Kui "mustad kübarad", olles metsiku küberruumi sanitaartöötajad, osutuvad oma mustas töös eriti edukaks, hüüavad kollased meedia rõõmujoovastuses. Selle tulemusena hakkab maailm küberjulgeolekule tõsisemalt vaatama. Kuid kahjuks mitte kohe. Seetõttu, hoolimata kasvavast katastroofiliste küberintsidentide arvust, pole maailm veel valmis aktiivseteks ennetavateks meetmeteks. Kuid oodatakse, et peagi hakkab maailm "mustade kübarate" tõttu küberjulgeolekule tõsiselt vaatama. [7]

Nii tõsiselt, kui ka tuleoht... Kunagi olid linnad katastroofilistele tulekahjudele väga haavatavad. Kuid vaatamata võimalikele ohtudele ei olnud ennetavaid kaitsemeetmeid astutud – isegi pärast tohutut Chicago tulekahju 1871. aastal, mis võttis sadu elusid ja jättis sajad tuhanded inimesed kodutuks. Ennetavaid meetmeid hakati rakendama alles pärast seda, kui sarnane katastroof kordus kolm aastat hiljem. Sama on ka küberjulgeolekuga – maailm ei hakka seda probleemi lahendama, kui ei toimu katastroofilisi juhtumeid. Kuid isegi kui sellised juhtumid toimub, ei hakka maailm seda probleemi kohe lahendama. [7] Seetõttu töötavad isegi vanasõnad: „Kuni viga ei pauku, mees ei patchi,” mitte päris õigesti. Seetõttu tähistasime 2018. aastal 30. aastapäeva kontrollimatust haavatavusest.
Lühiülevaade
Selle artikli algus, mille ma algselt kirjutasin ajakirjale „Süsteemihaldur”, osutus mingil moel etteennustavaks. Ajakirja number koos selle artikliga literally päev päevalt traagilise tulekahju ajal Kemerovo kaubanduskeskuses „Talvine kirsiõis” (2018, märtsi 20. kuupäevad).

Interneti üles panemine 30 minutiga
Juba 1988. aastal kuulsa häkkerigruppi L0pht, esinedes täielikus koosseisus kõige mõjukamate läänlasest ametnike kogunemisel, ütles: „Teie arvutiseade on veebist tulevate küberrünnakute ohtudele avatud. Nii tarkvara, riistvara kui ka telekommunikatsioonide osas. Nende tootjate jaoks ei too see olukord mingeid tagajärgi, sest tänapäeva seadusanduses puudub vastutus kodeerimise ja riistvara küberkaitse tagamise näol. Vastutus võimalike tõrgete (olgu need iseeneslikud või küberkurjategijate poolt põhjustatud) eest lasub ainult seadme kasutajal. Mis puutub föderaalvalitsusse, siis tal puuduvad selle probleemi lahendamiseks nii oskused kui ka tahe. Seetõttu, kui otsite küberkaitset, siis Internet ei ole koht, kus seda leida. Iga seitse inimest, kes teie ees istuvad, saavad Internetti täielikult purustada ja seega täieliku kontrolli alla võtta sellega seotud varade üle. Üksinda. 30 minuti jooksul klaviatuuri kunstilise klõbistamisega – ja asi on tehtud.” [7]

Ametnikud noogutasid mitmeti, andes mõista, et mõistavad olukorra tõsidust, kuid ei teinud siiski midagi. Täna, täpselt 30 aastat pärast legendaarset L0pht'i esinemist, on maailmas endiselt valitsenud "vaba ja kaitsmata" olukord. Internetiga seotud arvutitehnoloogia häkkimine on nii lihtne, et Internet, mis algselt oli ideaalist meelestatuses teadlaste ja entusiastide kuningriik, on järk-järgult okupeeritud kõige pragmaatilisemate spetsialistide: petiste, afäärimeeste, spioonide ja terroristide poolt. Kõik nad kasutavad arvutitehnoloogia haavatavusi, et teenida rahalist või muud kasu. [7]
Tarnijad eiravad küberjulgeolekut
Tarnijad proovivad mõnikord tõepoolest lahendada teatud leitud haavatavusi, kuid nad teevad seda üsna vastumeelselt. Seda seetõttu, et kasumit toob neile mitte küberkurjategijate kaitsmine, vaid uus funktsionaalsus, mida nad tarbijatele pakuvad. Keskendudes ainult lühiajalisele kasumile, investeerivad tarnijad raha ainult reaalses probleemidesse, mitte hüpoteetilistesse. Küberjulgeolek on paljude jaoks hüpoteetiline asi. [7]
