denn Unterbrechungen im Internet könnten die Nutzer abschrecken und dadurch den Verkauf von Netzwerkgeräten verringern. [8]

Nach dem Zwischenfall mit der Übertragung des amerikanischen Militärverkehrs über Peking im April 2010 hat sich das Tempo der Arbeiten zur Gewährleistung der Cybersicherheit des BGP-Routings sicherlich beschleunigt. Die Telekommunikationsanbieter zeigen jedoch wenig Begeisterung dafür, die mit der Migration auf das neue sichere Routing-Protokoll BGPSEC verbundenen Kosten zu tragen, das als Ersatz für das unsichere BGP vorgeschlagen wird. Anbieter halten BGP immer noch für durchaus akzeptabel, trotz unzähliger Vorfälle, bei denen der Datenverkehr abgefangen wurde. [8]

Radia Perlman, die als „Mutter des Internets“ bezeichnet wird, weil sie 1988 (ein Jahr vor BGP) ein weiteres wichtiges Netzwerkprotokoll erfunden hat, hat am MIT eine prophetische Doktorarbeit verfasst. Perlman sagte voraus, dass ein Routing-Protokoll, das von der Ehrlichkeit der Nachbarn im Cyberspace abhängt, grundsätzlich unsicher ist. Perlman befürwortete den Einsatz von Kryptographie, die dazu beitragen würde, die Möglichkeit von Fälschungen einzuschränken. Allerdings war die Implementierung von BGP bereits in vollem Gange, die einflussreiche IT-Community war daran gewöhnt und wollte nichts ändern. Nach begründeten Warnungen von Perlman, Clark und einigen anderen prominenten Weltexperten ist der relative Anteil des kryptografisch sicheren BGP-Routings daher überhaupt nicht gestiegen und beträgt immer noch 0 %. [8]

BGP-Routing ist nicht der einzige Hack

Und BGP-Routing ist nicht der einzige Hack, der die Idee bestätigt, dass „nichts dauerhafter ist als temporäre Lösungen“. Manchmal wirkt das Internet, das uns in Fantasiewelten eintauchen lässt, so elegant wie ein Rennwagen. In Wirklichkeit ähnelt das Internet jedoch aufgrund der übereinander gestapelten Hacks eher Frankenstein als Ferrari. Denn diese Hacks (offizieller Patches genannt) werden niemals durch zuverlässige Technologie ersetzt. Die Folgen dieses Vorgehens sind verheerend: Täglich und stündlich hacken sich Cyberkriminelle in anfällige Systeme ein und weiten das Ausmaß der Cyberkriminalität auf bisher unvorstellbare Ausmaße aus. [8]

Viele der von Cyberkriminellen ausgenutzten Schwachstellen sind seit langem bekannt und blieben nur aufgrund der Tendenz der IT-Community erhalten, aufkommende Probleme zu lösen – mit temporären Hacks/Patches. Manchmal häufen sich daher veraltete Technologien über einen längeren Zeitraum hinweg, was den Menschen das Leben schwer macht und sie in Gefahr bringt. Was würden Sie denken, wenn Sie erfahren würden, dass Ihre Bank ihren Tresor auf einem Fundament aus Stroh und Lehm baut? Würden Sie ihm vertrauen, dass er Ihre Ersparnisse behält? [8]

Die unbeschwerte Haltung von Linus Torvalds

Es dauerte Jahre, bis das Internet die ersten hundert Computer erreichte. Heute werden jede Sekunde 100 neue Computer und andere Geräte daran angeschlossen. Mit der explosionsartigen Zunahme der mit dem Internet verbundenen Geräte steigt auch die Dringlichkeit von Cybersicherheitsproblemen. Den größten Einfluss auf die Lösung dieser Probleme könnte jedoch die Person haben, die Cybersicherheit mit Verachtung betrachtet. Dieser Mann wurde als Genie, Tyrann, spiritueller Führer und gütiger Diktator bezeichnet. Linus Torvalds. Die überwiegende Mehrheit der mit dem Internet verbundenen Geräte läuft mit dem Betriebssystem Linux. Schnell, flexibel, kostenlos – Linux erfreut sich mit der Zeit immer größerer Beliebtheit. Gleichzeitig verhält es sich sehr stabil. Und es kann viele Jahre lang ohne Neustart funktionieren. Aus diesem Grund hat Linux die Ehre, das dominierende Betriebssystem zu sein. Fast alle Computergeräte, die uns heute zur Verfügung stehen, laufen unter Linux: Server, medizinische Geräte, Flugcomputer, winzige Drohnen, Militärflugzeuge und vieles mehr. [9]

