Kun "mustat hatut" - kyberavaruuden villin metsän siivoojana - osoittautuvat erityisen menestyneiksi likaisessa työssään, keltainen media kiljuu ilosta. Tämän seurauksena maailma alkaa suhtautua kyberturvallisuuteen vakavammin. Mutta valitettavasti ei heti. Tästä syystä maailma ei ole vielä kypsä aktiivisille ennakoiville toimenpiteille, vaikka katastrofaaliset kyberonnettomuudet lisääntyvät. On kuitenkin odotettavissa, että lähitulevaisuudessa "mustien hattujen" ansiosta maailma alkaa ottaa kyberturvallisuutta vakavasti. [7]

Yhtä vakavia kuin tulipalot... Kaupungit olivat aikoinaan hyvin herkkiä katastrofaalisille tulipaloille. Mahdollisesta vaarasta huolimatta ennakoivia suojatoimenpiteitä ei kuitenkaan ryhdytty - edes Chicagossa vuonna 1871 tapahtuneen jättiläispalon jälkeen, joka vaati satoja ihmishenkiä ja joutui siirtymään satoja tuhansia ihmisiä. Ennakoiviin suojatoimenpiteisiin ryhdyttiin vasta samanlaisen katastrofin toistuessa, kolme vuotta myöhemmin. Sama koskee kyberturvallisuutta – maailma ei ratkaise tätä ongelmaa, ellei tapahdu katastrofaalisia tapauksia. Mutta vaikka tällaisia ​​tapauksia tapahtuisi, maailma ei ratkaise tätä ongelmaa heti. [7] Siksi jopa sanonta: "Ennen kuin vika ilmenee, ihmistä ei paikata" ei aivan toimi. Siksi juhlimme vuonna 2018 vallitsevan epävarmuuden 30-vuotispäivää.

Lyyrinen poikkeama

Tämän artikkelin alku, jonka kirjoitin alun perin System Administrator -lehteen, osoittautui tietyssä mielessä profeetalliseksi. Tämän artikkelin sisältävä aikakauslehti meni ulos kirjaimellisesti päivästä toiseen Kemerovon kauppakeskuksen "Winter Cherry" traagisen tulipalon kanssa (2018, 20. maaliskuuta).

Asenna Internet 30 minuutissa

Vuonna 1988 legendaarinen hakkerigalaksi L0pht, joka puhui täydessä voimissaan ennen vaikutusvaltaisimpien länsimaisten virkamiesten kokousta, julisti: "Tietokoneenne laitteesi on alttiina Internetin kyberhyökkäyksille. Ja ohjelmistot ja laitteistot ja tietoliikenne. Niiden myyjät eivät ole lainkaan huolissaan tästä tilanteesta. Koska nykyaikainen lainsäädäntö ei ota vastuuta huolimattomasta lähestymistavasta valmistettujen ohjelmistojen ja laitteistojen kyberturvallisuuden varmistamisessa. Vastuu mahdollisista vioista (joko ne ovat spontaaneja tai verkkorikollisten väliintulon aiheuttamia) on yksinomaan laitteen käyttäjällä. Mitä tulee liittovaltion hallitukseen, sillä ei ole taitoja eikä halua ratkaista tätä ongelmaa. Siksi, jos etsit kyberturvallisuutta, Internet ei ole oikea paikka löytää sitä. Jokainen seitsemästä edessäsi istuvasta ihmisestä voi katkaista Internetin kokonaan ja siten ottaa täysin hallintaansa siihen liitetyt laitteet. Itsekseen. 30 minuuttia koreografoituja näppäinpainalluksia ja se on valmis." [7]

Virkamiehet nyökkäsivät merkityksellisesti ja tekivät selväksi, että he ymmärsivät tilanteen vakavuuden, mutta eivät tehneet mitään. Tänään, tasan 30 vuotta L0phtin legendaarisen esityksen jälkeen, maailmaa vaivaa edelleen "rehottava epävarmuus". Tietokoneistettujen, Internetiin yhdistettyjen laitteiden hakkerointi on niin helppoa, että Internet, alun perin idealististen tiedemiesten ja harrastajien valtakunta, on vähitellen vallannut käytännöllisimmät ammattilaiset: huijarit, huijarit, vakoilijat, terroristit. Ne kaikki käyttävät hyväkseen tietokoneistetun laitteiston haavoittuvuuksia saadakseen taloudellisia tai muita etuja. [7]