Küberjulgeolek on nähtamatu, käegakatsutav asi. See muutub käegakatsutavaks ainult siis, kui tekivad probleemid. Kui sellest on hästi hooldatud (palju raha kulutatud selle tagamiseks) ja probleeme ei esine, ei soovi lõpptarbija selle eest üle maksta. Lisaks sellele, et kulud suurenevad, nõuab kaitsemeetmete rakendamine ka täiendavat aega arenduseks, piirab seadmete võimalusi ja toob kaasa nende jõudluse languse. [8]
On raske veenda isegi oma turundajaid loetletud kulude mõttekuses, rääkimata lõppkasutajatest. Tänapäeva tootjatele huvitab ainult lühiajaline kasum müügist, mistõttu nad ei ole üldse kalduvad võtma vastutust oma loometegevuse küberjulgeoleku tagamise eest. [1] Teisest küljest seisavad hoolivamad tootjad, kes on siiski hoolitsenud oma seadmete küberjulgeoleku eest, silmitsi sellega, et corporate-kliendid eelistavad odavamaid ja lihtsamaid alternatiive. Seetõttu on ilmselge, et corporate-kliendid ei ole küberjulgeoleku osas samuti väga mures. [8]
Selles valguses pole üllatav, et tootjad kalduvad küberjulgeolekust kõrvale hoidma ja järgivad järgmist filosoofiat: „Ehita edasi, müü edasi ja vajadusel tee plaastrid. Süsteem kukkus kokku? Andmed kadusid? Krediitkaartide arvude andmebaas varastati? Seadmest leiti kustutamatud haavatavused? Pole hullu!“ Vastutajatel tuleb omakorda järgida põhimõtet: „Plaastrit ja palvet.“ [7]

Kuidas see toimub: näited loodusest
Silmapaistev näide küberjulgeoleku eiramist arendamisel on Microsofti ettevõtte motiveerimisprogramm: "Hilinesite tähtaegadega – makske trahvi. Ei jõudnud oma innovatsiooni kasutuselevõttu õigel ajal – see ei pea vastu. Kui see ei pea vastu – ei saa aktsiaid (tükki Microsofti kasumist)." Alates 1993. aastast hakkas Microsoft oma tooteid tugevalt Internetiga siduma. Kuna see algatus toimis samade motiivide raames, laienesid funktsionaalsused kiiremini kui kaitse suudeti nendele järele jõuda. Pragmaatiliste haavatavuste jahimeeste rõõmuks… [7]
Teine näide on olukord arvutite ja sülearvutitega: need ei tule eelnevalt installitud viirusetõrjeprogrammiga; samuti ei ole eeldatud, et nendes oleksid eelnevalt kindlad paroolid. Eeldatakse, et viirusetõrje installib ja turvaseadeid konfigureerib lõppkasutaja. [1]
Veel ekstreemsem näidet, nagu turvaprobleemide olukord kaubandusseadmete (kassaaparaadid, PoS-terminalid kaubanduskeskustes jne) osas. Nii on tavaks, et kaubandusseadmete müüjad pakuvad müügiks ainult seda, mis müüb, mitte seda, mis on turvaline. [2] Kui kaubandusseadmete müüjad üldse muret tunnevad küberjulgeoleku pärast, siis on see ikka ainult selleks, et vaidlusliku juhtumi korral vastutus langeks teistele. [3]
Silmatuks näide sellisest olukorrast: EMV-standardite populariseerimine pangakaartidele, mis tänu pankade turundajate oskuslikule tööle tundub tehniliste teadmistega kogenematule publikule kui turvalisem alternatiiv "vananenud" magnetkaartidele. Samas on pangandussektori peamine motivatsioon, mis vastutab EMV-standardite väljatöötamise eest, olnud kanda vastutus pettuste juhtumite (mis toimuvad kaardivarguste tõttu) kauplustelt ostjatele. Varem (kui makseid tehti magnetkaartidega) lasus finantsvastutus debiidi/krediidi erinevuste korral kaupluste peal. [3] Seega, pangad, kes töötlevad makseid, suunavad vastutuse kas müüjatele (kes kasutavad nende kaugpanganduse süsteeme) või kaartide väljaandvatele pankadele; viimased omakorda suunavad vastutuse kaardiga hoidjale. [2]
Müüjad takistavad küberjulgeoleku tagamist.
