Cuando los "sombreros negros", ordenanzas del bosque salvaje del ciberespacio, resultan especialmente exitosos en su trabajo sucio, los medios amarillos gritan de alegría. Como resultado, el mundo está empezando a tomar más en serio la ciberseguridad. Pero lamentablemente no de inmediato. Por lo tanto, a pesar del creciente número de ciberincidentes catastróficos, el mundo aún no está maduro para adoptar medidas proactivas y activas. Sin embargo, se espera que en un futuro próximo, gracias a los “sombrero negro”, el mundo empiece a tomarse en serio la ciberseguridad. [7]
Tan grave como los incendios... Las ciudades alguna vez fueron muy vulnerables a incendios catastróficos. Sin embargo, a pesar del peligro potencial, no se tomaron medidas de protección proactivas, ni siquiera después del gigantesco incendio de Chicago en 1871, que se cobró cientos de vidas y desplazó a cientos de miles de personas. Sólo se tomaron medidas de protección proactivas después de que volviera a ocurrir un desastre similar, tres años después. Lo mismo ocurre con la ciberseguridad: el mundo no resolverá este problema a menos que se produzcan incidentes catastróficos. Pero incluso si tales incidentes ocurren, el mundo no resolverá este problema de inmediato. [7] Por lo tanto, incluso el dicho: "Hasta que no ocurra un error, un hombre no será parcheado", no funciona del todo. Por eso en 2018 celebramos 30 años de inseguridad rampante.
Retiro lírico
El comienzo de este artículo, que escribí originalmente para la revista System Administrator, resultó ser profético en cierto sentido. Número de una revista con este artículo. literalmente, día tras día con el trágico incendio en el centro comercial “Winter Cherry” de Kemerovo (2018 de marzo de 20).
Instalar Internet en 30 minutos
En 1988, la legendaria galaxia hacker L0pht, hablando con toda su fuerza ante una reunión de los funcionarios occidentales más influyentes, declaró: “Su equipo computarizado es vulnerable a los ataques cibernéticos desde Internet. Y software, hardware y telecomunicaciones. A sus proveedores no les preocupa en absoluto esta situación. Porque la legislación moderna no prevé ninguna responsabilidad por un enfoque negligente a la hora de garantizar la ciberseguridad del software y hardware fabricados. La responsabilidad de posibles fallos (ya sean espontáneos o provocados por la intervención de ciberdelincuentes) recae únicamente en el usuario del equipo. En cuanto al gobierno federal, no tiene ni la capacidad ni el deseo de resolver este problema. Por lo tanto, si busca ciberseguridad, Internet no es el lugar para encontrarla. Cada una de las siete personas sentadas frente a usted puede interrumpir completamente Internet y, en consecuencia, tomar el control total del equipo conectado a él. Por uno mismo. 30 minutos de pulsaciones de teclas coreografiadas y listo”. [7]
Los funcionarios asintieron significativamente, dejando claro que entendían la gravedad de la situación, pero no hicieron nada. Hoy, exactamente 30 años después de la legendaria actuación de L0pht, el mundo sigue asolado por una "inseguridad desenfrenada". Hackear equipos computarizados conectados a Internet es tan fácil que Internet, inicialmente un reino de científicos y entusiastas idealistas, ha sido gradualmente ocupada por los profesionales más pragmáticos: estafadores, estafadores, espías y terroristas. Todos ellos explotan las vulnerabilidades de los equipos computarizados para obtener beneficios financieros o de otro tipo. [7]
Los proveedores descuidan la ciberseguridad
Por supuesto, a veces los proveedores intentan corregir algunas de las vulnerabilidades identificadas, pero lo hacen de mala gana. Porque sus beneficios no provienen de la protección contra los piratas informáticos, sino de la nueva funcionalidad que ofrecen a los consumidores. Al centrarse únicamente en las ganancias a corto plazo, los proveedores invierten dinero sólo en resolver problemas reales, no hipotéticos. La ciberseguridad, a los ojos de muchos de ellos, es algo hipotético. [7]
La ciberseguridad es algo invisible e intangible. Se vuelve tangible sólo cuando surgen problemas con él. Si lo cuidaron bien (gastaron mucho dinero en su suministro) y no hay problemas con él, el consumidor final no querrá pagar de más por él. Además, además de aumentar los costos financieros, la implementación de medidas de protección requiere tiempo de desarrollo adicional, requiere limitar las capacidades del equipo y conduce a una disminución de su productividad. [8]