Myyjät laiminlyövät kyberturvallisuuden

Joskus myyjät tietysti yrittävät korjata joitain tunnistettuja haavoittuvuuksia, mutta he tekevät niin hyvin vastahakoisesti. Koska heidän voittonsa ei tule suojauksesta hakkereilta, vaan niiden uusista toiminnoista, joita he tarjoavat kuluttajille. Koska myyjät keskittyvät yksinomaan lyhytaikaisiin voittoihin, ne sijoittavat rahaa vain todellisten ongelmien ratkaisemiseen, eivät hypoteettisiin. Kyberturvallisuus on monien silmissä hypoteettinen asia. [7]

Kyberturvallisuus on näkymätön, aineeton asia. Se tulee konkreettiseksi vasta, kun sen kanssa ilmenee ongelmia. Jos he pitivät siitä hyvää huolta (he käyttivät paljon rahaa sen tarjoamiseen), eikä siinä ole ongelmia, loppukuluttaja ei halua maksaa siitä liikaa. Lisäksi suojatoimenpiteiden toteuttaminen vaatii kasvavien taloudellisten kustannusten lisäksi lisäkehitysaikaa, edellyttää laitteiden kykyjen rajoittamista ja johtaa sen tuottavuuden laskuun. [8]

Omia markkinoijiamme on vaikea vakuuttaa listattujen kustannusten kannattavuudesta, saati sitten loppukuluttajia. Ja koska nykyaikaiset myyjät ovat kiinnostuneita vain lyhyen aikavälin myyntivoitoista, he eivät ole ollenkaan taipuvaisia ​​ottamaan vastuuta luomustensa kyberturvallisuuden varmistamisesta. [1] Toisaalta huolellisemmat laitteidensa kyberturvallisuudesta huolehtineet myyjät kohtaavat sen, että yrityskuluttajat suosivat halvempia ja helpompia käyttää vaihtoehtoja. Että. On selvää, että yrityskuluttajat eivät myöskään välitä kyberturvallisuudesta paljoa. [8]

Yllä olevan valossa ei ole yllättävää, että myyjät yleensä laiminlyövät kyberturvallisuuden ja noudattavat seuraavaa filosofiaa: ”Jatka rakentamista, myy ja korjaa tarvittaessa. Onko järjestelmä kaatunut? Tieto hukassa? Tietokanta luottokorttien numeroista varastettu? Onko laitteessasi tunnistettu kohtalokkaita haavoittuvuuksia? Ei ongelmaa!" Kuluttajien on puolestaan ​​noudatettava periaatetta: "Pach and rukoile". [7]

Kuinka tämä tapahtuu: esimerkkejä luonnosta

Silmiinpistävä esimerkki kyberturvallisuuden laiminlyönnistä kehitystyön aikana on Microsoftin yrityskannustinohjelma: ”Jos noudatat määräaikoja, saat sakon. Jos sinulla ei ole aikaa toimittaa innovaatiosi julkaisua ajoissa, sitä ei oteta käyttöön. Jos sitä ei toteuteta, et saa yhtiön osakkeita (pala piirakkaa Microsoftin voitosta). Vuodesta 1993 lähtien Microsoft alkoi aktiivisesti linkittää tuotteitaan Internetiin. Koska tämä aloite toimi saman motivaatioohjelman mukaisesti, toiminnallisuus laajeni nopeammin kuin puolustus pystyi pysymään sen perässä. Pragmaattisten haavoittuvuuden metsästäjien iloksi... [7]

Toinen esimerkki on tietokoneiden ja kannettavien tietokoneiden tilanne: niissä ei ole esiasennettua virustorjuntaa; eivätkä ne myöskään sisällä vahvoja salasanoja. Oletetaan, että loppukäyttäjä asentaa virustorjunnan ja asettaa suojausasetukset. [1]

Toinen, äärimmäisempi esimerkki: tilanne vähittäiskaupan laitteiden (kassakoneet, kauppakeskusten PoS-päätteet jne.) kyberturvallisuuden kanssa. Niin tapahtui, että kaupallisten laitteiden myyjät myyvät vain sitä, mitä myydään, eivätkä turvallista. [2] Jos kaupalliset laitetoimittajat välittävät jostakin kyberturvallisuudesta, se on sen varmistaminen, että jos kiistanalainen tapaus tapahtuu, vastuu lankeaa muille. [3]