Digitaalsete rünnakute pinnase pideva laienemisega – tänu plahvatuslikule kasvule Interneti-seadmete arvus – muutub ettevõtte võrku ühendatud seadmete jälgimine üha keerulisemaks. Samal ajal kantakse kogu Interneti-seadmete turvalisuse eest vastutus lõppkasutajale [1]: "Ujumisvõimetute päästmine on päästjate enda teha."
Kaugel sellest, et tootjad hooliksid oma loomingute küberjulgeolekust, takistavad nad mõnikord isegi selle tagamist. Näiteks kui 2009. aastal lekkis võrku ussid Conficker ja nakatas osa meditsiiniseadmest meditsiinikeskuses "Beth Israel" – otsustas meditsiinikeskuse tehniline direktor selliste juhtumite tuleviku vältimiseks välja lülitada nakatunud seadme võrguühenduse toe funktsiooni. Siiski seisis ta silmitsi probleemiga, et "seadet ei saa värskendada regulatiivsete piirangute tõttu." Talle olid vajalikud suured pingutused, et kokkuleppele jõuda tootjaga võrgufunktsioonide väljalülitamiseks. [4]
Internet'i põhiküsimus on küberturvalisus
David Clark, legendaarne MIT professor, kelle geenius sai talle hüüdnimeks "Albus Dumbledore", mäletab hästi päeva, mil maailmale ilmus Interneti tumedam pool. Clark juhtis novembris 1988 telekommunikatsiooni konverentsi, kui tuli uudis, et esmakordselt ajaloos libises läbi võrgu esimene arvutikäär. See moment jäi Clari mällu, kuna konverentsil viibinud ettekandja (ühe juhtiva telekommunikatsiooniettevõtte töötaja) pidi vastutama selle ussi leviku eest. See ettekandja ütles emotsioonidehoos ettevaatamatult: "No ei ole tõsi! Ma ju sulgesin selle haavatavuse," – selle üle ta ka kahetses. [5]

Kuid hiljem selgus, et haavatavus, mille kaudu mainitud uss levis, ei olnud ühegi eraldi isiku saavutuseks. Tegelikult ei olnud see isegi haavatavus, vaid interneti põhijoon: interneti rajajad keskendusid oma loomingu arendamisel ainult andmete edastamise kiirusel ja talitluspüsivusel. Nad ei seadnud endale küberjulgeoleku tagamise eesmärki. [5]
Tänapäeval, aastakümneid pärast interneti loomist – mil juba on kulutatud sadu miljardeid dollareid tühi-tähi katsetele tagada küberjulgeolek – ei ole internet vähem haavatavaks muutunud. Probleemid küberjulgeolekuga süvenevad igal aastal järjest. Kuid kas meil on õigus interneti rajajaid selle eest hukka mõista? Keegi ei mõista ju hukka kiirteede ehitajaid selle pärast, et „nende teedel” juhtuvad õnnetused; ja keegi ei eitaks linnaplaneerijate viga, kui „nende linnades” toimuvad röövid. [5]
