Kui "mustad kübarad" - olles küberruumi metsiku metsa korrapidajad - osutuvad oma räpases töös eriti edukaks, hõiskab kollane meedia vaimustusest. Seetõttu hakkab maailm küberjulgeolekusse tõsisemalt suhtuma. Aga kahjuks mitte kohe. Seetõttu ei ole maailm vaatamata katastroofiliste küberintsidentide suurenemisele veel küps aktiivseteks ennetavateks meetmeteks. Siiski on oodata, et lähitulevikus hakkab maailm tänu "mustdele mütsidele" küberturvalisust tõsiselt võtma. [7]

Täpselt sama tõsine kui tulekahjud... Linnad olid kunagi katastroofiliste tulekahjude suhtes väga haavatavad. Hoolimata võimalikust ohust ei võetud aga ennetavaid kaitsemeetmeid – isegi pärast 1871. aasta hiigelpõlengut Chicagos, mis nõudis sadu inimelusid ja pani ümber sadu tuhandeid inimesi. Ennetavaid kaitsemeetmeid võeti alles pärast seda, kui sarnane katastroof kordus kolm aastat hiljem. Küberturvalisusega on sama lugu – maailm ei lahenda seda probleemi, kui just katastroofilisi juhtumeid ei juhtu. Kuid isegi kui sellised juhtumid juhtuvad, ei lahenda maailm seda probleemi kohe. [7] Seetõttu ei tööta isegi ütlus: "Kuni viga ei juhtu, meest ei lapitata." Seetõttu tähistasime 2018. aastal 30 aasta möödumist lokkavast ebakindlusest.

Lüüriline kõrvalepõige

Selle artikli algus, mille ma algselt ajakirjale System Administrator kirjutasin, osutus teatud mõttes prohvetlikuks. Selle artikliga ajakirja number läks välja sõna otseses mõttes päevast päeva koos traagilise tulekahjuga Kemerovo kaubanduskeskuses “Winter Cherry” (2018, 20. märts).

Installige Internet 30 minutiga

Legendaarne häkkerite galaktika L1988pht kuulutas 0. aastal enne mõjukaimate Lääne ametnike kohtumist täies jõus: „Teie arvutiseadmed on Interneti küberrünnakute suhtes haavatavad. Ja tarkvara, riistvara ja telekommunikatsioon. Nende müüjad ei ole sellise olukorra pärast üldse mures. Sest kaasaegne seadusandlus ei näe ette mingit vastutust hooletu lähenemise eest toodetava tarkvara ja riistvara küberturvalisuse tagamisel. Vastutus võimalike rikete eest (olenemata sellest, kas need on spontaansed või põhjustatud küberkurjategijate sekkumisest) lasub seadme kasutajal. Mis puutub föderaalvalitsusse, siis tal pole ei oskusi ega soovi seda probleemi lahendada. Seega, kui otsite küberturvalisust, pole Internet selle leidmiseks õige koht. Igaüks seitsmest teie ees istuvast inimesest võib Interneti täielikult katkestada ja sellega ühendatud seadmete üle täieliku kontrolli haarata. Iseenesest. 30 minutit koreograafilist klahvivajutust ja ongi tehtud. [7]

Ametnikud noogutasid tähendusrikkalt, andes mõista, et mõistavad olukorra tõsidust, kuid ei teinud midagi. Täna, täpselt 30 aastat pärast L0phti legendaarset esinemist, vaevab maailma endiselt "lohav ebakindlus". Arvutipõhise Interneti-ühendusega seadmete häkkimine on nii lihtne, et Interneti, mis oli algselt idealistlike teadlaste ja entusiastide kuningriik, on järk-järgult hõivanud kõige pragmaatilisemad spetsialistid: petturid, aferistid, spioonid, terroristid. Kõik nad kasutavad ära arvutiseadmete nõrkusi rahaliste või muude hüvede saamiseks. [7]