Linux ist vor allem deshalb erfolgreich, weil Torvalds Wert auf Leistung und Fehlertoleranz legt. Allerdings legt er diesen Schwerpunkt auf Kosten der Cybersicherheit. Auch wenn der Cyberspace und die reale physische Welt miteinander verflochten sind und Cybersicherheit zu einem globalen Problem wird, weigert sich Torvalds weiterhin, sichere Innovationen in sein Betriebssystem einzuführen. [9]

Daher wächst auch bei vielen Linux-Fans die Besorgnis über die Schwachstellen dieses Betriebssystems. Insbesondere der intimste Teil von Linux, sein Kernel, an dem Torvalds persönlich arbeitet. Linux-Fans sehen, dass Torvalds Fragen der Cybersicherheit nicht ernst nimmt. Darüber hinaus hat sich Torvalds mit Entwicklern umgeben, die diese unbeschwerte Einstellung teilen. Wenn jemand aus dem engeren Kreis von Torvalds anfängt, über die Einführung sicherer Innovationen zu sprechen, wird er sofort mit dem Fluch belegt. Torvalds lehnte eine Gruppe solcher Innovatoren ab und nannte sie „masturbierende Affen“. Als Torvalds sich von einer anderen Gruppe sicherheitsbewusster Entwickler verabschiedete, sagte er zu ihnen: „Wären Sie so freundlich, sich umzubringen?“ Die Welt wäre dadurch ein besserer Ort.“ Wann immer es darum ging, Sicherheitsfunktionen hinzuzufügen, war Torvalds immer dagegen. [9] Torvalds hat diesbezüglich sogar eine ganze Philosophie, die nicht ohne einen Funken gesunden Menschenverstandes ist:

„Absolute Sicherheit ist unerreichbar. Daher sollte es immer nur im Zusammenhang mit anderen Prioritäten betrachtet werden: Geschwindigkeit, Flexibilität und Benutzerfreundlichkeit. Menschen, die sich ausschließlich dem Schutz widmen, sind verrückt. Ihr Denken ist begrenzt, schwarz und weiß. Sicherheit allein ist nutzlos. Die Essenz liegt immer woanders. Daher können Sie keine absolute Sicherheit gewährleisten, selbst wenn Sie dies wirklich möchten. Natürlich gibt es Menschen, die mehr Wert auf Sicherheit legen als Torvalds. Diese Leute arbeiten jedoch einfach an dem, was sie interessiert, und sorgen für Sicherheit innerhalb des engen relativen Rahmens, der diese Interessen abgrenzt. Nicht mehr. Sie tragen also in keiner Weise zur Erhöhung der absoluten Sicherheit bei.“ [9]

Seitenleiste: OpenSource ist wie ein Pulverfass [10]

OpenSource-Code hat Milliarden an Software-Entwicklungskosten eingespart und doppelte Anstrengungen überflüssig gemacht: Mit OpenSource haben Programmierer die Möglichkeit, aktuelle Innovationen ohne Einschränkungen und ohne Bezahlung zu nutzen. OpenSource wird überall verwendet. Selbst wenn Sie einen Softwareentwickler damit beauftragt haben, Ihr spezielles Problem von Grund auf zu lösen, wird dieser Entwickler höchstwahrscheinlich eine Art OpenSource-Bibliothek verwenden. Und wahrscheinlich mehr als eine. Somit sind OpenSource-Elemente fast überall vorhanden. Gleichzeitig sollte klar sein, dass keine Software statisch ist; ihr Code ändert sich ständig. Daher funktioniert das Prinzip „einstellen und vergessen“ bei Code nie. Einschließlich des OpenSource-Codes: Früher oder später wird eine aktualisierte Version erforderlich sein.

Im Jahr 2016 sahen wir die Folgen dieser Situation: Ein 28-jähriger Entwickler „brach“ kurzzeitig das Internet, indem er seinen OpenSource-Code löschte, den er zuvor öffentlich zugänglich gemacht hatte. Diese Geschichte zeigt, dass unsere Cyber-Infrastruktur sehr fragil ist. Manche Leute – die OpenSource-Projekte unterstützen – legen so viel Wert auf die Aufrechterhaltung, dass das Internet zusammenbricht, wenn sie, Gott bewahre, von einem Bus angefahren werden.

In schwer zu wartendem Code lauern die schwerwiegendsten Schwachstellen im Bereich der Cybersicherheit. Manche Unternehmen sind sich gar nicht bewusst, wie anfällig sie aufgrund des schwer zu wartenden Codes sind. Mit solchem ​​Code verbundene Schwachstellen können sich sehr langsam zu einem echten Problem entwickeln: Systeme verrotten langsam, ohne dass während des Verrottungsprozesses sichtbare Fehler auftreten. Und wenn sie scheitern, sind die Folgen fatal.