Es difícil convencer incluso a nuestros propios especialistas en marketing de la viabilidad de los costos enumerados, y mucho menos a los consumidores finales. Y como a los vendedores modernos sólo les interesan los beneficios de las ventas a corto plazo, no están en absoluto dispuestos a asumir la responsabilidad de garantizar la ciberseguridad de sus creaciones. [1] Por otro lado, los proveedores más cuidadosos que se han ocupado de la ciberseguridad de sus equipos se enfrentan al hecho de que los consumidores corporativos prefieren alternativas más baratas y más fáciles de usar. Eso. Es obvio que a los consumidores corporativos tampoco les importa mucho la ciberseguridad. [8]
A la luz de lo anterior, no sorprende que los proveedores tiendan a descuidar la ciberseguridad y se adhieran a la siguiente filosofía: “Seguir construyendo, seguir vendiendo y parchear cuando sea necesario. ¿Ha fallado el sistema? ¿Información perdida? ¿Roban base de datos con números de tarjetas de crédito? ¿Se han identificado vulnerabilidades fatales en su equipo? ¡Ningún problema!" Los consumidores, a su vez, deben seguir el principio: “Parchar y rezar”. [7]
Cómo sucede esto: ejemplos de la naturaleza
Un ejemplo sorprendente de negligencia en materia de ciberseguridad durante el desarrollo es el programa de incentivos corporativos de Microsoft: “Si no cumples con los plazos, te multarán. Si no tiene tiempo para enviar el lanzamiento de su innovación a tiempo, no se implementará. Si no se aplica, no recibirán acciones de la empresa (una parte del pastel de los beneficios de Microsoft)”. Desde 1993, Microsoft comenzó a vincular activamente sus productos a Internet. Dado que esta iniciativa operaba en línea con el mismo programa motivacional, la funcionalidad se expandió más rápido de lo que la defensa podía seguir su ritmo. Para deleite de los pragmáticos cazadores de vulnerabilidades... [7]
Otro ejemplo es la situación de los ordenadores y portátiles: no vienen con un antivirus preinstalado; y tampoco proporcionan la configuración preestablecida de contraseñas seguras. Se supone que el usuario final instalará el antivirus y establecerá los parámetros de configuración de seguridad. [1]
Otro ejemplo más extremo: la situación de la ciberseguridad de los equipos minoristas (cajas registradoras, terminales POS para centros comerciales, etc.). Sucede que los vendedores de equipos comerciales venden sólo lo que se vende y no lo que es seguro. [2] Si hay algo que preocupa a los proveedores de equipos comerciales en términos de ciberseguridad es asegurarse de que, si ocurre un incidente controvertido, la responsabilidad recaiga en otros. [3]
Un ejemplo indicativo de esta evolución de los acontecimientos: la popularización del estándar EMV para tarjetas bancarias, que, gracias al trabajo competente de los vendedores bancarios, aparece ante los ojos del público técnicamente poco sofisticado como una alternativa más segura a lo "obsoleto". tarjetas magnéticas. Al mismo tiempo, la principal motivación de la industria bancaria, que fue responsable del desarrollo del estándar EMV, fue transferir la responsabilidad por los incidentes fraudulentos (que ocurren por culpa de los emisores de tarjetas), de las tiendas a los consumidores. Mientras que anteriormente (cuando los pagos se realizaban mediante tarjetas magnéticas), la responsabilidad financiera recaía en las tiendas por las discrepancias entre débito y crédito. [3] Así los bancos que procesan pagos transfieren la responsabilidad a los comerciantes (que utilizan sus sistemas bancarios remotos) o a los bancos que emiten tarjetas de pago; los dos últimos, a su vez, transfieren la responsabilidad al titular de la tarjeta. [2]
Los proveedores están obstaculizando la ciberseguridad
A medida que la superficie de ataque digital se expande inexorablemente (gracias a la explosión de dispositivos conectados a Internet), realizar un seguimiento de lo que está conectado a la red corporativa se vuelve cada vez más difícil. Al mismo tiempo, los proveedores trasladan sus preocupaciones sobre la seguridad de todos los equipos conectados a Internet al usuario final [1]: “El rescate de personas que se están ahogando es trabajo de las propias personas que se están ahogando”.
