Cando os "sombreiros negros" -sendo os encargados do bosque salvaxe do ciberespazo- resultan ser especialmente exitosos no seu traballo sucio, os medios amarelos berran de deleite. Como resultado, o mundo comeza a considerar a ciberseguridade máis seriamente. Pero, por desgraza, non de inmediato. Polo tanto, a pesar do crecente número de incidentes cibernéticos catastróficos, o mundo aínda non está maduro para tomar medidas activas e proactivas. Non obstante, espérase que nun futuro próximo, grazas aos "sombreiros negros", o mundo comece a tomarse en serio a ciberseguridade. [7]

Tan graves coma os incendios... As cidades foron antes moi vulnerables aos incendios catastróficos. Non obstante, a pesar do perigo potencial, non se tomaron medidas de protección proactivas, mesmo despois do xigantesco incendio de Chicago en 1871, que cobrou centos de vidas e desprazou centos de miles de persoas. As medidas de protección proactivas só se tomaron despois de que volvese a producir un desastre similar, tres anos despois. O mesmo ocorre coa ciberseguridade: o mundo non resolverá este problema a menos que haxa incidentes catastróficos. Pero aínda que se produzan tales incidentes, o mundo non resolverá este problema de inmediato. [7] Polo tanto, mesmo o dito: "Ata que non se produza un erro, un home non será reparado", non funciona. Por iso en 2018 celebramos 30 anos de inseguridade desenfreada.

Digresión lírica

O comezo deste artigo, que escribín orixinalmente para a revista System Administrator, resultou ser profético en certo sentido. Edición dunha revista con este artigo saíu literalmente día tras día co tráxico incendio no centro comercial "Winter Cherry" de Kemerovo (2018 de marzo de 20).

Instala Internet en 30 minutos

Alá por 1988, o lendario hacker galaxia L0pht, falando con toda forza antes dunha reunión dos máis influentes funcionarios occidentais, declarou: “Os teus equipos informáticos son vulnerables aos ataques cibernéticos de Internet. E software, e hardware, e telecomunicacións. Os seus vendedores non están nada preocupados por este estado de cousas. Porque a lexislación moderna non prevé ningunha responsabilidade por un enfoque neglixente para garantir a ciberseguridade do software e hardware fabricados. A responsabilidade dos posibles fallos (xa sexan espontáneos ou provocados pola intervención de ciberdelincuentes) é unicamente do usuario do equipo. En canto ao goberno federal, non ten nin as habilidades nin o desexo de resolver este problema. Polo tanto, se estás buscando ciberseguridade, Internet non é o lugar para atopala. Cada unha das sete persoas sentadas diante de ti pode romper completamente Internet e, en consecuencia, tomar o control total sobre os equipos conectados a ela. Por si mesmo. 30 minutos de teclas coreografiadas e xa está". [7]

Os funcionarios asentiron con sentido, deixando claro que entendían a gravidade da situación, pero non fixeron nada. Hoxe, exactamente 30 anos despois da lendaria actuación de L0pht, o mundo aínda está plagado de "inseguridade rampante". Hackear equipos informáticos conectados a Internet é tan sinxelo que Internet, inicialmente un reino de científicos e entusiastas idealistas, foi pouco a pouco ocupada polos profesionais máis pragmáticos: estafadores, estafadores, espías, terroristas. Todos eles explotan as vulnerabilidades dos equipos informáticos para obter beneficios económicos ou doutro tipo. [7]

Os vendedores descoidan a ciberseguridade

Os provedores ás veces, por suposto, tentan corrixir algunhas das vulnerabilidades identificadas, pero fano con moita retranca. Porque o seu beneficio non procede da protección dos hackers, senón da nova funcionalidade que proporcionan aos consumidores. Estando enfocados unicamente nos beneficios a curto prazo, os vendedores invisten diñeiro só en resolver problemas reais, non hipotéticos. A ciberseguridade, a ollos de moitos deles, é algo hipotético. [7]

A ciberseguridade é algo invisible e intanxible. Faise tanxible só cando xorden problemas con el. Se o coidaron ben (gastaron moito diñeiro na súa prestación) e non hai problemas con el, o consumidor final non quererá pagar de máis. Ademais, ademais de aumentar os custos financeiros, a implementación de medidas de protección require un tempo de desenvolvemento adicional, esixe limitar as capacidades do equipo e leva a unha diminución da súa produtividade. [8]