Müüjad eiravad küberturvalisust

Muidugi püüavad müüjad mõnikord mõnda tuvastatud turvaauku parandada, kuid nad teevad seda väga vastumeelselt. Sest nende kasum ei tulene mitte kaitsest häkkerite eest, vaid uutest funktsioonidest, mida nad tarbijatele pakuvad. Olles keskendunud ainult lühiajalisele kasumile, investeerivad müüjad raha ainult tegelike, mitte hüpoteetiliste probleemide lahendamiseks. Küberturvalisus on paljude silmis hüpoteetiline asi. [7]

Küberturvalisus on nähtamatu, immateriaalne asi. See muutub käegakatsutavaks alles siis, kui sellega seoses tekivad probleemid. Kui nad selle eest hästi hoolitsesid (nad kulutasid selle pakkumisele palju raha) ja sellega pole probleeme, ei taha lõpptarbija selle eest enam maksta. Lisaks nõuab kaitsemeetmete rakendamine lisaks finantskulude suurenemisele täiendavat arendusaega, nõuab seadmete võimaluste piiramist ja toob kaasa selle tootlikkuse languse. [8]

Loetletud kulude otstarbekuses on raske veenda isegi meie endi turundajaid, rääkimata lõpptarbijatest. Ja kuna kaasaegseid müüjaid huvitab vaid lühiajaline müügikasum, ei kipu nad sugugi vastutama oma loomingu küberturvalisuse tagamise eest. [1] Seevastu hoolikamad müüjad, kes on hoolitsenud oma seadmete küberturvalisuse eest, seisavad silmitsi tõsiasjaga, et ettevõtete tarbijad eelistavad odavamaid ja lihtsamini kasutatavaid alternatiive. See. On ilmne, et ka ettevõtete tarbijad ei hooli küberturvalisusest. [8]

Ülaltoodut silmas pidades pole üllatav, et müüjad kipuvad küberturvalisust eirama ja järgivad järgmist filosoofiat: „Jätkake ehitamist, müüge ja vajadusel parandage. Kas süsteem on kokku jooksnud? Kadunud teave? Krediitkaardinumbrite andmebaas varastati? Kas teie seadmetes on tuvastatud surmavaid haavatavusi? Pole probleemi!" Tarbijad peavad omakorda järgima põhimõtet: „Pappige ja palvetage." [7]

Kuidas see juhtub: näited loodusest

Ilmekas näide küberturvalisuse tähelepanuta jätmisest arenduse ajal on Microsofti ettevõtete ergutusprogramm: „Kui jätate tähtaegadest mööda, määratakse teile trahv. Kui teil pole aega oma uuenduse väljaannet õigeaegselt esitada, siis seda ei rakendata. Kui seda ei rakendata, ei saa te ettevõtte aktsiaid (tükikest Microsofti kasumist). Alates 1993. aastast hakkas Microsoft oma tooteid aktiivselt Internetiga siduma. Kuna see algatus toimis sama motivatsiooniprogrammi alusel, laienes funktsionaalsus kiiremini, kui kaitses sellega sammu pidada. Pragmaatiliste haavatavusküttide rõõmuks... [7]

Teine näide on olukord arvutite ja sülearvutitega: nendega ei ole kaasas eelinstallitud viirusetõrjet; ja need ei näe ette ka tugevate paroolide eelseadistust. Eeldatakse, et lõppkasutaja installib viirusetõrje ja määrab turvakonfiguratsiooni parameetrid. [1]

Teine, ekstreemsem näide: olukord jaemüügiseadmete (kassaaparaadid, kaubanduskeskuste PoS-terminalid jne) küberturvalisusega. Juhtus nii, et kommertsseadmete müüjad müüvad ainult seda, mida müüakse, mitte seda, mis on ohutu. [2] Kui kommertsseadmete müüjad küberturvalisuse osas millestki hoolivad, on see selle tagamine, et vastuolulise intsidendi korral langeb vastutus teistele. [3]