Ohjeellinen esimerkki tästä tapahtumien kehityksestä: pankkikorttien EMV-standardin popularisointi, joka pankkimarkkinoijien osaavan työn ansiosta näkyy teknisesti kehittymättömän yleisön silmissä turvallisempana vaihtoehtona "vanhentuneelle" magneettikortit. Samanaikaisesti EMV-standardin kehittämisestä vastanneen pankkialan päämotivaatio oli siirtää vastuuta (korttelijan tuottamuksesta johtuvista) petoksista - kaupoista kuluttajille. Aiemmin (kun maksut suoritettiin magneettikorteilla) taloudellinen vastuu oli myymälöillä maksu-/luottoeroista. [3] Näin ollen maksuja käsittelevät pankit siirtävät vastuun joko kauppiaille (jotka käyttävät etäpankkijärjestelmiään) tai maksukortteja myöntäville pankeille; kaksi jälkimmäistä puolestaan ​​siirtävät vastuun kortinhaltijalle. [2]

Myyjät estävät kyberturvallisuuden

Kun digitaalinen hyökkäyspinta vääjäämättömästi laajenee – Internetiin yhdistettyjen laitteiden räjähdysmäisen määrän ansiosta – yrityksen verkkoon liitetyn palvelun seuraaminen muuttuu yhä vaikeammaksi. Samaan aikaan myyjät siirtävät huolensa kaikkien Internetiin kytkettyjen laitteiden turvallisuudesta loppukäyttäjälle [1]: "Kukkuvien ihmisten pelastus on hukkuvien ihmisten itsensä työtä."

Myyjät eivät vain välitä luomustensa kyberturvallisuudesta, vaan joissain tapauksissa he myös häiritsevät sen tarjoamista. Esimerkiksi kun Conficker-verkkomato vuoti vuonna 2009 Beth Israel Medical Centeriin ja tartutti osan siellä olevista lääketieteellisistä laitteista, tämän lääketieteellisen keskuksen tekninen johtaja päätti estää vastaavien tapausten toistumisen tulevaisuudessa. toiminnan tukitoiminto laitteissa, joihin verkkomato vaikuttaa. Hän kuitenkin kohtasi sen tosiasian, että "laitteita ei voitu päivittää säädösten rajoitusten vuoksi". Häneltä vaadittiin paljon vaivaa neuvotella myyjän kanssa verkkotoimintojen poistamiseksi käytöstä. [4]

Internetin perustavanlaatuinen kyberturvallisuus

David Clarke, legendaarinen MIT-professori, jonka nero ansaitsi hänelle lempinimen "Albus Dumbledore", muistaa päivän, jolloin Internetin pimeä puoli paljastettiin maailmalle. Clark toimi televiestintäkonferenssin puheenjohtajana marraskuussa 1988, kun uutinen puhkesi, että historian ensimmäinen tietokonemato oli luisunut verkkojohtojen läpi. Clark muisti tämän hetken, koska hänen konferenssissaan läsnä ollut puhuja (yhden johtavan televiestintäyrityksen työntekijä) joutui vastuuseen tämän madon leviämisestä. Tämä puhuja sanoi tunteiden kuumuudessa vahingossa: "Täytyy!" Olen ilmeisesti sulkenut tämän haavoittuvuuden", hän maksoi näistä sanoista. [5]

Myöhemmin kuitenkin kävi ilmi, että haavoittuvuus, jonka kautta mainittu mato levisi, ei ollut kenenkään yksittäisen henkilön ansio. Ja tämä ei tarkalleen ottaen ollut edes haavoittuvuus, vaan Internetin perusominaisuus: Internetin perustajat keskittyivät aivotuoksuaan kehittäessään yksinomaan tiedonsiirtonopeuteen ja vikasietoisuuteen. He eivät asettaneet itselleen tehtäväksi kyberturvallisuuden varmistamista. [5]

Nykyään, vuosikymmeniä Internetin perustamisen jälkeen – kun satoja miljardeja dollareita on jo käytetty turhiin kyberturvallisuusyrityksiin – Internet ei ole yhtä haavoittuvainen. Sen kyberturvallisuusongelmat vain pahenevat vuosi vuodelta. Onko meillä kuitenkin oikeus tuomita Internetin perustajat tästä? Kukaanhan ei esimerkiksi tuomitse pikateiden rakentajia siitä, että "heidän teillä" tapahtuu onnettomuuksia; eikä kukaan tuomitse kaupunkisuunnittelijoita siitä tosiasiasta, että ryöstöjä tapahtuu "heidän kaupungeissaan". [5]

Kuinka hakkerialakulttuuri syntyi

Hakkeri alakulttuuri sai alkunsa 1960-luvun alussa "Railway Technical Modeling Clubista" (toimii Massachusetts Institute of Technologyn seinien sisällä). Klubin harrastajat suunnittelivat ja kokosivat malliradan, niin valtavan, että se täytti koko huoneen. Klubin jäsenet jakautuivat spontaanisti kahteen ryhmään: rauhantekijät ja järjestelmäasiantuntijat. [6]