É difícil convencer incluso aos nosos propios comerciantes da viabilidade dos custos enumerados, e moito menos aos consumidores finais. E dado que os vendedores modernos só están interesados ​​nos beneficios das vendas a curto prazo, non están en absoluto inclinados a asumir a responsabilidade de garantir a ciberseguridade das súas creacións. [1] Por outra banda, os vendedores máis coidadosos que se ocuparon da ciberseguridade dos seus equipos enfróntanse ao feito de que os consumidores corporativos prefiren alternativas máis baratas e máis fáciles de usar. Iso. É obvio que aos consumidores corporativos tampouco lles importa moito a ciberseguridade. [8]

Tendo en conta o anterior, non é de estrañar que os vendedores tenden a descoidar a ciberseguridade e se adhiran á seguinte filosofía: “Segue construíndo, segue vendendo e parchea cando sexa necesario. Fallou o sistema? Información perdida? Roubaron a base de datos con números de tarxeta de crédito? Hai algunha vulnerabilidade fatal identificada no teu equipo? Sen problema!" Os consumidores, pola súa banda, teñen que seguir o principio: "Remende e reza". [7]

Como ocorre isto: exemplos salvaxes

Un exemplo rechamante de neglixencia da ciberseguridade durante o desenvolvemento é o programa de incentivos corporativos de Microsoft: "Se non cumpre os prazos, será multado. Se non tes tempo para enviar o lanzamento da túa innovación a tempo, non se implementará. Se non se implementa, non recibirás accións da empresa (unha parte do pastel dos beneficios de Microsoft). Desde 1993, Microsoft comezou a vincular activamente os seus produtos a Internet. Dado que esta iniciativa funcionou de acordo co mesmo programa de motivación, a funcionalidade expandiuse máis rápido do que a defensa podía seguir. Para deleite dos pragmáticos cazadores de vulnerabilidades... [7]

Outro exemplo é a situación dos ordenadores e portátiles: non veñen cun antivirus preinstalado; e tampouco prevén a configuración predeterminada de contrasinais seguros. Suponse que o usuario final instalará o antivirus e establecerá os parámetros de configuración de seguridade. [1]

Outro exemplo máis extremo: a situación da ciberseguridade dos equipamentos comerciais (caixas rexistradoras, terminais PoS para centros comerciais, etc.). Ocorreu que os vendedores de equipos comerciais venden só o que se vende, e non o que é seguro. [2] Se hai algo que lles importa aos vendedores de equipos comerciais en termos de ciberseguridade, é asegurarse de que, se ocorre un incidente controvertido, a responsabilidade recae sobre outros. [3]

Un exemplo indicativo deste desenvolvemento dos acontecementos: a popularización do estándar EMV para tarxetas bancarias, que, grazas ao traballo competente dos comerciantes bancarios, aparece aos ollos do público non sofisticado tecnicamente como unha alternativa máis segura aos "obsoletos". tarxetas magnéticas. Ao mesmo tempo, a principal motivación da industria bancaria, que foi a encargada de desenvolver o estándar EMV, foi trasladar a responsabilidade dos incidentes fraudulentos (ocorridos por culpa dos carders) - das tendas aos consumidores. Mentres que antes (cando os pagos se facían con tarxetas magnéticas), a responsabilidade financeira recaía nas tendas polas discrepancias no débito/crédito. [3] Así os bancos que procesan pagos trasladan a responsabilidade aos comerciantes (que usan os seus sistemas bancarios remotos) ou aos bancos que emiten tarxetas de pago; os dous últimos, pola súa banda, trasladan a responsabilidade ao titular da tarxeta. [2]

Os vendedores están a obstaculizar a ciberseguridade

A medida que a superficie de ataque dixital se expande inexorablemente, grazas á explosión de dispositivos conectados a Internet, facer un seguimento do que está conectado á rede corporativa faise cada vez máis difícil. Ao mesmo tempo, os vendedores trasladan as preocupacións sobre a seguridade de todos os equipos conectados a Internet ao usuario final [1]: "O rescate das persoas que se afogan é o traballo das propias persoas que se afogan".