Da OpenSource-Projekte in der Regel von einer Community von Enthusiasten wie Linus Torvalds oder den am Anfang des Artikels erwähnten Hackern vom Model Railroad Club entwickelt werden, können Probleme mit schwer zu wartendem Code nicht auf herkömmliche Weise gelöst werden (mit kommerzielle und staatliche Hebel). Weil Mitglieder solcher Gemeinschaften eigensinnig sind und ihre Unabhängigkeit über alles schätzen.

Seitenleiste: Vielleicht schützen uns die Geheimdienste und Antiviren-Entwickler?

Im Jahr 2013 wurde bekannt, dass Kaspersky Lab über eine Spezialeinheit verfügte, die maßgeschneiderte Untersuchungen von Informationssicherheitsvorfällen durchführte. Bis vor kurzem wurde diese Abteilung von einem ehemaligen Polizeimajor, Ruslan Stoyanov, geleitet, der zuvor in der Abteilung „K“ (USTM der Moskauer Hauptdirektion für innere Angelegenheiten) der Hauptstadt arbeitete. Alle Mitarbeiter dieser Spezialeinheit von Kaspersky Lab kommen aus Strafverfolgungsbehörden, darunter dem Untersuchungsausschuss und der Direktion „K“. [elf]

Ende 2016 verhaftete der FSB Ruslan Stoyanov und klagte ihn des Hochverrats an. Im selben Fall wurde Sergej Michailow festgenommen, ein hochrangiger Vertreter des FSB CIB (Informationssicherheitszentrum), an dem vor der Festnahme die gesamte Cybersicherheit des Landes lag. [elf]

Seitenleiste: Cybersicherheit durchgesetzt

Bald werden russische Unternehmer gezwungen sein, der Cybersicherheit ernsthafte Aufmerksamkeit zu schenken. Im Januar 2017 erklärte Nikolai Murashov, ein Vertreter des Zentrums für Informationsschutz und Sonderkommunikation, dass in Russland allein CII-Objekte (kritische Informationsinfrastruktur) im Jahr 2016 mehr als 70 Millionen Mal angegriffen wurden. Zu den CII-Objekten gehören Informationssysteme von Regierungsbehörden, Unternehmen der Verteidigungsindustrie, des Transport-, Kredit- und Finanzsektors sowie der Energie-, Kraftstoff- und Nuklearindustrie. Um sie zu schützen, unterzeichnete der russische Präsident Wladimir Putin am 26. Juli ein Gesetzespaket „Über die Sicherheit von CII“. Bis zum 1. Januar 2018, wenn das Gesetz in Kraft tritt, müssen die Eigentümer von CII-Einrichtungen eine Reihe von Maßnahmen ergreifen, um ihre Infrastruktur vor Hackerangriffen zu schützen, insbesondere eine Verbindung zu GosSOPKA. [12]

Bibliographie

1. Jonathan Millet. IoT: Die Bedeutung der Sicherung Ihrer Smart-Geräte // 2017.
2. Ross Anderson. Wie Smartcard-Zahlungssysteme scheitern // Black Hat. 2014.
3. SJ Murdoch. Chip und PIN sind kaputt // Proceedings of the IEEE Symposium on Security and Privacy. 2010. S. 433-446.
4. David Talbot. Computerviren sind auf medizinischen Geräten in Krankenhäusern „weit verbreitet“. // MIT Technology Review (Digital). 2012.
5. Craig Timberg. Netz der Unsicherheit: Ein Fluss im Design // Die Washington Post. 2015.
6. Michael Lista. Er war ein Hacker im Teenageralter, der seine Millionen für Autos, Kleidung und Uhren ausgab – bis das FBI dahinterkam // Leben in Toronto. 2018.
7. Craig Timberg. Netz der Unsicherheit: Eine vorhergesagte – und ignorierte Katastrophe // Die Washington Post. 2015.
8. Craig Timberg. Die lange Lebensdauer einer schnellen „Lösung“: Das Internetprotokoll von 1989 macht Daten anfällig für Hacker // Die Washington Post. 2015.
9. Craig Timberg. Netz der Unsicherheit: Der Kern des Arguments // Die Washington Post. 2015.
10. Joshua Gans. Könnte Open-Source-Code unsere Y2K-Befürchtungen endlich wahr machen? // Harvard Business Review (Digital). 2017.
11. Top-Manager von Kaspersky vom FSB festgenommen // CNews. 2017. URL.
12. Maria Kolomychenko. Cyber-Geheimdienst: Die Sberbank schlug die Einrichtung eines Hauptquartiers zur Bekämpfung von Hackern vor // RBC. 2017.

Source: habr.com