Ensimmäinen työskenteli mallin maanpäällisen osan kanssa, toinen - maanalaisen osan kanssa. Ensimmäiset keräsivät ja koristelivat junien ja kaupunkien malleja: he mallinsivat koko maailman pienoiskoossa. Jälkimmäinen työskenteli kaiken tämän rauhanturvaamisen teknisen tuen parissa: mallin maanalaisessa osassa sijaitsevien johtojen, releiden ja koordinaattikytkimien monimutkaisuus - kaikki, mikä ohjasi "maanpäällistä" osaa ja ruokki sitä energialla. [6]

Kun liikenneongelma ilmeni ja joku keksi uuden ja nerokkaan ratkaisun sen korjaamiseksi, ratkaisua kutsuttiin "hakkerointiksi". Klubin jäsenille uusien hakkerien etsimisestä on tullut elämän olennainen tarkoitus. Siksi he alkoivat kutsua itseään "hakkereiksi". [6]

Ensimmäinen hakkereiden sukupolvi toteutti Simulation Railway Clubissa hankittuja taitoja kirjoittamalla tietokoneohjelmia reikäkorteille. Sitten, kun ARPANET (Internetin edeltäjä) saapui kampukselle vuonna 1969, hakkereista tuli sen aktiivisimmat ja taitavimmat käyttäjät. [6]

Nyt, vuosikymmeniä myöhemmin, moderni Internet muistuttaa juuri sitä "maanalaista" mallirautatien osaa. Koska sen perustajat olivat nämä samat hakkerit, "Railroad Simulation Clubin" opiskelijat. Vain hakkerit käyttävät nyt oikeita kaupunkeja simuloitujen pienoismallien sijaan. [6]

Miten BGP-reititys tuli

80-luvun lopulla Internetiin kytkettyjen laitteiden lumivyörymäisen kasvun seurauksena Internet lähestyi yhteen Internetin perusprotokollasta sisäänrakennettua kovaa matemaattista rajaa. Siksi kaikki keskustelut tuon ajan insinöörien välillä muuttuivat lopulta keskusteluksi tästä ongelmasta. Kaksi ystävää eivät olleet poikkeus: Jacob Rechter (IBM:n insinööri) ja Kirk Lockheed (Ciscon perustaja). Tavattuaan sattumalta päivällispöydässä he alkoivat keskustella toimenpiteistä Internetin toimivuuden säilyttämiseksi. Ystävät kirjasivat ylös ideat, jotka syntyivät mistä tahansa käsille tulleesta - ketsuppilla tahratusta lautasliinasta. Sitten toinen. Sitten kolmas. "Kolmen lautasliinaprotokolla", kuten sen keksijät vitsillä kutsuivat - tunnetaan virallisissa piireissä nimellä BGP (Border Gateway Protocol) - mullistai pian Internetin. [8]

Rechterille ja Lockheedille BGP oli yksinkertaisesti satunnainen hakkerointi, joka kehitettiin edellä mainitun Model Railroad Clubin hengessä, väliaikainen ratkaisu, joka korvataan pian. Kaverit kehittivät BGP:n vuonna 1989. Nykyään, 30 vuotta myöhemmin, suurin osa Internet-liikenteestä reititetään kuitenkin edelleen "kolmen lautasliinaprotokollan" avulla – huolimatta yhä hälyttävämmistä puheluista sen kyberturvallisuuden kriittisistä ongelmista. Väliaikaisesta hakkeroinnista tuli yksi Internetin perusprotokollia, ja sen kehittäjät oppivat omasta kokemuksestaan, että "ei ole mitään pysyvämpää kuin väliaikaiset ratkaisut". [8]

Verkot ympäri maailmaa ovat siirtyneet BGP:hen. Vaikutusvaltaiset myyjät, varakkaat asiakkaat ja televiestintäyritykset rakastuivat nopeasti BGP:hen ja tottuivat siihen. Siksi, vaikka yhä useammat hälytyskellot soivat tämän protokollan turvattomuudesta, IT-yleisö ei edelleenkään osoita innostusta siirtymiseen uusiin, turvallisempiin laitteisiin. [8]