Os provedores non só non se preocupan pola ciberseguridade das súas creacións, senón que nalgúns casos tamén interfiren na súa prestación. Por exemplo, cando en 2009 o gusano da rede Conficker filtrou no Centro Médico Beth Israel e infectou alí parte do equipamento médico, o director técnico deste centro médico, para evitar que no futuro se produzan incidentes similares, decidiu desactivar o función de apoio ao funcionamento dos equipos afectados polo verme coa rede. Non obstante, atopouse ante o feito de que "o equipamento non se puido actualizar por restricións regulamentarias". Levou un esforzo considerable negociar co vendedor para desactivar as funcións de rede. [4]

Ciberinseguridade fundamental de Internet

David Clarke, o lendario profesor do MIT cuxo xenio lle valeu o alcume de "Albus Dumbledore", lembra o día en que o lado escuro de Internet foi revelado ao mundo. Clark presidía unha conferencia de telecomunicacións en novembro de 1988 cando se deu a noticia de que o primeiro gusano informático da historia se deslizara polos cables da rede. Clark lembrou este momento porque o relator presente na súa conferencia (un empregado dunha das principais empresas de telecomunicacións) foi responsable da propagación deste verme. Este orador, en plena emoción, dixo sen querer: "Aquí está!" Parece que pechei esta vulnerabilidade", pagou estas palabras. [5]

Non obstante, máis tarde resultou que a vulnerabilidade pola que se estendeu o mencionado verme non era mérito de ningunha persoa individual. E isto, en rigor, nin sequera era unha vulnerabilidade, senón unha característica fundamental de Internet: os fundadores de Internet, ao desenvolver a súa idea, centráronse exclusivamente na velocidade de transferencia de datos e na tolerancia a fallos. Non se propuxeron a tarefa de garantir a ciberseguridade. [5]

Hoxe, décadas despois da fundación de Internet, con centos de miles de millóns de dólares xa gastados en intentos inútiles de ciberseguridade, Internet non é menos vulnerable. Os seus problemas de ciberseguridade só empeoran cada ano. Porén, temos dereito a condenar por isto aos fundadores de Internet? Despois, por exemplo, ninguén vai condenar aos construtores de autovías polo feito de que os accidentes se produzan nas "súas estradas"; e ninguén condenará aos urbanistas polo feito de que os roubos se produzan nas "súas cidades". [5]

Como naceu a subcultura hacker

A subcultura hacker orixinouse a principios dos anos 1960, no "Railway Technical Modeling Club" (que opera dentro dos muros do Instituto Tecnolóxico de Massachusetts). Os entusiastas do club deseñaron e montaron unha maqueta de ferrocarril, tan grande que encheu toda a sala. Os membros do club dividíronse espontaneamente en dous grupos: pacificadores e especialistas en sistemas. [6]

O primeiro traballou coa parte aérea do modelo, o segundo - co subterráneo. Os primeiros recolleron e decoraron maquetas de trens e cidades: modelaron o mundo enteiro en miniatura. Este último traballou no soporte técnico para todo este proceso de pacificación: un complexo de fíos, relés e interruptores de coordenadas situados na parte subterránea do modelo, todo o que controlaba a parte "superior" e alimentábaa con enerxía. [6]

Cando había un problema de tráfico e a alguén se lle ocorreu unha solución nova e enxeñosa para solucionalo, a solución chamábase "hack". Para os membros do club, a busca de novos hacks converteuse nun sentido intrínseco da vida. Por iso comezaron a chamarse "hackers". [6]

A primeira xeración de hackers implementou as habilidades adquiridas no Simulation Railway Club escribindo programas informáticos en tarxetas perforadas. Entón, cando ARPANET (o predecesor de Internet) chegou ao campus en 1969, os hackers convertéronse nos seus usuarios máis activos e hábiles. [6]

Agora, décadas despois, a Internet moderna aseméllase a esa parte moi "subterránea" do modelo de ferrocarril. Porque os seus fundadores foron estes mesmos hackers, estudantes do "Railroad Simulation Club". Agora só os hackers operan cidades reais en lugar de miniaturas simuladas. [6]

