"Txapel beltzak" -ziberespazio basatiko basoko ordenatzaileak izanik- beren lan zikinean bereziki arrakastatsuak izaten direnean, komunikabide horiek poz-pozik egiten dute irrintzi. Ondorioz, mundua zibersegurtasuna serioago aztertzen hasi da. Baina zoritxarrez ez berehala. Hori dela eta, ziber-gertakari hondamendien kopurua gero eta handiagoa den arren, mundua ez dago oraindik neurri proaktibo aktiboetarako prest. Dena den, espero da etorkizun hurbilean, "txapel beltzei" esker, mundua zibersegurtasuna serio hartzen hasiko dela. [7]

Suteak bezain larriak... Garai batean hiriak oso zaurgarriak ziren sute katastrofikoen aurrean. Hala ere, arrisku potentziala izan arren, ez ziren babes neurri proaktiborik hartu, 1871n Chicagon izandako sute erraldoiaren ondoren ere, ehunka hildako eta ehunka milaka pertsona desplazatu zituena. Babes neurri proaktiboak antzeko hondamendia berriro gertatu ondoren bakarrik hartu ziren, hiru urte geroago. Zibersegurtasunarekin berdin gertatzen da: munduak ez du arazo hau konponduko gertakari katastrofikoak ez badira behintzat. Baina horrelako gertakariak gertatu arren, munduak ez du arazo hau berehala konponduko. [7] Hori dela eta, esaerak ere: "Azukre bat gertatu arte, gizon bat ez da adabakituko" ez du guztiz balio. Hori dela eta, 2018an 30 urte bete ditugu segurtasunik eza.

Digresio lirikoa

Artikulu honen hasiera, hasiera batean System Administrator aldizkarirako idatzi nuena, profetikoa izan zen zentzu batean. Artikulu honekin aldizkari baten alea kaleratu literalki egunez egun "Winter Cherry" Kemerovo merkataritza-guneko sute tragikoarekin (2018, martxoak 20).

Instalatu Internet 30 minututan

1988an, L0pht hacker galaxia mitikoak, Mendebaldeko funtzionario garrantzitsuenen bilera baten aurretik indar osoz hitz egin zuen: “Zure ekipamendu informatizatua Interneten ziber-erasoen aurrean zaurgarria da. Eta softwarea, eta hardwarea, eta telekomunikazioak. Haien saltzaileak ez dira batere kezkatzen egoera honek. Legeria modernoak ez duelako inolako erantzukizunik ematen fabrikatutako software eta hardwarearen zibersegurtasuna bermatzeko arduragabekeriagatik. Balizko hutsegiteen erantzukizuna (bereak edo ziberkriminalen esku-hartzeak eragindakoa) ekipoaren erabiltzaileari dagokio soilik. Gobernu federalari dagokionez, ez dauka arazo hau konpontzeko ez gaitasunik ez gogorik. Hori dela eta, zibersegurtasunaren bila bazabiltza, Internet ez da aurkitzeko lekua. Zure aurrean eserita dauden zazpi pertsonetako bakoitzak Internet erabat hautsi dezake eta, horren arabera, harekin konektatutako ekipoen kontrol osoa har dezake. Norberak. 30 minutu koreografiatutako teklak eta eginda dago". [7]

Funtzionarioek baietz esanguratsu egin zuten, argi utziz egoeraren larritasuna ulertzen zutela, baina ez zuten ezer egin. Gaur egun, L30pht-en emanaldi mitikotik 0 urte igaro direnetik, mundua oraindik ere "segurtasun eza izugarria" dago. Internetera konektatutako ekipo informatizatuak pirateatzea hain da erraza, non Internet, hasieran zientzialari eta zaletuen erresuma idealistena, profesional pragmatikoenek okupatu dute pixkanaka: iruzurgileak, iruzurgileak, espioiak, terroristak. Horiek guztiek ekipo informatikoen ahuleziak ustiatzen dituzte, onura ekonomikoak edo bestelakoak lortzeko. [7]

Saltzaileek zibersegurtasuna alde batera uzten dute

Saltzaileak batzuetan, noski, identifikatutako ahultasun batzuk konpontzen saiatzen dira, baina oso gogoz egiten dute. Haien irabazia ez baitator hackerren babesetik, kontsumitzaileei eskaintzen dieten funtzionaltasun berritik baizik. Epe laburreko irabazietan soilik zentratuta egonik, saltzaileek dirua arazo errealak konpontzeko soilik inbertitzen dute, ez hipotetikoak. Zibersegurtasuna, horietako askoren aburuz, gauza hipotetikoa da. [7]