Näide sellest sündmuste arengust: pangakaartide EMV standardi populariseerimine, mis tänu pangaturundajate kompetentsele tööle ilmub tehniliselt mittekeerulise avalikkuse silmis turvalisema alternatiivina “aegunud” magnetkaardid. Samal ajal oli EMV standardi väljatöötamise eest vastutava panganduse peamiseks motiiviks vastutuse nihutamine pettuste eest (mis toimus kaardiandjate süül) - kauplustelt tarbijatele. Kui varem (kui maksti magnetkaartidega), lasus deebet/krediidi lahknevuste eest rahaline vastutus kauplustel. [3] Seega makseid töötlevad pangad panevad vastutuse kas kaupmeestele (kes kasutavad oma kaugpangandussüsteeme) või maksekaarte väljastavatele pankadele; kaks viimast lükkavad omakorda vastutuse kaardiomanikule. [2]

Müüjad takistavad küberturvalisust

Kuna digitaalne ründepind pöördumatult laieneb – tänu Interneti-ühendusega seadmete plahvatuslikule kasvule –, muutub ettevõtte võrguga ühendatud asjade jälgimine üha keerulisemaks. Samal ajal suunavad müüjad mured kõigi internetti ühendatud seadmete ohutuse pärast lõppkasutajale [1]: "Uppujate päästmine on uppujate endi töö."

Müüjad mitte ainult ei hooli oma loomingu küberturvalisusest, vaid mõnel juhul segavad ka selle pakkumist. Näiteks kui 2009. aastal lekkis Confickeri võrguuss Beth Israeli meditsiinikeskusesse ja nakatas osa seal olevatest meditsiiniseadmetest, otsustas selle meditsiinikeskuse tehniline direktor, et vältida sarnaste juhtumite esinemist tulevikus. toimimise tugifunktsioon seadmetes, mida võrguga uss mõjutab. Siiski seisis ta silmitsi tõsiasjaga, et "regulatiivsete piirangute tõttu ei saanud seadmeid värskendada". Tal kulus märkimisväärseid jõupingutusi, et pidada läbirääkimisi müüjaga võrgufunktsioonide keelamiseks. [4]

Interneti põhiline küberturvalisus

Legendaarne MIT-i professor David Clarke, kelle geenius pälvis talle hüüdnime "Albus Dumbledore", mäletab päeva, mil maailmale paljastati Interneti varjukülg. Clark juhatas 1988. aasta novembris telekommunikatsioonikonverentsi, kui levis uudis, et ajaloo esimene arvutiuss on võrgujuhtmetest läbi libisenud. Clark mäletas seda hetke, sest tema konverentsil esinenud esineja (ühe juhtiva telekommunikatsiooniettevõtte töötaja) peeti selle ussi leviku eest vastutavaks. See kõneleja ütles emotsioonide kuumuses tahtmatult: "Siin lähete!" Tundub, et olen selle haavatavuse sulgenud,” maksis ta nende sõnade eest. [5]

Hiljem selgus aga, et haavatavus, mille kaudu mainitud uss levis, polnud ühegi üksiku inimese teene. Ja see ei olnud rangelt võttes isegi haavatavus, vaid Interneti põhiomadus: Interneti rajajad keskendusid oma vaimusünnituse arendamisel eranditult andmeedastuskiirusele ja tõrketaluvusele. Nad ei seadnud endale ülesandeks tagada küberturvalisus. [5]

Tänapäeval, aastakümneid pärast Interneti asutamist – kuna sadu miljardeid dollareid on juba kulutatud asjatutele küberturvalisuse katsetele – pole Internet vähem haavatav. Selle küberturvalisuse probleemid muutuvad iga aastaga ainult hullemaks. Kas meil on siiski õigus Interneti rajajaid selle eest hukka mõista? Keegi ei mõista ju näiteks kiirteede ehitajaid hukka selle eest, et „nende teedel“ juhtub õnnetusi; ja keegi ei mõista linnaplaneerijaid hukka selle eest, et "nende linnades" toimub röövimine. [5]