Kuidas tekkis häkkerite subkultuur
Häkkerikultuuril oli algus 1960. aastate alguses, kui Massachusettsi Tehnoloogiainstituudi „Raudtee tehnilise modelleerimise klubi“ liikmed lõid ja ehitasid raudtee mudeli, mis oli nii suur, et täitis kogu ruumi. Klubi liikmed jagunesid omavahel sujuvalt kaheks rühmaks: rahutöölised ja süsteemihaldurid. [6]
Esimene rühm töötas mudeli maa peal oleva osa kallal, teine – maa all. Esimesed kogusid ja värvisid rongi ja linnade mudeleid: nad modelleerisid miniatuurse maailma. Teine rühm hoolitses kogu nende rahutööstuse tehnilise toe eest: keerukad juhtmed, reléde ja koordinaatkaitsjate labürint maa all – kõik, mis juhtis „maapealset“ osa ja varustas seda energiaga. [6]
Kui liikmeskonnal tekkis liiklustõrge ja keegi leidis selle lahendamiseks uut ja nutikat lahendust, hakati seda lahendust nimetama „hakiks“. Uute hakide leidmisest sai klubi liikmete jaoks elu eesmärk. Seetõttu hakkasid nad endid nimetama „häkkeriteks“. [6]
Esimese põlvkonna häkkerid rakendasid "Raudtee modelleerimise klubi" omandatud oskusi, kirjutades arvutiprogramme perforatsioonikaartidele. Siis, kui 1969. aastal saabus ülikooli linnakusse ARPANET (interneti eelkäija), said tema kõige aktiivsemateks ja kvalifitseeritud kasutajateks just häkkerid. [6]
Nüüd, aastakümneid hiljem, meenutab tänapäeva internet just seda "maaalust" osa raudteemudelist. Sest selle rajajateks olid just need samad häkkerid, kes olid "Raudtee modelleerimise klubi" vilistlased. Ainult et nüüd toimetavad häkkerid reaalsete linnadega, mitte modelleeritud miniatuuridega. [6]

Kuidas tekkis BGP-marsruutimine
80ndate lõpus, kui arvutite arv, mis on Internetiga ühendatud, suurenes kiiresti, jõudis Internet ühe põhiprotokolli sisse ehitatud range matemaatilise piirini. Seetõttu pöördus iga toona tegutsev insener, sealhulgas kaks sõpra, Jakob Rechter (IBM-i insener) ja Kirk Lockheed (Cisco asutaja), lõpuks selle probleemi arutelu juurde. Kohtudes juhuslikult lõunalauda, alustasid nad Interneti töövõime säilitamiseks vajalike meetmete arutamist. Tulevad ideed märkisid nad sellele, mis silma ette jäi – tomatikastmega määritud salvrätikule. Siis teisele. Seejärel kolmandale. „Kolme salvrätiku protokoll,” nagu seda naljatades nimetasid leiutajad, – tuntud ametlikus ringkonnas kui BGP (Border Gateway Protocol; piiriülese marsruutimise protokoll) – muutis peagi Interneti maastikku.