Zibersegurtasuna gauza ikusezina eta ukiezina da. Arazoak sortzen direnean soilik bihurtzen da ukigarria. Ondo zaindu badute (diru asko gastatu dute horniduran), eta arazorik ez badago, azken kontsumitzaileak ez du gehiegi ordaindu nahi izango. Horrez gain, finantza-kostuak handitzeaz gain, babes-neurriak ezartzeak garapen-denbora gehigarria eskatzen du, ekipamenduaren gaitasunak mugatu eta produktibitatea gutxitzea dakar. [8]

Zaila da gure merkaturatzaileak ere zerrendatutako kostuen bideragarritasunaz konbentzitzea, eta are gutxiago azken kontsumitzaileak. Eta saltzaile modernoek epe laburreko salmenten irabaziak soilik interesatzen zaizkienez, ez dute batere joera beren sorkuntzaren zibersegurtasuna bermatzeko ardura hartzeko. [1] Bestalde, beren ekipoen zibersegurtasuna zaindu duten saltzaile kontutsuagoak dira kontsumitzaile korporatiboek alternatiba merkeagoak eta erabilerrazagoak nahiago dituztela. Hori. Bistakoa da kontsumitzaile korporatiboei ere ez zaiela asko axola zibersegurtasuna. [8]

Aurrekoa kontuan hartuta, ez da harritzekoa saltzaileek zibersegurtasuna alde batera uzteko joera izatea, eta ondorengo filosofiari eustea: “Jarraitu eraikitzen, jarraitu saltzen eta adabaki behar denean. Sistema huts egin al da? Galdutako informazioa? Kreditu-txartelen zenbakiak dituen datu-basea lapurtu? Zure ekipoan ahultasun larririk identifikatu al da? Arazorik ez!" Kontsumitzaileek, berriz, printzipioa jarraitu behar dute: "Adabaki eta otoitz egin". [7]

Nola gertatzen den: basatietako adibideak

Garapen garaian zibersegurtasuna utzi izanaren adibide deigarri bat Microsoft-en enpresa-pizgarrien programa da: «Epeak betetzen badituzu, isuna jarriko zaizu. Zure berrikuntzaren kaleratzea garaiz bidaltzeko astirik ez baduzu, ez da ezarriko. Inplementatzen ez bada, ez dituzu konpainiaren akziorik jasoko (Microsoften irabazien tarta zati bat). 1993az geroztik, Microsoft bere produktuak Internetera aktiboki lotzen hasi zen. Ekimen honek motibazio-programa beraren ildotik funtzionatzen zuenez, funtzionaltasuna defentsak hari jarraitu ahal izan zion baino azkarrago zabaldu zen. Ahultasun ehiztari pragmatikoen gozamenerako... [7]

Beste adibide bat ordenagailu eta ordenagailu eramangarrien egoera da: ez datoz aurrez instalatutako antibirus batekin; eta, gainera, ez dute pasahitz sendoen aurrez ezarri. Suposatzen da azken erabiltzaileak antibirusa instalatuko duela eta segurtasun-konfigurazio-parametroak ezarriko dituela. [1]

Beste adibide bat, muturrekoagoa: txikizkako ekipoen zibersegurtasunaren egoera (kutxa erregistratzaileak, merkataritza-guneetako PoS terminalak, etab.). Gertatu zen ekipamendu komertzialen saltzaileek saltzen dena soilik saltzen dutela, eta ez segurua dena. [2] Ekipamendu komertzialen saltzaileek zibersegurtasunari dagokionez axola zaien gauza bat baldin badago, gertakari polemiko bat gertatzen bada, erantzukizuna besteengana izango dela ziurtatzea da. [3]