Kuidas häkkerite subkultuur sündis

Häkkerite subkultuur tekkis 1960. aastate alguses “Raudtee tehnilise modelleerimise klubis” (mis tegutses Massachusettsi Tehnoloogiainstituudi seinte vahel). Klubi entusiastid kavandasid ja panid kokku raudteemudel, mis oli nii suur, et täitis kogu ruumi. Klubiliikmed jagunesid spontaanselt kahte rühma: rahuvalvajad ja süsteemispetsialistid. [6]

Esimene töötas mudeli maapealse osaga, teine - maa-aluse osaga. Esimesed kogusid ja kaunistasid rongide ja linnade makette: modelleerisid miniatuurselt kogu maailma. Viimane töötas kogu selle rahutegemise tehnilise toe kallal: mudeli maa-aluses osas asuvate juhtmete, releede ja koordinaatlülitite keerukus - kõik, mis juhtis "maapealset" osa ja toitis seda energiaga. [6]

Kui tekkis liiklusprobleem ja keegi leidis selle lahendamiseks uue ja geniaalse lahenduse, nimetati seda lahendust "häkkimiseks". Klubiliikmete jaoks on uute häkkide otsimisest saanud elu sisemine tähendus. Seetõttu hakkasid nad end "häkkeriteks" kutsuma. [6]

Esimese põlvkonna häkkerid rakendasid Simulatsiooniraudtee klubis omandatud oskusi perfokaartidele arvutiprogramme kirjutades. Siis, kui ARPANET (Interneti eelkäija) 1969. aastal ülikoolilinnakusse jõudis, said häkkeritest selle kõige aktiivsemad ja osavamad kasutajad. [6]

Nüüd, aastakümneid hiljem, meenutab kaasaegne Internet mudelraudtee seda väga "maa-alust" osa. Kuna selle asutajad olid samad häkkerid, “Railroad Simulation Clubi” õpilased. Ainult häkkerid haldavad nüüd simuleeritud miniatuuride asemel tõelisi linnu. [6]

Kuidas BGP marsruutimine kujunes

80. aastate lõpuks jõudis Internet Internetiga ühendatud seadmete arvu laviinilaadse suurenemise tulemusel ühe põhilise Interneti-protokolli sisse ehitatud kõvale matemaatilisele piirile. Seetõttu kujunes igasugune vestlus tolleaegsete inseneride vahel lõpuks selle probleemi aruteluks. Kaks sõpra polnud erand: Jacob Rechter (IBM-i insener) ja Kirk Lockheed (Cisco asutaja). Olles juhuslikult õhtusöögilauas kohtunud, hakkasid nad arutama meetmeid Interneti funktsionaalsuse säilitamiseks. Sõbrannad panid kirja ideed, mis tekkisid selle peale, mis kätte sattus - ketšupiga plekitud salvrätikul. Siis teine. Siis kolmas. "Kolme salvrätiku protokoll", nagu selle leiutajad seda naljaga pooleks nimetasid – ametlikes ringkondades tuntud kui BGP (Border Gateway Protocol) – muutis peagi Internetis revolutsiooni. [8]

Rechteri ja Lockheedi jaoks oli BGP lihtsalt juhuslik häkkimine, mis töötati välja eespool nimetatud Model Railroad Clubi vaimus, ajutine lahendus, mis peagi asendatakse. Sõbrad arendasid BGP välja 1989. aastal. Kuid täna, 30 aastat hiljem, suunatakse suurem osa Interneti-liiklusest endiselt "kolme salvrätiku protokolli" kasutades – hoolimata üha murettekitavamatest kõnedest selle küberturvalisusega seotud kriitiliste probleemide kohta. Ajutisest häkkimisest sai üks peamisi Interneti-protokolle ja selle arendajad õppisid oma kogemusest, et "pole midagi püsivamat kui ajutised lahendused". [8]