Los proveedores no sólo no se preocupan por la ciberseguridad de sus creaciones, sino que en algunos casos también interfieren con su provisión. Por ejemplo, cuando en 2009 el gusano de la red Conficker se filtró en el Centro Médico Beth Israel e infectó parte del equipo médico del lugar, el director técnico de este centro médico, para evitar que se produjeran incidentes similares en el futuro, decidió desactivar el Función de soporte a la operación de los equipos afectados por el gusano con la red. Sin embargo, se enfrentó al hecho de que "el equipo no se pudo actualizar debido a restricciones regulatorias". Le costó un esfuerzo considerable negociar con el proveedor la desactivación de las funciones de red. [4]
Ciberinseguridad fundamental de Internet
David Clarke, el legendario profesor del MIT cuyo genio le valió el apodo de "Albus Dumbledore", recuerda el día en que se reveló al mundo el lado oscuro de Internet. Clark presidía una conferencia de telecomunicaciones en noviembre de 1988 cuando se supo que el primer gusano informático de la historia se había deslizado a través de los cables de la red. Clark recordó este momento porque el orador presente en su conferencia (un empleado de una de las principales empresas de telecomunicaciones) fue considerado responsable de la propagación de este gusano. Este orador, en el calor de la emoción, sin darse cuenta dijo: “¡Aquí tienes!” Parece que he cerrado esta vulnerabilidad”, pagó por estas palabras. [5]
Sin embargo, más tarde resultó que la vulnerabilidad a través de la cual se propagó el mencionado gusano no era mérito de ninguna persona en particular. Y esto, estrictamente hablando, ni siquiera era una vulnerabilidad, sino una característica fundamental de Internet: los fundadores de Internet, al desarrollar su creación, se centraron exclusivamente en la velocidad de transferencia de datos y la tolerancia a fallas. No se propusieron la tarea de garantizar la ciberseguridad. [5]
Hoy, décadas después de la fundación de Internet (con cientos de miles de millones de dólares ya gastados en intentos inútiles de ciberseguridad), Internet no es menos vulnerable. Sus problemas de ciberseguridad empeoran cada año. Sin embargo, ¿tenemos derecho a condenar a los fundadores de Internet por esto? Después de todo, por ejemplo, nadie condenará a los constructores de autopistas por el hecho de que los accidentes ocurran en “sus carreteras”; y nadie condenará a los urbanistas por el hecho de que los robos ocurran en “sus ciudades”. [5]
Cómo nació la subcultura hacker
La subcultura hacker se originó a principios de la década de 1960, en el “Railway Technical Modelling Club” (que operaba dentro de los muros del Instituto Tecnológico de Massachusetts). Los entusiastas del club diseñaron y montaron un modelo de ferrocarril, tan grande que llenó toda la sala. Los miembros del club se dividieron espontáneamente en dos grupos: pacificadores y especialistas del sistema. [6]
El primero trabajó con la parte aérea del modelo, el segundo, con la parte subterránea. Los primeros coleccionaron y decoraron maquetas de trenes y ciudades: modelaron el mundo entero en miniatura. Este último trabajó en el soporte técnico para todo este proceso de paz: una complejidad de cables, relés e interruptores de coordenadas ubicados en la parte subterránea del modelo, todo lo que controlaba la parte "sobre el suelo" y la alimentaba con energía. [6]
Cuando había un problema de tráfico y a alguien se le ocurría una solución nueva e ingeniosa para solucionarlo, la solución se llamaba "truco". Para los miembros del club, la búsqueda de nuevos trucos se ha convertido en un sentido intrínseco de la vida. Por eso empezaron a llamarse "hackers". [6]
La primera generación de hackers puso en práctica las habilidades adquiridas en el Club de Simulación Ferroviaria escribiendo programas informáticos en tarjetas perforadas. Luego, cuando ARPANET (el predecesor de Internet) llegó al campus en 1969, los piratas informáticos se convirtieron en sus usuarios más activos y hábiles. [6]