Rächteri ja Lockheedi jaoks oli BGP lihtsalt muretu häkk, mis loodi eespool mainitud „Raudtee modelleerimise klubis“ – ajutine lahendus, mida pidi varsti asendama. Sõbrad töötasid BGP välja 1989. aastal. Siiski, täna, 30 aastat hiljem, suunatakse enamikku Interneti liiklust endiselt „kolme salvrätiku protokolli“ kaudu – hoolimata üha muretsemiseks põhjustavatest signaalidest selle küberjulgeolekuga seotud probleemidest. Ajutine häkk on saanud üheks põhivõrgu protokolliks ja selle arendajad on isiklikult kogenud, et „ei ole midagi püsivamat kui ajutised lahendused“. [8]
Võrgud üle kogu maailma on üle läinud BGP-le. Mida autoriteetsed voitjate, jõukad kliendid ja telekommunikatsioonifirmad – BGP-st ihaldati kiiresti ja temaga harjuti. Seetõttu, hoolimata kõigist üha murettekitavad signaalidest selle protokolli ebaturvalisuse kohta, ei ole IT-ühiskond ikkagi näidanud entusiasti uutele, turvalisematele seadmetele üleminekul. [8]
BGP marsruutimise küber-ebaohutus
Miks on BGP marsruutimine nii hea ja miks IT-ühiskond ei kiirusta sellest loobuma? BGP aitab ruuteritel otsustada, kuhu suunata tohutud andmevood, mis liiguvad läbi suure võrgu ristsuundade. BGP võimaldab ruuteritel valida sobivad teed, hoolimata sellest, et võrgu tingimused pidevalt muutuvad ja populaarsed marsruudid kannatavad sageli liiklusummikute all. Probleemiks on see, et internetis ei ole globaalset marsruutimisekaarti. Ruuterid, mis kasutavad BGP-d, teevad otsuseid marsruudi valiku osas – tuginedes teabele, mille nad saavad oma kübernaabritelt, kes omakorda koguvad teavet oma naabritelt jne. Siiski on seda teavet lihtne valeandmetega rikkuda, mistõttu on BGP marsruutimine MiTM-rünnakute suhtes üsna haavatav. [8]
Seetõttu tekivad regulaarselt küsimused nagu: "Miks tegi liiklus kahe arvuti vahel Denveris hiiglasliku ringi läbi Islandi?", "Miks edastati ühel korral Pentagoni salajased andmed läbi Pekingisse?". Sellistele küsimustele on tehnilised vastused, kuid kõik need põhinevad tõsiasjal, et BGP-protokolli töö põhineb usaldusel: usaldusel naaberruuterite soovituste suhtes. BGP-protokolli usaldusväärse olemuse tõttu saavad salapärased liikluse isandad soovi korral võõraid andmevooge oma valdusesse suunata. [8]
Elav näide – Hiina BGP-rünnak Ameerika Ühendriikide Pentagoni vastu. Aprillis 2010 saatis Hiina telekommunikatsioonigigant China Telecom kümnetele tuhandetele marsruuteritele üle kogu maailma, sealhulgas 16 000 Ameerikast, BGP-sõnumi parimate marsruutide olemasolust. Ilma süsteemita, mis saaks kontrollida China Telecomi BGP-sõnumi usaldusväärsust, hakkasid marsruuterid kogu maailmas andmeid edastama läbi Pekingi. Sealhulgas Pentagoni ja teiste Ameerika Ühendriikide kaitseministeeriumi veebisaitide liiklus. Liiklus suunamine oli nii lihtne ja tõhusate kaitsestrateegiate puudumine selliste rünnakute vastu on järjekordne märk BGP marsruutimise ebaturvalisusest. [8]
BGP-protokoll on teoreetiliselt haavatav veelgi ohtlikumate küberrünnakute suhtes. Kui rahvusvahelised konfliktid laienevad küberruumi täie jõuga, võiks China Telecom või mõni muu telekommunikatsiooni hiiglane proovida kuulutada enda valitsemisalaks Interneti osi, mis tegelikult ei kuulu neile. Selline samm segaks marsruutereid, kes peaksid hüppama konkurseerivate nõudmiste vahel, mis kehtivad samade IP-aadresside plokkide kohta. Ilma võimaluseta eristada usaldusväärset taotlust valeidist, hakkaksid marsruutereid toimima kaootiliselt. Tulemuseks oleks Interneti ekvivalent tuumarelva sõjast – avatud ulatuslik vaenulikkuse väljendus. Selline areng rahu ajal näib ebatõenäoline, kuid tehniliselt on see täiesti teostatav. [8]