Como foi o enrutamento BGP

A finais dos anos 80, como resultado dun aumento similar ao de avalancha no número de dispositivos conectados a Internet, Internet achegouse ao límite matemático duro incorporado nun dos protocolos básicos de Internet. Polo tanto, calquera conversación entre os enxeñeiros daquela acabou por converterse nunha discusión sobre este problema. Dous amigos non foron unha excepción: Jacob Rechter (un enxeñeiro de IBM) e Kirk Lockheed (fundador de Cisco). Atopándose casualmente na mesa da cea, comezaron a discutir medidas para preservar a funcionalidade de Internet. Os amigos anotaron as ideas que xurdiron no que se lles chegaba: unha servilleta manchada de ketchup. Despois o segundo. Despois o terceiro. O "protocolo de tres servilletas", como o chamaron en broma os seus inventores -coñecido nos círculos oficiais como BGP (Border Gateway Protocol)- pronto revolucionou Internet. [8]

Para Rechter e Lockheed, BGP foi simplemente un hack casual, desenvolvido co espírito do mencionado Model Railroad Club, unha solución temporal que pronto sería substituída. Os amigos desenvolveron BGP en 1989. Hoxe, con todo, 30 anos despois, a maioría do tráfico de Internet segue enrutando o "protocolo de tres servilletas", a pesar das chamadas cada vez máis alarmantes sobre problemas críticos coa súa ciberseguridade. O hackeo temporal converteuse nun dos protocolos básicos de Internet e os seus desenvolvedores aprenderon pola súa propia experiencia que "non hai nada máis permanente que as solucións temporais". [8]

As redes de todo o mundo cambiaron a BGP. Vendedores influentes, clientes ricos e empresas de telecomunicacións namoráronse rapidamente de BGP e acostumáronse a el. Por iso, aínda que cada vez son máis as alarmas sobre a inseguridade deste protocolo, o público informático segue sen mostrar entusiasmo pola transición a equipos novos e máis seguros. [8]

Enrutamento BGP cibernseguro

Por que o enrutamento BGP é tan bo e por que a comunidade de TI non ten présa en abandonalo? BGP axuda aos enrutadores a tomar decisións sobre onde dirixir os enormes fluxos de datos enviados a través dunha enorme rede de liñas de comunicación que se cruzan. BGP axuda aos enrutadores a escoller os camiños axeitados aínda que a rede está a cambiar constantemente e as rutas populares adoitan experimentar atascos. O problema é que Internet non ten un mapa global de rutas. Os enrutadores que utilizan BGP toman decisións sobre a elección dun camiño ou outro en función da información recibida dos veciños do ciberespazo, que á súa vez recollen información dos seus veciños, etc. Non obstante, esta información pódese falsificar facilmente, o que significa que o enrutamento BGP é moi vulnerable aos ataques MiTM. [8]

Polo tanto, xorden regularmente preguntas como as seguintes: "Por que o tráfico entre dúas computadoras en Denver fixo un desvío xigante por Islandia?", "Por que os datos clasificados do Pentágono foron transferidos unha vez en tránsito por Pequín?" Hai respostas técnicas a preguntas coma estas, pero todas se reducen a que BGP funciona en base á confianza: confiar nas recomendacións recibidas dos enrutadores veciños. Grazas á natureza confiable do protocolo BGP, os misteriosos señores do tráfico poden atraer os fluxos de datos doutras persoas ao seu dominio se así o desexan. [8]

Un exemplo vivo é o ataque BGP de China ao Pentágono estadounidense. En abril de 2010, o xigante estatal de telecomunicacións China Telecom enviou decenas de miles de enrutadores por todo o mundo, incluídos 16 nos Estados Unidos, unha mensaxe de BGP dicíndolles que tiñan mellores rutas. Sen un sistema que puidese verificar a validez dunha mensaxe BGP de China Telecom, os enrutadores de todo o mundo comezaron a enviar datos en tránsito por Pequín. Incluíndo o tráfico do Pentágono e outros sitios do Departamento de Defensa dos Estados Unidos. A facilidade coa que se desviaba o tráfico e a falta de protección efectiva contra este tipo de ataques é outra mostra da inseguridade do enrutamento BGP. [8]