Ahora, décadas después, la Internet moderna se parece a esa parte “clandestina” del modelo de ferrocarril. Porque sus fundadores fueron estos mismos hackers, estudiantes del “Club de Simulación Ferroviaria”. Sólo los piratas informáticos operan ahora ciudades reales en lugar de miniaturas simuladas. [6]
Cómo surgió el enrutamiento BGP
A finales de los años 80, como resultado de un aumento similar a una avalancha en el número de dispositivos conectados a Internet, Internet se acercó al límite matemático estricto integrado en uno de los protocolos básicos de Internet. Por lo tanto, cualquier conversación entre ingenieros de esa época eventualmente se convirtió en una discusión sobre este problema. Dos amigos no fueron la excepción: Jacob Rechter (ingeniero de IBM) y Kirk Lockheed (fundador de Cisco). Al encontrarse por casualidad en la mesa, comenzaron a discutir medidas para preservar la funcionalidad de Internet. Los amigos escribieron las ideas que surgieron en lo que tenían a mano: una servilleta manchada de ketchup. Luego el segundo. Luego el tercero. El “protocolo de las tres servilletas”, como lo llamaron en broma sus inventores, conocido en los círculos oficiales como BGP (Border Gateway Protocol), pronto revolucionó Internet. [8]
Para Rechter y Lockheed, BGP era simplemente un truco casual, desarrollado en el espíritu del ya mencionado Model Railroad Club, una solución temporal que pronto sería reemplazada. Los amigos desarrollaron BGP en 1989. Sin embargo, hoy, 30 años después, la mayor parte del tráfico de Internet todavía se enruta utilizando el “protocolo de las tres servilletas”, a pesar de los llamados cada vez más alarmantes sobre problemas críticos con su ciberseguridad. El hack temporal se convirtió en uno de los protocolos básicos de Internet y sus desarrolladores aprendieron por experiencia propia que "no hay nada más permanente que las soluciones temporales". [8]
Redes de todo el mundo han cambiado a BGP. Proveedores influyentes, clientes adinerados y empresas de telecomunicaciones rápidamente se enamoraron de BGP y se acostumbraron a él. Por lo tanto, a pesar de que cada vez hay más alarmas sobre la inseguridad de este protocolo, el público informático todavía no muestra entusiasmo por la transición a equipos nuevos y más seguros. [8]
Enrutamiento BGP ciberinseguro
¿Por qué el enrutamiento BGP es tan bueno y por qué la comunidad de TI no tiene prisa por abandonarlo? BGP ayuda a los enrutadores a tomar decisiones sobre dónde enrutar los enormes flujos de datos enviados a través de una enorme red de líneas de comunicación que se cruzan. BGP ayuda a los enrutadores a elegir las rutas adecuadas a pesar de que la red cambia constantemente y las rutas populares a menudo experimentan atascos de tráfico. El problema es que Internet no tiene un mapa de rutas global. Los enrutadores que utilizan BGP toman decisiones sobre la elección de una ruta u otra en función de la información que reciben de los vecinos en el ciberespacio, quienes a su vez recopilan información de sus vecinos, etc. Sin embargo, esta información puede falsificarse fácilmente, lo que significa que el enrutamiento BGP es muy vulnerable a los ataques MiTM. [8]
Por lo tanto, surgen regularmente preguntas como las siguientes: “¿Por qué el tráfico entre dos computadoras en Denver tomó un gran desvío a través de Islandia?”, “¿Por qué se transfirieron datos clasificados del Pentágono en tránsito a través de Beijing?” Hay respuestas técnicas a preguntas como estas, pero todas se reducen al hecho de que BGP funciona basándose en la confianza: confianza en las recomendaciones recibidas de los enrutadores vecinos. Gracias a la naturaleza confiable del protocolo BGP, misteriosos señores del tráfico pueden atraer flujos de datos de otras personas a su dominio si así lo desean. [8]
Un ejemplo vivo es el ataque del BGP de China al Pentágono estadounidense. En abril de 2010, el gigante estatal de las telecomunicaciones China Telecom envió a decenas de miles de enrutadores en todo el mundo, incluidos 16 en Estados Unidos, un mensaje BGP diciéndoles que tenían mejores rutas. Sin un sistema que pudiera verificar la validez de un mensaje BGP de China Telecom, los enrutadores de todo el mundo comenzaron a enviar datos en tránsito a través de Beijing. Incluido el tráfico desde el Pentágono y otros sitios del Departamento de Defensa de Estados Unidos. La facilidad con la que se redirige el tráfico y la falta de protección eficaz contra este tipo de ataques es otra señal de la inseguridad del enrutamiento BGP. [8]