Tulutu katse liikuda BGP-lt BGPSEC-ile
BGP arendamisel küberjulgeolekut ei arvestatud, sest sel ajal olid häkkimised haruldased ja nende kahju olematu. BGP protokolli arendajate, kes töötasid telekommunikatsiooni ettevõtetes ja olid huvitatud oma võrguseadmete müügist, ees seisnes tähtsam ülesanne: vältida Interneti järske katkemisi. Interneti katkestused võisid eemale peletada kasutajaid ja seeläbi vähendada võrguseadmete müüki. [8]
Pärast USA sõjaväe liikluse edastamise intsidenti Pekingisse aprillis 2010 – BGP marsruutimise küberjulgeoleku tagamise tööde tempod kindlasti kiirenesid. Siiski ei tunne telekommunikatsiooni müüjad suurt entusiasmi uue BGPSEC turvalise marsruutimisprotokolli, mis pakutakse ohtliku BGP asendamiseks, kulude katmise osas. Müüjad peavad endiselt BGP-d täiesti vastuvõetavaks, vaatamata lugematu arvule liikluse peatumise intsidentidele. [8]
Radia Perlman, keda 1988. aastal (aasta enne BGP-d) teise olulise võrgu protokolli väljatöötamise eest nimetati "internetimemmeks", kaitses MIT-is doktoritööd, mis osutus ennustavaks. Perlman ennustas, et marsruutimisprotokoll, mis sõltub naaberite aususest küberruumis, on fundamentaalselt ebaturvaline. Perlman toetas krüptograafia kasutamist, et piirata valeandmete esitamiste võimalusi. Kuid BGP rakendamine käis juba täie hooga, mõjuvõimas IT-kogukond oli sellega harjunud ning ei soovinud midagi muuta. Seetõttu, hoolimata Perlmani, Clarki ja mõnede teiste silmapaistvate ekspertide põhjendatud hoiatustest, ei suurenenud krüptograafiliselt kaitstud BGP marsruutimise suhteline osakaal kuidagi ning jääb endiselt 0%.[8]
BGP marsruutimine pole kaugeltki ainus "hakk"
Ja BGP-reititamine pole ainus trikk, mis kinnitab mõtet, et "ei ole midagi püsivamat kui ajutised lahendused". Mõnikord näib Internet, mis viib meid fantastilistesse maailmadesse, nii elegantne nagu kiirusauto. Kuid tegelikult meenutab see kumulatiivsete hack'ide tõttu pigem Frankensteini kui Ferrari. Need hack'id (mida ametlikult nimetatakse plaastriteks) ei asendata usaldusväärsete tehnoloogeid. Sellise lähenemise tagajärjed on kahetsusväärsed: iga päev ja iga tund häkkivad küberkurjategijad haavatavaid süsteeme, laiendades küberkuritegevuse ulatust enneolematutesse mõõtmetesse. [8]
Paljude küberkuritegevusega seotud haavatavuste teadmised on juba ammu olemas ja need on säilinud tänu IT-üldkonna kalduvusele probleemide lahendamiseks kasutada ajutisi lahendusi. Selle tõttu võivad vananenud tehnoloogiad kaua aega üksteise peale kuhjuda, muutes inimeste elu keeruliseks ja ohustades nende turvalisust. Mida arvaksite, kui kuuleksite, et teie pank ehitab oma ladustamisse sukeldumisteks põhja õlgedest ja mudast? Kas usaldaksite talle oma sääste? [8]

Linus Torvaldsi muretu hoiak
On kulunud mitu aastat, enne kui Internet jõudis oma esimestesse sadadesse arvutitesse. Täna ühendatakse iga sekundi jooksul 100 uut arvutit ja muud seadet. Ühendatud seadmete arvu kiire kasvu tõttu kasvab ka küberturvalisuse probleemide olulisus. Inimene, kes võiks enamikule neist probleemidest kõige suuremat mõju avaldada, näeb küberturvalisust kui midagi, mida ei pea tõsiselt võtma. Seda inimest kutsutakse geeniuseks, pahandajaks, vaimseks juhiks ja heaks diktatoriks. Linus Torvalds. Enamik ühendatud seadmeid töötab tema loodud operatsioonisüsteemi Linux all. Kiire, paindlik ja tasuta – Linux muutub aja jooksul üha populaarsemaks. Samuti toimib see väga stabiilselt. See suudab töötada aastaid ilma taaskäivitamiseta. Seetõttu on Linuxil au olla domineeriv operatsioonisüsteem. Peaaegu kogu meie tänapäevane arvutitehnika töötab Linuxi all: serverid, meditsiiniseadmed, lennukite arvutid, pisikesed droonid, sõjalised lennukid ja palju muud. [9]