Võrgud üle maailma on üle läinud BGP-le. Mõjukad müüjad, jõukad kliendid ja telekommunikatsiooniettevõtted armusid BGP-sse kiiresti ja harjusid sellega. Seetõttu ei näita IT-avalikkus endiselt entusiasmi uutele turvalisematele seadmetele üleminekuks, isegi vaatamata üha enamatele häirekelladele selle protokolli ebaturvalisuse kohta. [8]

Küberebaturvaline BGP-marsruutimine

Miks on BGP marsruutimine nii hea ja miks IT-kogukond ei kiirusta sellest loobuma? BGP aitab ruuteritel teha otsuseid selle kohta, kuhu suunata tohutuid andmevooge, mis on saadetud läbi tohutu ristuvate sideliinide võrgu. BGP aitab ruuteritel valida sobivad teed, kuigi võrk muutub pidevalt ja populaarsetel marsruutidel esineb sageli liiklusummikuid. Probleem on selles, et Internetil pole globaalset marsruutimiskaarti. BGP-d kasutavad ruuterid teevad otsuseid ühe või teise tee valimise kohta küberruumis naabritelt saadud teabe põhjal, kes omakorda koguvad teavet oma naabritelt jne. Seda teavet saab aga kergesti võltsida, mis tähendab, et BGP-marsruutimine on MiTM-i rünnakute suhtes väga haavatav. [8]

Seetõttu tekivad regulaarselt sellised küsimused: "Miks läks Denveris kahe arvuti vaheline liiklus tohutult läbi Islandi?", "Miks kanti Pentagoni salastatud andmeid kunagi läbi Pekingi?" Sellistele küsimustele on tehnilised vastused, kuid need kõik taanduvad tõsiasjale, et BGP töötab usaldusel: usaldus naaberruuteritelt saadud soovituste vastu. Tänu BGP-protokolli usalduslikule olemusele saavad salapärased liiklusülemad soovi korral meelitada teiste inimeste andmevooge oma domeeni. [8]

Elav näide on Hiina BGP rünnak Ameerika Pentagoni vastu. 2010. aasta aprillis saatis riiklik telekomihiiglane China Telecom üle maailma kümneid tuhandeid ruutereid, sealhulgas 16 8 USA-sse, BGP-sõnumi, mis teatas, et neil on paremad marsruudid. Ilma süsteemita, mis võiks kontrollida China Telecomi BGP-sõnumi kehtivust, hakkasid kogu maailma ruuterid Pekingi kaudu andmeid saatma. Sealhulgas liiklus Pentagonist ja teistest USA kaitseministeeriumi saitidest. Liikluse ümbersuunamise lihtsus ja tõhusa kaitse puudumine seda tüüpi rünnakute vastu on veel üks märk BGP-marsruutimise ebaturvalisusest. [XNUMX]

BGP-protokoll on teoreetiliselt haavatav veelgi ohtlikuma küberrünnaku suhtes. Juhul, kui rahvusvahelised konfliktid küberruumis täies jõus eskaleeruvad, võib China Telecom või mõni muu telekommunikatsioonihiiglane püüda endale nõuda Interneti osade omandiõigust, mis tegelikult talle ei kuulu. Selline samm segaks ruuterid, mis peaksid samade Interneti-aadresside plokkide jaoks konkureerivate pakkumiste vahel põrgatama. Ilma võimaluseta eristada seaduslikku rakendust võltsitud rakendusest, hakkaksid ruuterid käituma ebakorrektselt. Selle tulemusel seisaksime silmitsi tuumasõja Interneti-ekvivalendiga – avatud ja laiaulatusliku vaenulikkuse näitamisega. Selline areng suhtelise rahu ajal tundub ebareaalne, kuid tehniliselt on see üsna teostatav. [8]