El protocolo BGP es teóricamente vulnerable a un ciberataque aún más peligroso. En caso de que los conflictos internacionales se intensifiquen con toda su fuerza en el ciberespacio, China Telecom, o algún otro gigante de las telecomunicaciones, podría intentar reclamar la propiedad de partes de Internet que en realidad no le pertenecen. Tal medida confundiría a los enrutadores, que tendrían que rebotar entre ofertas competitivas por los mismos bloques de direcciones de Internet. Sin la capacidad de distinguir una aplicación legítima de una falsa, los enrutadores comenzarían a actuar de manera errática. Como resultado, nos enfrentaríamos al equivalente en Internet de una guerra nuclear: una muestra abierta y a gran escala de hostilidad. Tal desarrollo en tiempos de relativa paz parece poco realista, pero técnicamente es bastante factible. [8]
Un intento inútil de pasar de BGP a BGPSEC
La ciberseguridad no se tuvo en cuenta cuando se desarrolló BGP, porque en ese momento los ataques eran raros y el daño causado por ellos era insignificante. Los desarrolladores de BGP, como trabajaban para empresas de telecomunicaciones y estaban interesados en vender sus equipos de red, tenían una tarea más urgente: evitar averías espontáneas de Internet. Porque las interrupciones en Internet podrían alienar a los usuarios y, por tanto, reducir las ventas de equipos de red. [8]
Después del incidente con la transmisión del tráfico militar estadounidense a través de Beijing en abril de 2010, el ritmo de trabajo para garantizar la ciberseguridad del enrutamiento BGP ciertamente se aceleró. Sin embargo, los proveedores de telecomunicaciones han mostrado poco entusiasmo por asumir los costos asociados con la migración al nuevo protocolo de enrutamiento seguro BGPSEC, propuesto como reemplazo del inseguro BGP. Los proveedores todavía consideran que BGP es bastante aceptable, incluso a pesar de innumerables incidentes de intercepción de tráfico. [8]
Radia Perlman, apodada la “Madre de Internet” por inventar otro importante protocolo de red en 1988 (un año antes que BGP), obtuvo una profética tesis doctoral en el MIT. Perlman predijo que un protocolo de enrutamiento que dependa de la honestidad de los vecinos en el ciberespacio es fundamentalmente inseguro. Perlman abogó por el uso de la criptografía, que ayudaría a limitar la posibilidad de falsificación. Sin embargo, la implementación de BGP ya estaba en pleno apogeo, la influyente comunidad de TI estaba acostumbrada y no quería cambiar nada. Por lo tanto, después de las advertencias razonadas de Perlman, Clark y algunos otros destacados expertos mundiales, la proporción relativa de enrutamiento BGP criptográficamente seguro no ha aumentado en absoluto y sigue siendo del 0%. [8]
El enrutamiento BGP no es el único truco
Y el enrutamiento BGP no es el único truco que confirma la idea de que "nada es más permanente que las soluciones temporales". A veces Internet, al sumergirnos en mundos de fantasía, parece tan elegante como un coche de carreras. Sin embargo, en realidad, debido a los hacks apilados unos encima de otros, Internet se parece más a Frankenstein que a Ferrari. Porque estos hacks (más oficialmente llamados parches) nunca son reemplazados por tecnología confiable. Las consecuencias de este enfoque son nefastas: a diario y a cada hora, los ciberdelincuentes piratean sistemas vulnerables, ampliando el alcance del ciberdelito a proporciones antes inimaginables. [8]
Muchas de las fallas explotadas por los ciberdelincuentes se conocen desde hace mucho tiempo y se han conservado únicamente gracias a la tendencia de la comunidad de TI a resolver los problemas emergentes, con hacks/parches temporales. A veces, debido a esto, las tecnologías obsoletas se acumulan durante mucho tiempo, dificultando la vida de las personas y poniéndolas en peligro. ¿Qué pensarías si supieras que tu banco está construyendo su bóveda sobre cimientos de paja y barro? ¿Confiarías en él para conservar tus ahorros? [8]