O protocolo BGP é teoricamente vulnerable a un ciberataque aínda máis perigoso. No caso de que os conflitos internacionais se intensifiquen con toda forza no ciberespazo, China Telecom, ou algún outro xigante das telecomunicacións, podería tratar de reclamar a propiedade de partes de Internet que en realidade non lle pertencen. Tal movemento confundiría aos enrutadores, que terían que rebotar entre ofertas competidoras polos mesmos bloques de enderezos de Internet. Sen a capacidade de distinguir unha aplicación lexítima dunha falsa, os enrutadores comezarían a actuar de forma errática. Como resultado, estariamos ante o equivalente en Internet da guerra nuclear: unha mostra aberta e a gran escala de hostilidade. Tal desenvolvemento en tempos de relativa paz parece pouco realista, pero tecnicamente é bastante factible. [8]

Un intento inútil de pasar de BGP a BGPSEC

A ciberseguridade non se tivo en conta cando se desenvolveu BGP, porque naquela época os hackeos eran raros e os danos causados ​​por eles eran insignificantes. Os desenvolvedores de BGP, porque traballaban para empresas de telecomunicacións e estaban interesados ​​en vender os seus equipos de rede, tiñan unha tarefa máis apremiante: evitar avarías espontáneas de Internet. Porque as interrupcións en Internet poderían afastar aos usuarios e, polo tanto, reducir as vendas de equipos de rede. [8]

Despois do incidente coa transmisión do tráfico militar estadounidense a través de Pequín en abril de 2010, o ritmo de traballo para garantir a ciberseguridade do enrutamento BGP certamente acelerou. Non obstante, os provedores de telecomunicacións mostraron pouco entusiasmo por asumir os custos asociados á migración ao novo protocolo de enrutamento seguro BGPSEC, proposto como substituto do BGP inseguro. Os vendedores aínda consideran que o BGP é bastante aceptable, aínda a pesar dos innumerables incidentes de interceptación do tráfico. [8]

Radia Perlman, alcumada a "nai de Internet" por inventar outro protocolo de rede importante en 1988 (un ano antes de BGP), obtivo unha profética tese de doutoramento no MIT. Perlman predixo que un protocolo de enrutamento que depende da honestidade dos veciños no ciberespazo é fundamentalmente inseguro. Perlman defendeu o uso da criptografía, que axudaría a limitar a posibilidade de falsificación. Non obstante, a implementación de BGP xa estaba en pleno apoxeo, a influente comunidade informática estaba afeita a ela e non quería cambiar nada. Polo tanto, despois das advertencias razoadas de Perlman, Clark e algúns outros destacados expertos mundiais, a proporción relativa do enrutamento BGP criptograficamente seguro non aumentou en absoluto e aínda é do 0%. [8]

O enrutamento BGP non é o único truco

E o enrutamento BGP non é o único truco que confirma a idea de que "nada é máis permanente que as solucións temporais". Ás veces, Internet, mergullándonos en mundos de fantasía, parece tan elegante como un coche de carreiras. Non obstante, en realidade, debido aos hacks acumulados uns encima dos outros, Internet parécese máis a Frankenstein que a Ferrari. Porque estes hacks (máis oficialmente chamados parches) nunca son substituídos por tecnoloxía fiable. As consecuencias deste enfoque son graves: diariamente e cada hora, os ciberdelincuentes piratean sistemas vulnerables, ampliando o alcance do cibercrime a proporcións antes inimaxinables. [8]

Moitos dos fallos explotados polos ciberdelincuentes coñécense desde hai moito tempo e conserváronse unicamente debido á tendencia da comunidade informática a resolver problemas emerxentes, con hacks/parches temporais. Ás veces, por iso, as tecnoloxías obsoletas acumúlanse unhas sobre outras durante moito tempo, dificultando a vida das persoas e poñéndoas en perigo. Que pensarías se soubeses que o teu banco está construíndo a súa bóveda sobre unha base de palla e barro? Confiarías nel para manter os teus aforros? [8]