Mõttetu katse liikuda BGP-lt BGPSEC-ile

Küberturvalisusega BGP väljatöötamisel ei arvestatud, sest tol ajal oli häkkimine haruldane ja nendest tulenev kahju oli tühine. Kuna BGP arendajad töötasid telekommunikatsiooniettevõtetes ja olid huvitatud oma võrguseadmete müügist, oli neil pakilisem ülesanne: vältida Interneti spontaanseid rikkeid. Kuna Interneti-katkestused võivad kasutajaid võõrandada ja seeläbi vähendada võrguseadmete müüki. [8]

Pärast 2010. aasta aprillis toimunud intsidenti Ameerika sõjaväeliikluse edastamisega läbi Pekingi kiirenes kindlasti töötempo BGP marsruutimise küberturvalisuse tagamiseks. Kuid telekommunikatsioonimüüjad on näidanud üles vähe entusiasmi kulude kandmisel, mis on seotud üleminekuga uuele turvalisele marsruutimisprotokollile BGPSEC, mis on pakutud ebaturvalise BGP asendamiseks. Müüjad peavad BGP-d endiselt üsna vastuvõetavaks, isegi vaatamata lugematutele liikluse pealtkuulamisjuhtumitele. [8]

Radia Perlman, keda nimetati "Interneti emaks" teise suure võrguprotokolli leiutamise eest 1988. aastal (aasta enne BGP-d), teenis MIT-is prohvetliku doktorikraadi. Perlman ennustas, et küberruumis naabrite aususest sõltuv marsruutimisprotokoll on põhimõtteliselt ebakindel. Perlman pooldas krüptograafia kasutamist, mis aitaks piirata võltsimise võimalust. BGP juurutamine oli aga juba täies hoos, mõjukas IT-kogukond oli sellega harjunud, ega tahtnud midagi muuta. Seetõttu ei ole pärast Perlmani, Clarki ja mõne teise silmapaistva maailmaeksperdi põhjendatud hoiatusi krüptograafiliselt turvalise BGP-marsruutimise suhteline osatähtsus sugugi kasvanud ja on endiselt 0%. [8]

BGP-marsruutimine pole ainus häkkimine

Ja BGP-marsruutimine pole ainus häkkimine, mis kinnitab ideed, et "miski pole püsivam kui ajutised lahendused". Mõnikord tundub meid fantaasiamaailmadesse sukelduv Internet sama elegantne kui võidusõiduauto. Tegelikkuses sarnaneb Internet aga üksteise otsa kuhjatud häkkide tõttu rohkem Frankensteiniga kui Ferrariga. Sest neid häkke (ametliku nimetusega plaastrid) ei asendata kunagi usaldusväärse tehnoloogiaga. Selle lähenemisviisi tagajärjed on kohutavad: küberkurjategijad tungivad iga päev ja iga tund haavatavatesse süsteemidesse, laiendades küberkuritegevuse ulatust varem kujuteldamatutesse mõõtmetesse. [8]

Paljud küberkurjategijate poolt ära kasutatud vead on olnud teada juba pikka aega ja need on säilinud üksnes tänu IT-kogukonna kalduvusele lahendada esilekerkivaid probleeme – ajutiste häkkimiste/paikade abil. Mõnikord kuhjuvad vananenud tehnoloogiad seetõttu pikaks ajaks üksteise otsa, muutes inimeste elu keeruliseks ja seades nad ohtu. Mida arvate, kui saaksite teada, et teie pank ehitab oma varahoidla õlgedest ja mudast vundamendile? Kas usaldaksite, et ta hoiab teie säästud? [8]