Gertaeren garapen horren adibide adierazgarri bat: banku-txartelen EMV estandarra hedatzea, zeina, banku-merkatularien lan eskudunari esker, teknikoki sofistikatua ez den publikoaren aurrean "zaharkitutako" alternatiba seguruago gisa agertzen dena. txartel magnetikoak. Aldi berean, banku-industriaren motibazio nagusia, EMV estandarra garatzeaz arduratu zena, iruzurrezko gertakarien erantzukizuna aldatzea izan zen (txartelen erruz gertatutakoak) dendatik kontsumitzaileetara. Aurretik (ordainketak txartel magnetikoen bidez egiten zirenean), finantza-erantzukizuna denden esku zegoen zordunketa/kredituko desadostasunengatik. [3] Horrela Ordainketak prozesatzen dituzten bankuek erantzukizuna merkatariengana (urrutiko banku-sistemak erabiltzen dituztenak) edo ordainketa-txartelak jaulkitzen dituzten bankuengana eramaten dute; azken biek, berriz, erantzukizuna txartelaren titularrari pasatzen diote. [2]

Saltzaileek zibersegurtasuna oztopatzen dute

Eraso digitalaren azalera etengabe hedatzen den heinean —Internetera konektatutako gailuen eztandari esker— sare korporatibora konektatuta dagoenaren jarraipena gero eta zailagoa da. Aldi berean, saltzaileek Internetera konektatutako ekipo guztien segurtasunari buruzko kezkak azken erabiltzailearengana eramaten dituzte [1]: "Itotzen diren pertsonen erreskatea da itotzen ari diren pertsonen lana".

Saltzaileek ez dute beren sorkuntzen zibersegurtasuna axola ez ezik, zenbait kasutan hornikuntza ere oztopatzen dute. Esaterako, 2009an Conficker sareko harra Beth Israel Medical Centerra isuri eta bertan ekipo medikoaren zati bat kutsatu zuenean, mediku zentro horretako zuzendari teknikoak, etorkizunean antzeko gertakariak gerta ez daitezen, desgaitzea erabaki zuen. funtzionamenduaren laguntza-funtzioa harrak eragindako ekipoetan sarearekin. Hala ere, "erregulazio murrizketen ondorioz ekipamendua ezin izan zela eguneratu" izan zuen aurrean. Ahalegin handia behar izan zuen saltzailearekin negoziatzeko sareko funtzioak desgaitzeko. [4]

Interneten oinarrizko ziber-segurtasun eza

David Clarke, MITeko irakasle mitikoak, zeinaren jenioak "Albus Dumbledore" ezizena irabazi zion, Interneten alde iluna munduari agerian jarri zitzaion eguna gogoratzen du. Clark telekomunikazioen konferentzia bat zuzentzen ari zen 1988ko azaroan, historiako lehen harra informatikoa sareko kableetatik irristatu zelako albistea zabaldu zenean. Momentu hau gogoratu zuen Clarkek bere konferentzian zegoen hizlaria (telekomunikazio-enpresa nagusietako baten langilea) harra honen hedapenaren erantzule egin zuelako. Hizlari honek, emozioaren beroan, oharkabean esan zuen: «Hara!». Zaurgarritasun hori itxi dudala dirudi», ordaindu zituen hitz horiek. [5]

Dena den, geroago ikusi zen aipatu harra hedatu zenaren ahultasuna ez zela pertsona indibidualaren meritua. Eta hori, hertsiki esanda, ez zen ahultasun bat ere, Interneten oinarrizko ezaugarri bat baizik: Interneten sortzaileek, beren ideia garatzerakoan, datuen transferentzia abiaduran eta akatsen tolerantzian zentratu ziren soilik. Ez zuten beren buruari zibersegurtasuna bermatzeko zeregina ezarri. [5]

Gaur egun, Interneten sorreratik hamarkada batzuetara —ehunka mila milioi dolar jada zibersegurtasun saiakera hutsaletan gastatuta—, Internet ez da ahulagoa. Bere zibersegurtasun arazoak urtero areagotzen ari dira. Hala ere, eskubiderik ba al dugu Interneten sortzaileak horregatik gaitzesteko? Azken finean, adibidez, inork ez ditu autobideen eraikitzaileak gaitzetsiko istripuak «euren errepideetan» gertatzen direlako; eta inork ez ditu hirigileak gaitzetsiko “beren hirietan” lapurretak gertatzen direlako. [5]

Nola sortu zen hacker azpikultura

Hackerren azpikultura 1960ko hamarkadaren hasieran sortu zen, "Railway Technical Modeling Club"-en (Massachusetts Institute of Technology-ren hormetan jarduten zuen). Klubeko zaleek trenbide modelo bat diseinatu eta muntatu zuten, hain erraldoia non gela osoa betetzen zuen. Klubeko kideak berez bi taldetan banatu ziren: bakegileak eta sistemako espezialistak. [6]