A actitude despreocupada de Linus Torvalds

Pasaron anos antes de que Internet chegase aos seus primeiros cen ordenadores. Hoxe, 100 novos ordenadores e outros dispositivos están conectados a el cada segundo. A medida que explotan os dispositivos conectados a Internet, tamén aumenta a urxencia dos problemas de ciberseguridade. Non obstante, a persoa que pode ter un maior impacto na resolución destes problemas é a que ve a ciberseguridade con desdén. Este home foi chamado un xenio, un matón, un líder espiritual e un ditador benévolo. Linus Torvalds. A gran maioría dos dispositivos conectados a Internet executan o seu sistema operativo, Linux. Rápido, flexible e gratuíto: Linux é cada vez máis popular co paso do tempo. Ao mesmo tempo, compórtase de forma moi estable. E pode funcionar sen reiniciar durante moitos anos. É por iso que Linux ten a honra de ser o sistema operativo dominante. Case todos os equipos informáticos dispoñibles hoxe en día funcionan con Linux: servidores, equipos médicos, ordenadores de voo, pequenos drons, avións militares e moito máis. [9]

Linux ten éxito en gran medida porque Torvalds enfatiza o rendemento e a tolerancia a fallos. Non obstante, fai este énfase a costa da ciberseguridade. Aínda que o ciberespazo e o mundo físico real se entrelazan e a ciberseguridade convértese nun problema global, Torvalds segue resistindo introducir innovacións seguras no seu sistema operativo. [9]

Polo tanto, incluso entre moitos fans de Linux, hai unha crecente preocupación polas vulnerabilidades deste sistema operativo. En particular, a parte máis íntima de Linux, o seu núcleo, no que Torvalds traballa persoalmente. Os fans de Linux ven que Torvalds non se toma en serio os problemas de ciberseguridade. Ademais, Torvalds rodeouse de desenvolvedores que comparten esta actitude despreocupada. Se alguén do círculo íntimo de Torvalds comeza a falar de introducir innovacións seguras, inmediatamente é anatema. Torvalds despediu a un grupo de tales innovadores, chamándoos "monos masturbándose". Mentres Torvalds se despediu doutro grupo de desenvolvedores conscientes da seguridade, díxolles: "Sería tan amable de matarse. O mundo sería un lugar mellor por iso". Sempre que se trataba de engadir funcións de seguridade, Torvalds sempre estivo en contra. [9] Torvalds mesmo ten toda unha filosofía a este respecto, que non carece dun gran de sentido común:

"A seguridade absoluta é inalcanzable. Polo tanto, sempre debe considerarse só en relación con outras prioridades: velocidade, flexibilidade e facilidade de uso. As persoas que se dedican enteiramente a proporcionar protección están tolas. O seu pensamento é limitado, en branco e negro. A seguridade por si mesma é inútil. A esencia sempre está noutro lugar. Polo tanto, non pode garantir a seguridade absoluta, aínda que realmente o queira. Por suposto, hai xente que lle presta máis atención á seguridade que os Torvalds. Non obstante, estes mozos simplemente traballan no que lles interesa e proporcionan seguridade dentro do estreito marco relativo que delimita estes intereses. Nunca máis. Polo tanto, de ningún xeito contribúen a aumentar a seguridade absoluta". [9]

Barra lateral: OpenSource é como un barril de pólvora [10]

O código OpenSource aforrou miles de millóns en custos de desenvolvemento de software, eliminando a necesidade de duplicar esforzos: con OpenSource, os programadores teñen a oportunidade de utilizar as innovacións actuais sen restricións nin pagos. OpenSource úsase en todas partes. Aínda que contratou un programador de software para resolver o seu problema especializado desde cero, é probable que este programador use algún tipo de biblioteca OpenSource. E probablemente máis dun. Así, os elementos OpenSource están presentes en case todas partes. Ao mesmo tempo, debe entenderse que ningún software é estático; o seu código está en constante cambio. Polo tanto, o principio de "configura e esquéceo" nunca funciona para o código. Incluíndo o código OpenSource: máis cedo ou máis tarde será necesaria unha versión actualizada.

En 2016, vimos as consecuencias deste estado de cousas: un desenvolvedor de 28 anos "rompeu" brevemente Internet ao borrar o seu código OpenSource, que anteriormente puxera a disposición do público. Esta historia sinala que a nosa ciberinfraestrutura é moi fráxil. Algunhas persoas -que apoian proxectos OpenSource- son tan importantes para mantelo que se, Deus o libre, os atropelan un autobús, a Internet romperase.