Linus Torvaldsi muretu suhtumine

Kulus aastaid, enne kui Internet jõudis esimese saja arvutini. Täna ühendatakse sellega igas sekundis 100 uut arvutit ja muud seadet. Kuna Interneti-ühendusega seadmed plahvatuslikult kasvavad, kasvavad ka küberjulgeolekuprobleemid. Inimene, kes võiks nende probleemide lahendamisel kõige rohkem mõjutada, on aga see, kes suhtub küberturvalisusesse põlgusega. Seda meest on nimetatud geeniuseks, kiusajaks, vaimseks juhiks ja heatahtlikuks diktaatoriks. Linus Torvalds. Valdav enamus Internetti ühendatud seadmeid käitavad selle operatsioonisüsteemi Linux. Kiire, paindlik, tasuta – Linux muutub aja jooksul aina populaarsemaks. Samas käitub väga stabiilselt. Ja see võib töötada ilma taaskäivitamiseta mitu aastat. Seetõttu on Linuxil au olla domineeriv operatsioonisüsteem. Peaaegu kõik meie käsutuses olevad arvutiseadmed käitavad Linuxit: serverid, meditsiiniseadmed, lennuarvutid, pisikesed droonid, sõjalennukid ja palju muud. [9]

Linux õnnestub suuresti seetõttu, et Torvalds rõhutab jõudlust ja veataluvust. Selle rõhuasetuse paneb ta aga küberturvalisuse arvelt. Isegi kui küberruum ja reaalne füüsiline maailm põimuvad ning küberturvalisus muutub ülemaailmseks probleemiks, on Torvalds jätkuvalt vastu oma operatsioonisüsteemi turvaliste uuenduste juurutamisele. [9]

Seetõttu on isegi paljude Linuxi fännide seas kasvav mure selle operatsioonisüsteemi haavatavuste pärast. Eelkõige Linuxi kõige intiimsem osa, selle kernel, mille kallal Torvalds isiklikult töötab. Linuxi fännid näevad, et Torvalds ei võta küberturvalisuse küsimusi tõsiselt. Pealegi on Torvalds ümbritsenud end arendajatega, kes jagavad seda muretut suhtumist. Kui keegi Torvaldsi lähiringkonnast hakkab rääkima ohutute uuenduste juurutamisest, läheb ta kohe närvi. Torvalds vallandas ühe rühma selliseid uuendajaid, nimetades neid "masturbeerivateks ahvideks". Kui Torvalds teise turvateadlike arendajate rühmaga hüvasti jättis, ütles ta neile: "Kas te oleksite nii lahke ja tapaksite end ära. Maailm oleks tänu sellele parem paik. Alati, kui oli vaja turvaelemente lisada, oli Torvalds alati selle vastu. [9] Torvaldsil on selles osas isegi terve filosoofia, mis ei jää ilma terve mõistuse terakeseta:

"Absoluutne turvalisus on saavutamatu. Seetõttu tuleks seda alati kaaluda ainult seoses muude prioriteetidega: kiirus, paindlikkus ja kasutusmugavus. Inimesed, kes pühenduvad täielikult kaitse pakkumisele, on hullud. Nende mõtlemine on piiratud, must-valge. Turvalisus iseenesest on kasutu. Sisu on alati kusagil mujal. Seetõttu ei saa te absoluutset turvalisust tagada, isegi kui soovite. Muidugi on inimesi, kes pööravad ohutusele rohkem tähelepanu kui Torvalds. Kuid need tüübid töötavad lihtsalt selle kallal, mis neid huvitab, ja pakuvad turvalisust kitsas suhtelises raamistikus, mis neid huve piiritleb. Mitte rohkem. Seega ei aita need kuidagi kaasa absoluutse turvalisuse suurendamisele. [9]

Külgriba: OpenSource on nagu pulbritünn [10]

OpenSource kood on säästnud miljardeid tarkvaraarenduse kulusid, välistades vajaduse dubleerivate jõupingutuste järele: OpenSource'iga on programmeerijatel võimalus kasutada praeguseid uuendusi ilma piirangute ja tasuta. OpenSource'i kasutatakse kõikjal. Isegi kui palkasite tarkvaraarendaja, kes lahendaks oma spetsialiseeritud probleemi nullist, kasutab see arendaja tõenäoliselt mingit avatud lähtekoodiga teeki. Ja ilmselt rohkem kui üks. Seega on OpenSource elemendid olemas peaaegu kõikjal. Samas tuleb mõista, et ükski tarkvara pole staatiline, selle kood muutub pidevalt. Seetõttu ei tööta koodi puhul kunagi põhimõte "seadista ja unusta". Kaasa arvatud OpenSource kood: varem või hiljem on vaja uuendatud versiooni.