Kyberturvaton BGP-reititys

Miksi BGP-reititys on niin hyvä ja miksi IT-yhteisöllä ei ole kiirettä hylätä sitä? BGP auttaa reitittimiä tekemään päätöksiä siitä, mihin reitittää valtavan risteävien viestintälinjojen verkon yli lähetetyt valtavat tietovirrat. BGP auttaa reitittimiä valitsemaan sopivat reitit, vaikka verkko muuttuu jatkuvasti ja suosituilla reiteillä on usein ruuhkaa. Ongelmana on se, että Internetissä ei ole globaalia reitityskarttaa. BGP:tä käyttävät reitittimet tekevät päätöksiä polun valinnasta kyberavaruudessa olevien naapureiden saamien tietojen perusteella, jotka puolestaan ​​keräävät tietoa naapuristaan ​​jne. Nämä tiedot voidaan kuitenkin helposti väärentää, mikä tarkoittaa, että BGP-reititys on erittäin alttiina MiTM-hyökkäyksille. [8]

Siksi seuraavanlaisia ​​kysymyksiä herää säännöllisesti: "Miksi liikenne kahden tietokoneen välillä Denverissä teki valtavan kiertotien Islannin läpi?", "Miksi Pentagonin luokitellut tiedot siirrettiin kerran Pekingin kautta?" Tällaisiin kysymyksiin on olemassa teknisiä vastauksia, mutta ne kaikki johtuvat siitä, että BGP toimii luottamuksella: luotetaan naapurireitittimiltä saatuihin suosituksiin. BGP-protokollan luottamuksen ansiosta salaperäiset liikenteenohjaajat voivat halutessaan houkutella muiden tietovirtoja verkkotunnukseensa. [8]

Elävä esimerkki on Kiinan BGP-hyökkäys Yhdysvaltain Pentagonia vastaan. Huhtikuussa 2010 valtion omistama televiestintäjätti China Telecom lähetti kymmeniä tuhansia reitittimiä ympäri maailmaa, mukaan lukien 16 8 Yhdysvaltoihin, BGP-viestin, joka kertoi heille, että heillä on paremmat reitit. Ilman järjestelmää, joka voisi varmistaa China Telecomin BGP-sanoman oikeellisuuden, reitittimet ympäri maailmaa alkoivat lähettää tietoja Pekingin kautta. Sisältää liikenteen Pentagonista ja muista Yhdysvaltain puolustusministeriön sivustoista. Liikenteen uudelleenreitityksen helppous ja tehokkaan suojan puute tämäntyyppisiä hyökkäyksiä vastaan ​​on toinen merkki BGP-reitityksen epävarmuudesta. [XNUMX]

BGP-protokolla on teoriassa alttiina vieläkin vaarallisemmalle kyberhyökkäykselle. Mikäli kansainväliset konfliktit kärjistyvät täysillä kyberavaruudessa, China Telecom tai joku muu tietoliikennejätti voisi yrittää vaatia omistukseensa sellaisia ​​Internetin osia, jotka eivät itse asiassa kuulu sille. Tällainen liike hämmentäisi reitittimiä, joiden pitäisi pomppia kilpailevien tarjousten välillä samoista Internet-osoitteiden lohkoista. Ilman kykyä erottaa laillinen sovellus väärennetystä, reitittimet alkaisivat toimia satunnaisesti. Tämän seurauksena joutuisimme vastakkain ydinsodan Internetissä – avoimen, laajamittaisen vihamielisyyden osoituksena. Tällainen kehitys suhteellisen rauhan aikoina vaikuttaa epärealistiselta, mutta teknisesti se on täysin mahdollista. [8]

Turha yritys siirtyä BGP:stä BGPSEC:iin

Kyberturvallisuutta ei otettu huomioon BGP:tä kehitettäessä, koska hakkerit olivat tuolloin harvinaisia ​​ja niiden aiheuttamat vahingot mitättömät. BGP:n kehittäjillä, koska he työskentelivät tietoliikenneyrityksissä ja olivat kiinnostuneita verkkolaitteidensa myynnistä, oli tärkeämpi tehtävä: välttää Internetin spontaaneja rikkoutumisia. Koska Internetin häiriöt voivat vieraannuttaa käyttäjiä ja siten vähentää verkkolaitteiden myyntiä. [8]

Huhtikuussa 2010 tapahtuneen tapauksen jälkeen, jossa amerikkalaista sotilasliikennettä siirrettiin Pekingin kautta, BGP-reitityksen kyberturvallisuuden varmistaminen kiihtyi varmasti. Televiestintätoimittajat ovat kuitenkin osoittaneet vain vähän innostusta kustannuksista, jotka liittyvät siirtymiseen uuteen suojattuun reititysprotokollaan BGPSEC, jota ehdotettiin suojaamattoman BGP:n tilalle. Myyjät pitävät BGP:tä edelleen varsin hyväksyttävänä, vaikka lukuisista liikenteen kaappauksista huolimatta. [8]