Lehenengoak ereduaren lur gaineko zatiarekin lan egin zuen, bigarrenak - lurpekoarekin. Lehenengoek trenen eta hirien maketak bildu eta apaindu zituzten: mundu osoa modelatu zuten miniaturan. Azken honek bakegintza guzti honen euskarri teknikoan lan egin zuen: modeloaren lurpeko zatian kokatutako kable, errele eta koordenatu etengailuen konplexutasuna - "goiko" zatia kontrolatzen zuen eta energiaz elikatzen zuen guztia. [6]

Trafiko arazo bat zegoenean eta norbaitek konponbide berri eta burutsu bat asmatu zuenean, irtenbideari "hack" deitzen zitzaion. Klubeko kideentzat, hack berrien bilaketa bizitzaren berezko zentzu bat bihurtu da. Horregatik hasi ziren euren buruari "hacker" esaten. [6]

Hackeren lehen belaunaldiak Simulation Railway Club-en lortutako gaitasunak ezarri zituen txartel zulatuetan programa informatikoak idatziz. Orduan, 1969an ARPANET (Interneten aurrekoa) campusera iritsi zenean, hackerrak bere erabiltzaile aktibo eta trebeenak bihurtu ziren. [6]

Orain, hamarkada batzuk geroago, Internet modernoak trenbide ereduaren zati oso “lurpeko” horren antza du. Bere sortzaileak hacker berak zirelako, "Railroad Simulation Club"-eko ikasleak. Hacker-ek bakarrik funtzionatzen dute benetako hiriak miniatura simulatuen ordez. [6]

BGP bideratzea nola sortu zen

80ko hamarkadaren amaieran, Internetera konektatutako gailuen elur-jausiaren antzera handitzearen ondorioz, Internet oinarrizko Internet protokoloetako batean ezarritako muga matematiko gogorrera hurbildu zen. Horregatik, garai hartako ingeniarien arteko edozein elkarrizketa arazo honen inguruko eztabaida bihurtu zen azkenean. Bi lagun ez ziren salbuespena izan: Jacob Rechter (IBMko ingeniaria) eta Kirk Lockheed (Ciscoren sortzailea). Afari mahaian kasualitatez elkartuta, Interneten funtzionaltasuna zaintzeko neurriak eztabaidatzen hasi ziren. Eskura zetorren edozertan sortzen ziren ideiak idatzi zituzten lagunek: ketchupez zikindutako ezpainzapi bat. Gero bigarrena. Gero hirugarrena. “Three napkins protokoloak”, bere asmatzaileek txantxetan deitzen zuten moduan —zirkulu ofizialetan BGP (Border Gateway Protocol) bezala ezagutzen zen— Interneten laster irauli zuen. [8]

Rechter eta Lockheedentzat, BGP aldi baterako hack bat besterik ez zen, aipatutako Model Railroad Clubaren espirituan garatua, laster ordezkatuko zen aldi baterako irtenbidea. Lagunek BGP garatu zuten 1989an. Gaur egun, ordea, 30 urte geroago, Interneteko trafikoaren gehiengoa "hiru napkin protokoloa" erabiliz bideratzen da oraindik, nahiz eta gero eta kezkagarriagoak diren bere zibersegurtasuneko arazo larriei buruzko deiak. Aldi baterako hackea Interneteko oinarrizko protokoloetako bat bihurtu zen, eta bere garatzaileek beren esperientziatik ikasi zuten "ez dago behin-behineko irtenbideak baino iraunkorragorik". [8]

Mundu osoko sareak BGPra aldatu dira. Eragin handiko saltzaileak, bezero aberatsak eta telekomunikazio enpresak azkar maitemindu ziren BGP eta horretara ohitu ziren. Hori dela eta, protokolo honen segurtasun ezaren inguruan gero eta alarma-kanpai gehiago izan arren, informatika publikoak oraindik ez du ilusiorik erakusten ekipamendu berri eta seguruagoetara igarotzeko. [8]