O código difícil de manter é onde se agochan as vulnerabilidades de ciberseguridade máis graves. Algunhas empresas nin sequera se dan conta do vulnerables que son debido ao código difícil de manter. As vulnerabilidades asociadas a tal código poden madurar nun problema real moi lentamente: os sistemas podrecen lentamente, sen demostrar fallos visibles no proceso de podremia. E cando fallan, as consecuencias son mortais.

Finalmente, dado que os proxectos OpenSource adoitan ser desenvolvidos por unha comunidade de entusiastas, como Linus Torvalds ou como os piratas informáticos do Model Railroad Club mencionados ao comezo do artigo, os problemas con código difícil de manter non se poden resolver de xeito tradicional (usando pancas comerciais e gobernamentais). Porque os membros destas comunidades son voluntarios e valoran a súa independencia por riba de todo.

Barra lateral: quizais os servizos de intelixencia e os desenvolvedores de antivirus nos protexan?

En 2013, soubo que Kaspersky Lab tiña unha unidade especial que realizaba investigacións personalizadas de incidentes de seguridade da información. Ata hai pouco, este departamento estaba dirixido por un antigo comandante da policía, Ruslan Stoyanov, que anteriormente traballou no Departamento "K" da capital (USTM da Dirección Principal de Asuntos Internos de Moscova). Todos os empregados desta unidade especial de Kaspersky Lab proceden de axencias policiais, incluíndo o Comité de Investigación e a Dirección "K". [once]

A finais de 2016, o FSB detivo a Ruslan Stoyanov e acusouno de traizón. No mesmo caso foi arrestado Sergei Mikhailov, un alto representante do FSB CIB (centro de seguridade da información), ao que, antes da detención, estaba atada toda a ciberseguridade do país. [once]

Barra lateral: ciberseguridade aplicada

Pronto os empresarios rusos veranse obrigados a prestar moita atención á ciberseguridade. En xaneiro de 2017, Nikolai Murashov, representante do Centro de Protección da Información e Comunicacións Especiais, afirmou que en Rusia, só os obxectos CII (infraestrutura de información crítica) foron atacados máis de 2016 millóns de veces en 70. Os obxectos CII inclúen sistemas de información de axencias gobernamentais, empresas da industria de defensa, transporte, crédito e sectores financeiros, enerxía, combustible e industrias nucleares. Para protexelos, o 26 de xullo, o presidente ruso Vladimir Putin asinou un paquete de leis "Sobre a seguridade da CII". Para o 1 de xaneiro de 2018, cando a lei entre en vigor, os propietarios das instalacións de CII deben implementar un conxunto de medidas para protexer a súa infraestrutura dos ataques de hackers, en particular, conectarse a GosSOPKA. [12]

Bibliografía

1. Jonathan Millet. IoT: a importancia de protexer os teus dispositivos intelixentes // 2017.
2. Ross Anderson. Como fallan os sistemas de pago con tarxeta intelixente // Black Hat. 2014.
3. SJ Murdoch. O chip e o PIN están rotos // Actas do Simposio IEEE sobre Seguridade e Privacidade. 2010. pp. 433-446.
4. David Talbot. Os virus informáticos son "extensos" nos dispositivos médicos dos hospitais // MIT Technology Review (Digital). 2012.
5. Craig Timberg. Rede de inseguridade: un fluxo no deseño // The Washington Post. 2015.
6. Michael Lista. Era un pirata informático adolescente que gastou os seus millóns en coches, roupa e reloxos, ata que o FBI descubriu // Toronto Life. 2018.
7. Craig Timberg. Rede de inseguridade: un desastre anunciado e ignorado // The Washington Post. 2015.
8. Craig Timberg. A longa vida dunha "solución" rápida: o protocolo de Internet de 1989 deixa os datos vulnerables aos secuestradores // The Washington Post. 2015.
9. Craig Timberg. Net of Insecurity: o núcleo do argumento // The Washington Post. 2015.
10. Joshua Gans. O código de código aberto podería facer realidade os nosos medos do ano 2? // Harvard Business Review (Digital). 2017.
11. O alto director de Kaspersky arrestado polo FSB // CNews. 2017. URL.
12. María Kolomychenko. Servizo de intelixencia cibernética: Sberbank propuxo a creación dunha sede para combater os hackers // RBC. 2017.

Fonte: www.habr.com