Radia Perlman, jota kutsuttiin "Internetin äidiksi" toisen suuren verkkoprotokollan keksimisestä vuonna 1988 (vuosi ennen BGP:tä), ansaitsi profeetallisen väitöskirjan MIT:ssä. Perlman ennusti, että naapureiden rehellisyydestä riippuvainen reititysprotokolla kyberavaruudessa on pohjimmiltaan turvaton. Perlman kannatti salauksen käyttöä, mikä auttaisi rajoittamaan väärennösten mahdollisuutta. BGP:n käyttöönotto oli kuitenkin jo täydessä vauhdissa, vaikutusvaltainen IT-yhteisö oli tottunut siihen, eikä halunnut muuttaa mitään. Siksi Perlmanin, Clarkin ja joidenkin muiden merkittävien maailmanasiantuntijoiden perusteltujen varoitusten jälkeen kryptografisesti suojatun BGP-reitityksen suhteellinen osuus ei ole kasvanut ollenkaan, ja on edelleen 0%. [8]

BGP-reititys ei ole ainoa hakkerointi

Ja BGP-reititys ei ole ainoa hakkerointi, joka vahvistaa ajatuksen, että "mikään ei ole pysyvämpää kuin väliaikaiset ratkaisut". Joskus internet, joka upottaa meidät fantasiamaailmoihin, näyttää yhtä elegantilta kuin kilpa-auto. Todellisuudessa Internet on kuitenkin toistensa päälle kasattujen hakkerien vuoksi enemmän kuin Frankenstein kuin Ferrari. Koska näitä hakkereita (virallisemmin kutsutaan korjaustiedostoiksi) ei koskaan korvata luotettavalla tekniikalla. Tämän lähestymistavan seuraukset ovat kauheita: verkkorikolliset murtautuvat päivittäin ja joka tunti haavoittuviin järjestelmiin ja laajentavat kyberrikollisuuden ulottuvuutta aiemmin käsittämättömiin mittasuhteisiin. [8]

Monet kyberrikollisten käyttämistä puutteista ovat olleet tiedossa pitkään, ja ne ovat säilyneet yksinomaan IT-yhteisön taipumuksen vuoksi ratkaista esiin nousevia ongelmia - väliaikaisilla hakkeroinneilla/korjauksilla. Joskus tämän vuoksi vanhentuneet tekniikat kasautuvat päällekkäin pitkäksi aikaa, mikä vaikeuttaa ihmisten elämää ja vaarantaa heidät. Mitä ajattelisit, jos saisit tietää, että pankkisi rakentaa holviaan oljen ja mudan perustukselle? Luottaisitko hänen pitämään säästösi? [8]

Linus Torvaldsin huoleton asenne

Kesti vuosia, ennen kuin Internet saavutti sata ensimmäistä tietokonettaan. Nykyään siihen liitetään 100 uutta tietokonetta ja muuta laitetta joka sekunti. Kun Internetiin kytketyt laitteet lisääntyvät räjähdysmäisesti, myös kyberturvallisuusongelmien kiireellisyys lisääntyy. Kuitenkin henkilö, jolla voi olla suurin vaikutus näiden ongelmien ratkaisemiseen, on se, joka suhtautuu kyberturvallisuuteen halveksivasti. Tätä miestä on kutsuttu neroksi, kiusaajaksi, henkiseksi johtajaksi ja hyväntahtoiseksi diktaattoriksi. Linus Torvalds. Suurin osa Internetiin yhdistetyistä laitteista käyttää sen käyttöjärjestelmää, Linuxia. Nopea, joustava, ilmainen – Linuxista on tulossa yhä suositumpi ajan myötä. Samalla se käyttäytyy erittäin vakaasti. Ja se voi toimia ilman uudelleenkäynnistystä useiden vuosien ajan. Tästä syystä Linuxilla on kunnia olla hallitseva käyttöjärjestelmä. Lähes kaikki käytettävissämme olevat tietokoneistetut laitteet käyttävät Linuxia: palvelimet, lääketieteelliset laitteet, lentotietokoneet, pienet droonit, sotilaskoneet ja paljon muuta. [9]

Linux menestyy suurelta osin, koska Torvalds korostaa suorituskykyä ja vikasietoisuutta. Hän kuitenkin painottaa tätä kyberturvallisuuden kustannuksella. Vaikka kyberavaruus ja todellinen fyysinen maailma kietoutuvat toisiinsa ja kyberturvallisuudesta tulee globaali ongelma, Torvalds vastustaa edelleen turvallisten innovaatioiden tuomista käyttöjärjestelmäänsä. [9]