Zibersegurtasunik gabeko BGP bideratzea

Zergatik da hain ona BGP bideratzea eta zergatik ez du IT komunitateak presarik uzteko? BGP-k bideratzaileei gurutzatutako komunikazio-lerroen sare handi batean bidaltzen diren datu-korronte handiak nora bideratu erabakitzen laguntzen die. BGP-k bideratzaileei bide egokiak aukeratzen laguntzen die, nahiz eta sarea etengabe aldatzen ari den eta ibilbide ezagunek askotan auto-ilarak jasan. Arazoa da Internetek ez duela bide-mapa globalik. BGP erabiltzen duten bideratzaileek bide bat edo beste aukeratzeari buruzko erabakiak hartzen dituzte ziberespazioko auzokideengandik jasotako informazioaren arabera, hauek, aldi berean, auzokideengandik informazioa biltzen, etab. Hala ere, informazio hori erraz faltsutu daiteke, hau da, BGP bideratzea oso zaurgarria da MiTM erasoen aurrean. [8]

Hori dela eta, honelako galderak sortzen dira aldian-aldian: "Zergatik egin zuen Denver-eko bi ordenagailuen arteko trafikoak saihesbide erraldoi bat Islandian zehar?", "Zergatik sailkatu ziren Pentagonoko datuak Pekinen zehar igarotzean?". Erantzun teknikoak daude horrelako galderei, baina denak BGPk konfiantzan oinarrituta funtzionatzen duela da: ondoko bideratzaileetatik jasotako gomendioetan konfiantza. BGP protokoloaren izaera fidagarriari esker, trafiko-jabe misteriotsuek besteen datu-fluxuak beren domeinura erakar ditzakete nahi izanez gero. [8]

Adibide bizia da Txinak Pentagono amerikarraren aurkako BGP erasoa. 2010eko apirilean, China Telecom estatuko telekomunikazio erraldoiak milaka bideratzaile bidali zituen munduan zehar, 16 barne Estatu Batuetan, BGP mezu batek bide hobeak zituztela esanez. China Telecom-en BGP mezu baten baliozkotasuna egiaztatzeko sistemarik gabe, mundu osoko bideratzaileak Pekinetik igarotzen ziren datuak bidaltzen hasi ziren. Pentagonoko eta AEBetako Defentsa Saileko beste gune batzuetako trafikoa barne. Trafikoa birbideratzeko duen erraztasuna eta eraso mota honen aurkako babes eraginkorrik eza BGP bideratzearen segurtasun ezaren beste seinale bat dira. [8]

BGP protokoloa teorian zaurgarria da are arriskutsuagoa den ziber-eraso baten aurrean. Ziberespazioan nazioarteko gatazkak oso-osorik areagotuz gero, China Telecom edo beste telekomunikazio erraldoiren bat, benetan bereak ez diren Interneteko zatien jabetza aldarrikatzen saia litezke. Mugimendu horrek bideratzaileak nahasiko lituzke, Interneteko helbide bloke berberen eskaintza lehiakideen artean errebotatu beharko lukete. Aplikazio legitimo bat faltsu batetik bereizteko gaitasunik gabe, bideratzaileak modu irregularrean jokatzen hasiko lirateke. Ondorioz, Interneten gerra nuklearraren baliokidearen aurrean egongo ginateke —eskala handiko etsaitasun erakustaldi irekia—. Bake erlatiboko garaian halako garapena ez da erreala dirudi, baina teknikoki nahiko bideragarria da. [8]

BGPtik BGPSECera pasatzeko saiakera hutsala

BGP garatu zenean ez zen zibersegurtasuna kontuan hartu, garai hartan hack-ak arraroak zirelako eta haien kalteak arbuiagarriak zirelako. BGPren garatzaileek, telekomunikazio enpresentzat lan egiten zutelako eta sareko ekipoak saltzeko interesa zutelako, zeregin larriagoa zuten: Interneten berezko matxurak ekiditea. Interneten etenek erabiltzaileak alienatu ditzaketelako, eta, ondorioz, sareko ekipoen salmentak murriztea. [8]

2010eko apirilean Pekinen trafiko militar amerikarraren transmisioarekin izandako gertakariaren ondoren, BGP bideratzearen zibersegurtasuna ziurtatzeko lan-erritmoa bizkortu egin zen, zalantzarik gabe. Hala ere, telekomunikazio saltzaileek BGPSEC bideratze seguruko protokolo berrira migratzearekin lotutako kostuak bere gain hartzeko gogo gutxi erakutsi dute, BGP seguruaren ordezko gisa proposatua. Saltzaileek oraindik BGP nahiko onargarritzat jotzen dute, nahiz eta trafikoa atzemateko gorabehera ugari izan. [8]