2016. aastal nägime selle olukorra tagajärgi: 28-aastane arendaja "murdas" korraks Interneti, kustutades oma OpenSource koodi, mille ta oli varem avalikult kättesaadavaks teinud. See lugu juhib tähelepanu sellele, et meie küberinfrastruktuur on väga habras. Mõned inimesed – kes toetavad OpenSource’i projekte – on selle ülalpidamiseks nii olulised, et kui jumal hoidku, nad bussi alla jäävad, läheb internet katki.

Raskesti hooldatav kood on koht, kus varitsevad kõige tõsisemad küberturvalisuse haavatavused. Mõned ettevõtted isegi ei mõista, kui haavatavad nad on raskesti hooldatava koodi tõttu. Sellise koodiga seotud haavatavused võivad küpseda tõeliseks probleemiks väga aeglaselt: süsteemid mädanevad aeglaselt, ilma et mädanemisprotsessis ilmneks nähtavaid tõrkeid. Ja kui need ebaõnnestuvad, on tagajärjed saatuslikud.

Lõpuks, kuna avatud lähtekoodiga projekte arendab tavaliselt entusiastide kogukond, nagu Linus Torvalds või nagu artikli alguses mainitud Model Railroad Clubi häkkerid, ei saa raskesti hooldatava koodiga seotud probleeme lahendada traditsioonilistel viisidel (kasutades kaubandus- ja valitsushoovad). Sest selliste kogukondade liikmed on tahtlikud ja hindavad oma sõltumatust üle kõige.

Külgriba: võib-olla kaitsevad meid luureteenused ja viirusetõrjearendajad?

2013. aastal sai teatavaks, et Kaspersky Labil oli spetsiaalne üksus, mis viis läbi infoturbeintsidentide kohandatud uurimisi. Kuni viimase ajani juhtis seda osakonda endine politseimajor Ruslan Stojanov, kes töötas varem pealinna K-osakonnas (Moskva siseasjade peadirektoraadi USTM). Kõik selle Kaspersky Labi eriüksuse töötajad pärinevad õiguskaitseasutustest, sealhulgas juurdluskomiteest ja direktoraadist K. [üksteist]

2016. aasta lõpus vahistas FSB Ruslan Stojanovi ja esitas talle süüdistuse riigireetmises. Samas juhtumis vahistati FSB CIB (infoturbekeskuse) kõrge esindaja Sergei Mihhailov, kelle külge oli enne vahistamist seotud kogu riigi küberjulgeolek. [üksteist]

Külgriba: küberturvalisus jõustatud

Peagi on Venemaa ettevõtjad sunnitud pöörama tõsist tähelepanu küberturvalisusele. 2017. aasta jaanuaris väitis infokaitse ja erikommunikatsiooni keskuse esindaja Nikolai Murašov, et ainuüksi Venemaal rünnati 2016. aastal CII objekte (kriitilist infoinfrastruktuuri) üle 70 miljoni korra. CII objektide hulka kuuluvad riigiasutuste, kaitsetööstuse ettevõtete, transpordi-, krediidi- ja finantssektori, energeetika-, kütuse- ja tuumatööstuse infosüsteemid. Nende kaitsmiseks allkirjastas Venemaa president Vladimir Putin 26. juulil seaduste paketi "CII ohutuse kohta". 1. jaanuariks 2018, kui seadus jõustub, peavad CII-rajatiste omanikud rakendama meetmete komplekti, et kaitsta oma infrastruktuuri häkkerite rünnakute eest, eelkõige ühenduma GosSOPKA-ga. [12]

Bibliograafia