Siksi jopa monien Linux-fanien keskuudessa on kasvava huoli tämän käyttöjärjestelmän haavoittuvuuksista. Erityisesti Linuxin intiimi osa, sen ydin, jonka parissa Torvalds työskentelee henkilökohtaisesti. Linux-fanit näkevät, että Torvalds ei ota kyberturvallisuusongelmia vakavasti. Lisäksi Torvalds on ympäröinyt itsensä kehittäjillä, jotka jakavat tämän huolettoman asenteen. Jos joku Torvaldsin lähipiiristä alkaa puhua turvallisten innovaatioiden käyttöönotosta, hän on välittömästi tyrmistynyt. Torvalds hylkäsi yhden ryhmän tällaisia ​​keksijöitä ja kutsui heitä "masturboiviksi apinoksi". Kun Torvalds sanoi hyvästit toiselle turvallisuustietoisten kehittäjien ryhmälle, hän sanoi heille: ”Olisitko niin ystävällinen ja tappaisit itsesi. Maailma olisi parempi paikka sen ansiosta." Aina kun oli kyse turvaominaisuuksien lisäämisestä, Torvalds vastusti sitä aina. [9] Torvaldsilla on jopa kokonainen filosofia tässä suhteessa, joka ei ole vailla tervettä järkeä:

"Absoluuttinen turvallisuus on saavuttamaton. Siksi sitä tulee aina tarkastella vain suhteessa muihin prioriteetteihin: nopeus, joustavuus ja helppokäyttöisyys. Ihmiset, jotka omistautuvat kokonaan suojelun tarjoamiseen, ovat hulluja. Heidän ajattelunsa on rajallista, mustavalkoista. Turvallisuus sinänsä on turhaa. Olemus on aina jossain muualla. Siksi et voi taata täydellistä turvallisuutta, vaikka todella haluaisitkin. Tietysti on ihmisiä, jotka kiinnittävät enemmän huomiota turvallisuuteen kuin Torvalds. Nämä kaverit kuitenkin vain työskentelevät sen parissa, mikä heitä kiinnostaa, ja tarjoavat turvaa kapeassa suhteellisessa kehyksessä, joka rajaa nämä intressit. Ei enempää. Joten ne eivät millään tavalla lisää absoluuttista turvallisuutta." [9]

Sivupalkki: OpenSource on kuin ruutitynnyri [10]

OpenSource-koodi on säästänyt miljardeja ohjelmistokehityskustannuksissa, mikä eliminoi päällekkäisten ponnistelujen tarpeen: OpenSourcen avulla ohjelmoijat voivat käyttää ajankohtaisia ​​innovaatioita ilman rajoituksia tai maksua. OpenSourcea käytetään kaikkialla. Vaikka palkkaisit ohjelmistokehittäjän ratkaisemaan erityisongelmasi tyhjästä, tämä kehittäjä todennäköisesti käyttää jonkinlaista OpenSource-kirjastoa. Ja luultavasti enemmän kuin yksi. Näin ollen OpenSource-elementtejä on lähes kaikkialla. Samalla on ymmärrettävä, että mikään ohjelmisto ei ole staattinen, vaan sen koodi muuttuu jatkuvasti. Siksi "aseta ja unohda" -periaate ei koskaan toimi koodille. Sisältää OpenSource-koodin: ennemmin tai myöhemmin päivitetty versio vaaditaan.

Vuonna 2016 näimme tämän tilanteen seuraukset: 28-vuotias kehittäjä "rikkoi" hetken Internetin poistamalla OpenSource-koodinsa, jonka hän oli aiemmin tuonut julkisesti saataville. Tämä tarina osoittaa, että kyberinfrastruktuurimme on erittäin hauras. Jotkut ihmiset - jotka tukevat OpenSource-projekteja - ovat niin tärkeitä sen ylläpitämisessä, että jos he varjelkoon he törmäävät bussiin, Internet katkeaa.

Vaikeasti ylläpidettävä koodi on se, missä vakavimmat kyberturvallisuuden haavoittuvuudet piilevät. Jotkut yritykset eivät edes ymmärrä, kuinka haavoittuvia ne ovat vaikeasti ylläpidettävän koodin vuoksi. Tällaiseen koodiin liittyvät haavoittuvuudet voivat kypsyä todelliseksi ongelmaksi hyvin hitaasti: järjestelmät mätänevät hitaasti ilman, että mädäntymisprosessissa ilmenee näkyviä vikoja. Ja kun ne epäonnistuvat, seuraukset ovat kohtalokkaat.