Radia Perlmanek, 1988an (BGP baino urtebete lehenago) sareko beste protokolo garrantzitsu bat asmatzeagatik "Interneten Ama" izendatua, profetiko doktore bat lortu zuen MIT-en. Perlmanek aurreratu zuen ziberespazioko bizilagunen zintzotasunaren araberako bideratze-protokolo bat funtsean segurua ez dela. Perlmanek kriptografiaren erabilera defendatu zuen, eta horrek faltsutzearen aukera mugatzen lagunduko zuen. Hala ere, BGPren ezarpena pil-pilean zegoen jada, eragin handiko IT komunitatea horretara ohituta zegoen, eta ez zuen ezer aldatu nahi. Hori dela eta, Perlman, Clark eta munduko beste aditu garrantzitsu batzuen abisu arrazoituen ondoren, BGP bideratze kriptografiko seguruaren kuota erlatiboa ez da batere handitu, eta % 0 da oraindik. [8]

BGP bideratzea ez da hack bakarra

Eta BGP bideratzea ez da "ezer ez dela behin-behineko irtenbideak baino iraunkorragoa" ideia berresten duen hackeatu bakarra. Batzuetan, Internetek, mundu fantastikoetan murgilduz, lasterketako auto bat bezain dotorea dirudi. Hala ere, errealitatean, bata bestearen gainean pilatutako hackeen ondorioz, Internet Frankensteinen antzekoagoa da Ferrari baino. Hacke hauek (ofizialki adabaki deitzen direnak) inoiz ez direlako teknologia fidagarriekin ordezkatzen. Planteamendu honen ondorioak latzak dira: egunero eta orduro, ziber-kriminalak sistema ahulenetan sartzen dituzte, ziberdelituaren esparrua orain arte imajina ezin ziren proportzioetara zabalduz. [8]

Ziberkriminalek ustiatzen dituzten akats asko aspalditik ezagutzen dira, eta IT komunitateak sortzen ari diren arazoak konpontzeko joeragatik soilik gorde dira, aldi baterako hack/adabakiekin. Batzuetan, horregatik, teknologia zaharkituak bata bestearen gainean pilatzen dira denbora luzez, pertsonen bizitza zailduz eta arriskuan jarriz. Zer pentsatuko zenuke zure bankua lastozko eta lokatzezko oinarri baten gainean bere ganga eraikitzen ari dela jakingo bazenu? Fidatuko al zinateke zure aurrezkiak gordetzeko? [8]

Linus Torvaldsen arduragabeko jarrera

Urteak igaro ziren Internet bere lehen ehun ordenagailuetara iritsi arte. Gaur egun, 100 ordenagailu eta beste gailu berri konektatzen dira segundoro. Internetera konektatutako gailuak eztanda egiten duen heinean, zibersegurtasun arazoen premia ere handitzen da. Hala ere, arazo hauek konpontzeko eragin handiena izan dezakeena zibersegurtasuna mespretxuz ikusten duena da. Gizon honi jenio, bully, buruzagi espiritual eta diktadore onbera deitu izan zaio. Linus Torvalds. Internetera konektatutako gailu gehienek bere sistema eragilea erabiltzen dute, Linux. Azkarra, malgua, doakoa - Linux gero eta ezagunagoa da denborarekin. Aldi berean, oso egonkor jokatzen du. Eta urte askotan berrabiarazi gabe funtziona dezake. Horregatik du Linux-ek sistema eragile nagusia izateko ohorea. Gaur egun eskura ditugun ia ekipo informatizatu guztiek Linux funtzionatzen dute: zerbitzariak, ekipamendu medikoa, hegaldi-ordenagailuak, drone txikiak, hegazkin militarrak eta askoz gehiago. [9]

Linuxek arrakasta handia du Torvaldsek errendimendua eta akatsen tolerantzia azpimarratzen dituelako. Hala ere, enfasi hori zibersegurtasunaren kontura jartzen du. Nahiz eta ziberespazioa eta benetako mundu fisikoa nahasten diren eta zibersegurtasuna arazo global bihurtzen den, Torvaldsek bere sistema eragilean berrikuntza seguruak sartzeari aurre egiten jarraitzen du. [9]