La actitud despreocupada de Linus Torvalds
Pasaron años antes de que Internet llegara a sus primeros cien ordenadores. Hoy en día, cada segundo se conectan a él 100 nuevos ordenadores y otros dispositivos. A medida que aumentan los dispositivos conectados a Internet, también aumenta la urgencia de los problemas de ciberseguridad. Sin embargo, quien podría tener un mayor impacto en la solución de estos problemas es quien ve con desdén la ciberseguridad. Este hombre ha sido llamado genio, matón, líder espiritual y dictador benevolente. Linus Torvalds. La gran mayoría de dispositivos conectados a Internet ejecutan su sistema operativo, Linux. Rápido, flexible y gratuito: Linux se está volviendo cada vez más popular con el tiempo. Al mismo tiempo, se comporta de forma muy estable. Y puede funcionar sin reiniciar durante muchos años. Por eso Linux tiene el honor de ser el sistema operativo dominante. Casi todos los equipos computarizados disponibles hoy en día ejecutan Linux: servidores, equipos médicos, computadoras de vuelo, pequeños drones, aviones militares y mucho más. [9]
Linux tiene éxito en gran medida porque Torvalds enfatiza el rendimiento y la tolerancia a fallas. Sin embargo, pone este énfasis a expensas de la ciberseguridad. Incluso cuando el ciberespacio y el mundo físico real se entrelazan y la ciberseguridad se convierte en un problema global, Torvalds continúa resistiéndose a introducir innovaciones seguras en su sistema operativo. [9]
Por lo tanto, incluso entre muchos fanáticos de Linux, existe una creciente preocupación por las vulnerabilidades de este sistema operativo. En concreto, la parte más íntima de Linux, su kernel, en el que trabaja personalmente Torvalds. Los fanáticos de Linux ven que Torvalds no se toma en serio los problemas de ciberseguridad. Además, Torvalds se ha rodeado de desarrolladores que comparten esta actitud despreocupada. Si alguien del círculo íntimo de Torvalds empieza a hablar de introducir innovaciones seguras, inmediatamente lo anatematizan. Torvalds desestimó a un grupo de tales innovadores, llamándolos "monos masturbadores". Cuando Torvalds se despidió de otro grupo de desarrolladores preocupados por la seguridad, les dijo: “¿Seríais tan amables de suicidaros? El mundo sería un lugar mejor gracias a ello”. Siempre que se trataba de añadir funciones de seguridad, Torvalds siempre estaba en contra. [9] Torvalds tiene incluso toda una filosofía a este respecto, que no carece de una pizca de sentido común:
“La seguridad absoluta es inalcanzable. Por lo tanto, siempre debe considerarse sólo en relación con otras prioridades: velocidad, flexibilidad y facilidad de uso. Las personas que se dedican exclusivamente a brindar protección están locas. Su pensamiento es limitado, blanco y negro. La seguridad por sí sola es inútil. La esencia siempre está en otro lugar. Por lo tanto, no puede garantizar una seguridad absoluta, incluso si realmente lo desea. Por supuesto, hay personas que prestan más atención a la seguridad que Torvalds. Sin embargo, estos tipos simplemente están trabajando en lo que les interesa y brindando seguridad dentro del estrecho marco relativo que delinea estos intereses. No más. Por lo tanto, no contribuyen en modo alguno a aumentar la seguridad absoluta”. [9]
Barra lateral: OpenSource es como un barril de pólvora [10]
El código OpenSource ha ahorrado miles de millones en costos de desarrollo de software, eliminando la necesidad de duplicar esfuerzos: con OpenSource, los programadores tienen la oportunidad de utilizar las innovaciones actuales sin restricciones ni pagos. OpenSource se utiliza en todas partes. Incluso si contrató a un desarrollador de software para resolver su problema especializado desde cero, lo más probable es que este desarrollador utilice algún tipo de biblioteca OpenSource. Y probablemente más de uno. Por tanto, los elementos OpenSource están presentes en casi todas partes. Al mismo tiempo, debe entenderse que ningún software es estático; su código cambia constantemente. Por lo tanto, el principio de "configúrelo y olvídese" nunca funciona para el código. Incluyendo el código OpenSource: tarde o temprano será necesaria una versión actualizada.