Linux õnnestub peamiselt seetõttu, et Torvalds pöörab suurt tähelepanu jõudlusele ja tõrkekindlusele. Kuid ta teeb seda – kyberjulgeoleku arvelt. Isegi kui küberruum ja füüsiline maailm on omavahel seotud ning küberjulgeolek on muutunud ülemaailmselt oluliseks küsimuseks, vastandub Torvalds jätkuvalt turvaliste uuenduste rakendamisele oma operatsioonisüsteemis. [9]
Seetõttu kasvab isegi paljude Linuxi fännide seas mure selle operatsioonisüsteemi haavatavuste üle. Eriti kõige intimaalsema osa Linuxi, – selle tuuma, kallal, millega Torvalds isiklikult tegeleb. Linuxi fännid näevad, et Torvalds ei võta küberjulgeoleku probleeme tõsiselt. Veelgi enam, Torvalds ümbritseb end arendajatega, kes jagavad oma muretu suhtumist. Kui mõni Torvaldsile lähedane inimene alustab juttu turvaliste uuenduste rakendamisest, siis kuulutab ta nad kohe välja kirjatuks. Ühe sellise uuendajate rühma Torvalds vallandas, nimetades neid "masturbeerivateks ahvideks". Lahkudes teise rühma arendajate juurest, kes muretsesid turvalisuse pärast, ütles Torvalds neile: "Kas te ei võiks enesetappu toime panna? Maailm muutuks sellest paremaks." Igapäevaelus, kui on juttu turvafunktsioonide lisamisest, on Torvalds alati olnud vastu. [9] Seetõttu on Torvaldsil isegi terve filosoofia, mis ei ole vaba mõistuse seemnetest:
«Ahnrahnne ohutust ei ole kunagi saavutatav. Seetõttu tuleks seda alati käsitleda teiste prioriteetidega: kiirus, paindlikkus ja kasutusmugavus. Inimesed, kes pühendavad end täielikult kaitse tagamisele, on hullud. Nende mõtlemine on piiratud, must-valge. Ohutus iseenesest on kasutu. Tuum on alati kuskil mujal. Seetõttu ei suuda te tagada absoluutset ohutust, isegi kui väga soovite. Muidugi on inimesi, kes pööravad ohutusele rohkem tähelepanu kui Torvalds. Kuid need mehed töötavad lihtsalt selle nimel, mis neid huvitab, ja tagavad ohutuse kitsastes suhtelistes raamides, mis määratlevad need huvid. Mitte rohkem. Seega nad ei aita absoluutselt ohutust kuidagi suurendada». [9]
Väljapanek: OpenSource'iga nagu tõrvik [10]
OpenSource-kood on säästnud miljardeid tarkvaraarenduse kuludest, välistades vajaduse dubleeriva töö järele: OpenSource'i abil saavad programmeerijad kasutada uusimaid uuendusi ilma piirangute ja tasudeta. OpenSource'i kasutatakse laialdaselt. Isegi kui olete palganud tarkvaraarendaja, et lahendada oma spetsiifiline ülesanne "nullist", on see arendaja tõenäoliselt kasutanud mõnda OpenSource'i teeki. Ja kindlasti mitte ainult üht. Seega on OpenSource'i elemendid praktiliselt kõikjal kohal. Kuid samas tuleb mõista, et ükski tarkvara ei ole staatiline, selle kood muutub pidevalt. Seetõttu põhimõte "paigaldatud ja unustatud" ei kehti kunagi koodi puhul. Sealhulgas ka OpenSource'i koodi puhul: varem või hiljem vajatakse selle uuendatud versiooni.
2016. aastal nägime, millised on sellise olukorra tagajärjed: 28-aastane arendaja rikkus Internetti, eemaldades oma OpenSource-koodi, mille ta oli varasemalt avalikuks teinud. See lugu näitab, kui õrn on meie küberinfrastruktuur. Mõned inimesed, kellele tuginetakse OpenSource-projektides, on selle säilitamise seisukohalt nii olulised, et kui neid peaks juhuslikult bussiga sõitma, võib Internet katki minna.