Horregatik, Linux zale askoren artean ere, gero eta kezka handiagoa dago sistema eragile honen ahultasunen inguruan. Bereziki, Linuxen zatirik intimoena, bere nukleoa, Torvaldsek pertsonalki lan egiten duena. Linux zaleek ikusten dute Torvaldsek ez dituela zibersegurtasun arazoak serio hartzen. Gainera, Torvalds jarrera arduragabe hori partekatzen duten garatzaileez inguratu da. Torvaldsen barruko zirkuluko norbait berrikuntza seguruak sartzeari buruz hitz egiten hasten bada, berehala anatematzen da. Torvaldek horrelako berritzaileen talde bat baztertu zuen, "tximino masturbatzaileak" deituz. Torvaldsek segurtasunaz arduratzen diren beste garatzaile talde bati agur esan zionean, esan zien: "Hain izango al zinateke zure burua hiltzeko. Mundua leku hobea izango litzateke horregatik». Segurtasun funtzioak gehitzeko orduan, Torvalds beti kontra zegoen. [9] Torvaldsek filosofia oso bat ere badu zentzu honetan, zentzu arruntik gabea:

«Erabateko segurtasuna lortzezina da. Horregatik, beti kontuan hartu behar da beste lehentasun batzuei dagokienez soilik: abiadura, malgutasuna eta erabiltzeko erraztasuna. Babesa eskaintzera erabat dedikatzen diren pertsonak eroak dira. Haien pentsaera mugatua da, zuri-beltza. Segurtasuna berez ez du ezertarako balio. Esentzia beti beste nonbait dago. Hori dela eta, ezin duzu erabateko segurtasuna ziurtatu, nahiz eta benetan nahi izan. Noski, bada Torvaldek baino segurtasunari arreta gehiago jartzen dion jendea. Hala ere, mutil hauek interesatzen zaiena lantzen ari dira eta interes horiek zedarritzen dituen marko erlatibo estuaren barruan segurtasuna ematen ari dira. Gehiagorik ez. Beraz, ez dute inola ere laguntzen erabateko segurtasuna areagotzen». [9]

Alboko barra: OpenSource hauts-kupel bat bezalakoa da [10]

OpenSource kodeak milioika milioi aurreztu ditu softwarea garatzeko kostuetan, ahalegin bikoiztu beharra ezabatuz: OpenSource-rekin, programatzaileek egungo berrikuntzak murrizketarik eta ordainketarik gabe erabiltzeko aukera dute. OpenSource nonahi erabiltzen da. Nahiz eta software garatzaile bat kontratatu zure arazo espezializatua hutsetik konpontzeko, garatzaile honek ziurrenik OpenSource liburutegi motaren bat erabiliko du. Eta ziurrenik bat baino gehiago. Horrela, OpenSource elementuak ia nonahi daude. Aldi berean, ulertu behar da ez dela software estatikoa; bere kodea etengabe aldatzen ari da. Hori dela eta, "ezarri eta ahaztu" printzipioak ez du inoiz funtzionatzen kodearentzat. OpenSource kodea barne: lehenago edo beranduago bertsio eguneratua beharko da.

2016an, egoera horren ondorioak ikusi genituen: 28 urteko garatzaile batek Internet laburki “hautsi” zuen bere OpenSource kodea ezabatuz, aurretik publikoki eskuragarri jarri zuena. Istorio honek gure ziberazpiegitura oso hauskorra dela adierazten du. Zenbait pertsona -OpenSource proiektuak onartzen dituztenak- hain dira garrantzitsuak mantentzeko, ezen, Jainkoak ez dezala, autobus batek kolpatzen baditu, Internet hautsiko da.

Mantentze zaila den kodea da zibersegurtasun ahultasun larrienak ezkutatzen diren tokian. Enpresa batzuk ez dira konturatzen zein ahulak diren mantentzen zaila den kodea dela eta. Kode horrekin lotutako ahultasunak benetako arazo bilaka daitezke oso poliki: sistemak poliki-poliki usteltzen dira, usteltze prozesuan akats nabariak frogatu gabe. Eta huts egiten dutenean, ondorioak larriak dira.