En 2016, vimos las consecuencias de esta situación: un desarrollador de 28 años “rompió” Internet brevemente al borrar su código OpenSource, que previamente había puesto a disposición del público. Esta historia señala que nuestra ciberinfraestructura es muy frágil. Algunas personas, que apoyan proyectos OpenSource, son tan importantes en su mantenimiento que si, Dios no lo quiera, los atropella un autobús, Internet se estropeará.
El código difícil de mantener es donde se esconden las vulnerabilidades de ciberseguridad más graves. Algunas empresas ni siquiera se dan cuenta de lo vulnerables que son debido a un código difícil de mantener. Las vulnerabilidades asociadas con dicho código pueden madurar hasta convertirse en un problema real muy lentamente: los sistemas se pudren lentamente, sin demostrar fallas visibles en el proceso de descomposición. Y cuando fracasan, las consecuencias son fatales.
Finalmente, dado que los proyectos OpenSource suelen ser desarrollados por una comunidad de entusiastas, como Linus Torvalds o los hackers del Model Railroad Club mencionados al principio del artículo, los problemas con código difícil de mantener no se pueden resolver de manera tradicional (usando palancas comerciales y gubernamentales). Porque los miembros de dichas comunidades son voluntariosos y valoran su independencia por encima de todo.
Barra lateral: ¿Quizás los servicios de inteligencia y los desarrolladores de antivirus nos protejan?
En 2013, se supo que Kaspersky Lab tenía una unidad especial que realizaba investigaciones personalizadas de incidentes de seguridad de la información. Hasta hace poco, este departamento estaba dirigido por un ex mayor de policía, Ruslan Stoyanov, que anteriormente trabajó en el Departamento "K" de la capital (USTM de la Dirección Principal de Asuntos Internos de Moscú). Todos los empleados de esta unidad especial de Kaspersky Lab provienen de organismos encargados de hacer cumplir la ley, incluido el Comité de Investigación y la Dirección "K". [once]
A finales de 2016, el FSB arrestó a Ruslan Stoyanov y lo acusó de traición. En el mismo caso, fue arrestado Sergei Mikhailov, un alto representante del FSB CIB (centro de seguridad de la información), a quien, antes del arresto, estaba ligada toda la ciberseguridad del país. [once]
Barra lateral: Ciberseguridad aplicada
Pronto los empresarios rusos se verán obligados a prestar mucha atención a la ciberseguridad. En enero de 2017, Nikolai Murashov, representante del Centro para la Protección de la Información y Comunicaciones Especiales, afirmó que en Rusia, solo los objetos ICI (infraestructura de información crítica) fueron atacados más de 2016 millones de veces en 70. Los objetos de la CII incluyen sistemas de información de agencias gubernamentales, empresas de la industria de defensa, transporte, sectores crediticios y financieros, industrias de energía, combustibles y nucleares. Para protegerlos, el 26 de julio, el presidente ruso Vladimir Putin firmó un paquete de leyes “Sobre la seguridad de las ICI”. Antes del 1 de enero de 2018, cuando la ley entre en vigor, los propietarios de instalaciones CII deberán implementar una serie de medidas para proteger su infraestructura de ataques de piratas informáticos, en particular, conectarse a GosSOPKA. [12]
Bibliografía
- Jonatán Millet. // 2017.
- Ross Anderson. Cómo fallan los sistemas de pago con tarjetas inteligentes // Black Hat. 2014.
- SJ Murdoch. El chip y el PIN están rotos // Actas del Simposio IEEE sobre seguridad y privacidad. 2010. págs. 433-446.
- David Talbot. // Revisión de tecnología del MIT (digital). 2012.
- Craig Timberg. // El Washington Post. 2015.
- Miguel Lista. // Vida de Toronto. 2018.
- Craig Timberg. // El Washington Post. 2015.
- Craig Timberg. // El Washington Post. 2015.
- Craig Timberg. // El Washington Post. 2015.
- Josué Gans. // Harvard Business Review (digital). 2017.
- // CNoticias. 2017. URL.
- María Kolomychenko. // RBC. 2017.
Fuente: habr.com