Lopuksi, koska OpenSource-projekteja kehittää yleensä harrastajayhteisö, kuten Linus Torvalds tai artikkelin alussa mainitut Model Railroad Clubin hakkerit, vaikeasti ylläpidettävän koodin ongelmia ei voida ratkaista perinteisillä tavoilla (käyttäen kaupalliset ja valtion vivut). Koska tällaisten yhteisöjen jäsenet ovat tahtoisia ja arvostavat itsenäisyyttään yli kaiken.

Sivupalkki: Ehkä tiedustelupalvelut ja virustorjuntakehittäjät suojelevat meitä?

Vuonna 2013 tuli tunnetuksi, että Kaspersky Labilla oli erityinen yksikkö, joka suoritti tietoturvahäiriöiden räätälöityjä tutkimuksia. Viime aikoihin asti tätä osastoa johti entinen poliisimajuri Ruslan Stoyanov, joka työskenteli aiemmin pääkaupungin K-osastolla (Moskovan sisäasioiden pääosaston USTM). Kaikki tämän Kaspersky Labin erikoisyksikön työntekijät tulevat lainvalvontaviranomaisista, mukaan lukien tutkintakomitea ja osasto "K". [yksitoista]

Vuoden 2016 lopussa FSB pidätti Ruslan Stojanovin ja syytti häntä maanpetoksesta. Samassa tapauksessa pidätettiin FSB CIB:n (tietoturvakeskuksen) korkea-arvoinen edustaja Sergei Mikhailov, johon ennen pidätystä oli sidottu maan koko kyberturvallisuus. [yksitoista]

Sivupalkki: Kyberturvallisuus pakotettu

Pian venäläiset yrittäjät joutuvat kiinnittämään vakavaa huomiota kyberturvallisuuteen. Tammikuussa 2017 Tietosuoja- ja erityisviestintäkeskuksen edustaja Nikolai Murashov totesi, että Venäjällä pelkästään CII-objekteihin (kriittinen tietoinfrastruktuuri) hyökättiin vuonna 2016 yli 70 miljoonaa kertaa. CII-objekteja ovat valtion virastojen, puolustusteollisuuden yritysten, liikenteen, luotto- ja rahoitusalan, energia-, polttoaine- ja ydinteollisuuden tietojärjestelmät. Heidän suojelemiseksi Venäjän presidentti Vladimir Putin allekirjoitti 26. heinäkuuta lakipaketin "CII:n turvallisuudesta". 1 mennessä, kun laki tulee voimaan, CII-tilojen omistajien tulee toteuttaa joukko toimenpiteitä suojatakseen infrastruktuuriaan hakkerihyökkäyksiä vastaan, erityisesti muodostaa yhteys GosSOPKAan. [2018]

bibliografia

1. Jonathan Millet. IoT: Älylaitteiden suojaamisen tärkeys // 2017.
2. Ross Anderson. Kuinka älykorttimaksujärjestelmät epäonnistuvat // Black Hat. 2014.
3. SJ Murdoch. Siru ja PIN-koodi on rikki // IEEE-symposiumin tiedot turvallisuudesta ja yksityisyydestä. 2010. s. 433-446.
4. David Talbot. Tietokonevirukset ovat "rehollaan" sairaaloiden lääkinnällisissä laitteissa // MIT Technology Review (digitaalinen). 2012
5. Craig Timberg. Turvattomuuden netto: Suunnittelun virtaus // Washington Post. 2015.
6. Michael Lista. Hän oli teini-ikäinen hakkeri, joka käytti miljoonansa autoihin, vaatteisiin ja kelloihin – kunnes FBI sai sen // Toronton elämä. 2018
7. Craig Timberg. Turvattomuuden verkko: ennustettu katastrofi – ja huomiotta jätetty // Washington Post. 2015.
8. Craig Timberg. Pikakorjauksen pitkä käyttöikä: Internet-protokolla vuodelta 1989 jättää tiedot haavoittuvaksi kaappaajille // Washington Post. 2015.
9. Craig Timberg. Turvattomuusverkko: Argumentin ydin // Washington Post. 2015.
10. Joshua Gans. Voisiko avoimen lähdekoodin toteuttaa vuosi 2 -pelkomme lopulta? // Harvard Business Review (digitaalinen). 2017
11. FSB pidätti Kasperskyn huippujohtajan // CNews. 2017. URL.
12. Maria Kolomychenko. Kybertiedustelupalvelu: Sberbank ehdotti päämajan perustamista hakkereiden torjumiseksi // RBC. 2017

Lähde: will.com