Azkenik, OpenSource proiektuak zaletuen komunitate batek garatu ohi dituenez, Linus Torvaldsek edo Artikuluaren hasieran aipatutako Model Railroad Clubeko hackerrak bezala, mantentzen zaila den kodea duten arazoak ezin dira modu tradizionaletan konpondu (erabiliz). merkataritza eta gobernuaren palankak). Komunitate horietako kideak borondatezkoak direlako eta euren independentzia beste ezeren gainetik baloratzen dutelako.

Alboko barra: Agian adimen zerbitzuek eta birusen aurkako garatzaileek babestuko gaituzte?

2013an jakin zen Kaspersky Lab-ek informazio-segurtasuneko gertakarien ikerketa pertsonalizatuak egiten zituen unitate berezi bat zuela. Duela gutxi arte, departamendu hau polizia nagusi ohia zen Ruslan Stoyanov, aurretik hiriburuko "K" Departamentuan lan egin zuena (Moskuko Barne Arazoetako Zuzendaritza Nagusiko USTM). Kaspersky Lab-eko unitate berezi honetako langile guztiak legea betearazteko agentzietatik datoz, Ikerketa Batzordea eta "K" Zuzendaritza barne. [hamaika]

2016 amaieran, FSBk Ruslan Stoyanov atxilotu eta traizio leporatu zion. Kasu berean, Sergei Mikhailov, FSB CIBeko (informazio-segurtasun zentroa) goi-mailako ordezkaria atxilotu zuten, zeinari, atxiloketaren aurretik, herrialdeko zibersegurtasun osoa lotuta zegoen. [hamaika]

Alboko barra: Zibersegurtasuna ezarrita

Laster errusiar ekintzaileak zibersegurtasunari arreta handia ematera behartuta egongo dira. 2017ko urtarrilean, Nikolai Murashovek, Informazioa Babesteko eta Komunikazio Berezietarako Zentroko ordezkariak, adierazi zuen Errusian, CII objektuak (informazio kritikoaren azpiegitura) bakarrik 2016 milioi aldiz baino gehiago eraso zirela 70an. CII objektuen artean, gobernu agentzien, defentsa-industriako enpresen, garraio-, kreditu- eta finantza-sektoreen informazio-sistemak, energia, erregai eta industria nuklearra daude. Haiek babesteko, uztailaren 26an, Vladimir Putin Errusiako presidenteak "CIIren segurtasunari buruzko" lege sorta bat sinatu zuen. 1ko urtarrilaren 2018erako, legea indarrean jartzen denean, CII instalazioen jabeek beren azpiegitura hackerren erasoetatik babesteko neurri multzo bat ezarri behar dute, bereziki GosSOPKAra konektatu. [12]

bibliografia

1. Jonathan Millet. IoT: Zure gailu adimendunak ziurtatzearen garrantzia // 2017.
2. Ross Anderson. Txartel adimendunen ordainketa-sistemek nola huts egiten duten // Black Hat. 2014.
3. SJ Murdoch. Txipa eta PINa hautsita dago // Segurtasun eta Pribatutasunari buruzko IEEE Symposium-en aktak. 2010. orr. 433-446.
4. David Talbot. Birus informatikoak ospitaleetako gailu medikoetan "adartsuak" dira // MIT Technology Review (Digitala). 2012.
5. Craig Timberg. Segurtasun ezaren sarea: diseinuan fluxua // The Washington Post. 2015.
6. Michael Lista. Hacker nerabe bat zen, bere milioiak autoetan, arropetan eta erlojuetan gastatu zituena, FBIk harrapatu zuen arte. // Toronto Bizitza. 2018.
7. Craig Timberg. Segurtasun ezaren sarea: hondamendia iragarria eta ez ikusia // The Washington Post. 2015.
8. Craig Timberg. "Konponketa" azkar baten bizitza luzea: 1989ko Interneteko protokoloak datuak zaurgarri uzten ditu bahitzaileen aurrean // The Washington Post. 2015.
9. Craig Timberg. Segurtasunik ezaren sarea: argumentuaren muina // The Washington Post. 2015.
10. Josu Gans. Iturburu irekiko kodeak gure Y2K beldurrak egia bihur al ditzake? // Harvard Business Review (Digitala). 2017.
11. Kaspersky-ko zuzendari nagusia atxilotu du FSBk // CNews. 2017. URLa.
12. Maria Kolomychenko. Cyber ​​​​adimen zerbitzua: Sberbankek hackerrei aurre egiteko egoitza bat sortzea proposatu zuen // RBC. 2017.

Iturria: www.habr.com