Halvasti hooldatud kood on just see koht, kus peituvad kõige tõsisemad küberturbe haavatavused. Üksikud ettevõtted ei kahtlusta isegi, kui haavatavad nad halva hooldusega koodi tõttu on. Sellise koodiga seotud haavatavused võivad aeglaselt kujuneda tõeliseks probleemiks: süsteemid raskendavad aeglaselt, näitamata kogu selle lagunemise jooksul nähtavaid tõrkeid. Ja kui nad lõpuks tõrkuvad, on tagajärjed hukatuslikud.
Lõpuks, kuna OpenSource projektid arenevad tavaliselt entusiastide kogukonna poolt, nagu Linus Torvalds või alguses mainitud raudteemudelite klubi häkkerid, ei suudeta raskesti hooldatava koodi probleeme lahendada traditsiooniliste meetodite abil (kasutades kommertsi- ja valitsusmehhanisme). Sest selliste kogukondade liikmed on kangekaelsed ja hindavad oma sõltumatust üle kõige.
Sisseehitatud: Kas meie kaitsevad meid julgeolekuteenistused ja viirusetõrje arendajad?
2013. aastal sai teatavaks, et Kaspersky Laboris on spetsiaalne osakond, mis viib läbi tellitud uurimisi infotehnoloogia turvalisuse valdkonnas. Kuni hiljutise ajani juhatas seda osakonda endine politsei major, Ruslan Stoyanov, kes töötas varem pealinna „K“ halduses (USTG GUVD Moskvas). Kõik selle Kaspersky Labori spetsiaalosakonna töötajad on pärit õiguskaitsesektori asutustest, sealhulgas Uurimiskomisjonist ja „K“ haldusest. [11]
2016. aasta lõpus arreteeris FSB Ruslan Stojanovi ja esitas talle süüdistuse riigireetmises. Sama asja raames arreteeriti ka Sergei Mihhailov, kõrge kohaliku FSB tsiviilkorralduse esindaja, kelle õlgadel oli enne arreteerimist kogu riigi küberjulgeolek. [11]
Sissejuhatus: Küberjulgeolek kohustuslikus korras
Varsti sunnitakse Venemaa ettevõtjaid tõsiselt keskenduma küberjulgeolekule. 2017. aasta jaanuaris teatas teabe ja spetsiaalse side kaitse keskuse esindaja Nikolai Murashov, et Venemaal ründasid KII-objekte (kriitiline teabeinfrastruktuur) 2016. aastal rohkem kui 70 miljonit korda. KII-objektide alla kuuluvad riigiasutuste, kaitsetööstuse, transpordi, krediidi- ja rahandussektori, energia- ning kütuse- ja tuumaenergia süsteemid. Nende kaitseks allkirjastas Venemaa president Vladimir Putin 26. juulil seaduste paketi „KII ohutuse kohta“. Aastaks 1. jaanuariks 2018, mil seadus jõustub, peavad KII-objektide omanikud ellu viima meetmete kompleksi oma infrastruktuuri kaitsmiseks häkkerirünnakute eest, sealhulgas ühinevad nad GosSOPKA-ga. [12]
Bibliograafia
- Jonathan Millet. // 2017.
- Ross Anderson. Kuidas nutikaardi maksesüsteemid ebaõnnestuvad // Black Hat. 2014.
- S.J. Murdoch. Chip ja PIN on purunenud // IEEE turvalisuse ja privaatsuse sümpoosioni toimetised. 2010. lk. 433-446.
- David Talbot. // MIT Technology Review (Digital). 2012.
- Craig Timberg. // The Washington Post. 2015.
- Michael Lista. // Toronto Life. 2018.
- Craig Timberg. // The Washington Post. 2015.
- Craig Timberg. // The Washington Post. 2015.
- Craig Timberg. // The Washington Post. 2015.
- Joshua Gans. // Harvard Business Review (Digital). 2017.
- // CNews. 2017. URL.
- Maria Kolomytschenko. // РБК. 2017.
Allikas: habr.com
