ProHoster > Blog > uprava > 30. godišnjica neobuzdane nesigurnosti

30. godišnjica neobuzdane nesigurnosti

Kad se “crnošeširi” – kao službenici divlje šume kibernetičkog prostora – pokažu posebno uspješnima u svom prljavom poslu, žuti mediji zacvile od oduševljenja. Kao rezultat toga, svijet počinje ozbiljnije gledati na kibernetičku sigurnost. Ali nažalost ne odmah. Stoga, unatoč sve većem broju katastrofalnih cyber incidenata, svijet još nije zreo za aktivne proaktivne mjere. Ipak, očekuje se da će u bliskoj budućnosti, zahvaljujući “crnim šeširima”, svijet početi ozbiljno shvaćati kibernetičku sigurnost. [7]

30. godišnjica neobuzdane nesigurnosti

Jednako ozbiljno poput požara... Gradovi su nekoć bili vrlo osjetljivi na katastrofalne požare. No, unatoč potencijalnoj opasnosti, proaktivne mjere zaštite nisu poduzete – čak ni nakon golemog požara u Chicagu 1871. godine, koji je odnio stotine života i raselio stotine tisuća ljudi. Proaktivne mjere zaštite poduzete su tek nakon što se slična katastrofa ponovila, tri godine kasnije. Isto je i s kibersigurnošću – svijet neće riješiti ovaj problem ako ne dođe do katastrofalnih incidenata. Ali čak i ako se takvi incidenti dogode, svijet neće odmah riješiti ovaj problem. [7] Stoga ni izreka: “Dok se ne pojavi greška, čovjek se neće zakrpati,” baš ne pali. Zato smo 2018. proslavili 30 godina neobuzdane nesigurnosti.


Lirska digresija

Početak ovog članka, koji sam izvorno napisao za časopis System Administrator, pokazao se proročanskim u određenom smislu. Izdanje časopisa s ovim člankom izašao doslovno dan za danom s tragičnim požarom u kemerovskom trgovačkom centru "Zimska trešnja" (2018., 20. ožujka).
30. godišnjica neobuzdane nesigurnosti

Instalirajte Internet za 30 minuta

Davne 1988. legendarna hakerska galaksija L0pht, govoreći punom snagom pred sastankom najutjecajnijih zapadnih dužnosnika, izjavila je: “Vaša kompjuterizirana oprema ranjiva je na cyber napade s interneta. I softver, i hardver, i telekomunikacije. Njihovi prodavači nisu nimalo zabrinuti zbog ovakvog stanja stvari. Budući da suvremeno zakonodavstvo ne predviđa nikakvu odgovornost za nemaran pristup osiguravanju kibernetičke sigurnosti proizvedenog softvera i hardvera. Odgovornost za moguće kvarove (bilo spontane ili uzrokovane intervencijom kibernetičkih kriminalaca) leži isključivo na korisniku opreme. Što se tiče federalne vlade, ona nema ni sposobnosti ni želje da riješi ovaj problem. Stoga, ako tražite kibernetičku sigurnost, onda Internet nije mjesto gdje ćete je pronaći. Svaki od sedam ljudi koji sjede ispred vas može potpuno razbiti internet i, sukladno tome, preuzeti potpunu kontrolu nad opremom spojenom na njega. Samostalno. 30 minuta koreografiranih pritisaka tipki i gotovo.” [7]

30. godišnjica neobuzdane nesigurnosti

Službenici su značajno kimnuli, jasno dajući do znanja da shvaćaju ozbiljnost situacije, ali nisu ništa poduzeli. Danas, točno 30 godina nakon L0phtove legendarne izvedbe, svijet još uvijek muči "obuzdana nesigurnost". Hakiranje kompjuterizirane opreme povezane s internetom toliko je lako da su internet, u početku kraljevstvo znanstvenika i entuzijasta idealista, postupno okupirali najpragmatičniji profesionalci: prevaranti, prevaranti, špijuni, teroristi. Svi oni iskorištavaju ranjivosti računalne opreme za financijsku ili drugu korist. [7]

Dobavljači zanemaruju kibernetičku sigurnost

Dobavljači ponekad, naravno, pokušavaju popraviti neke od identificiranih ranjivosti, ali to čine vrlo nevoljko. Jer njihov profit ne dolazi od zaštite od hakera, već od nove funkcionalnosti koju pružaju potrošačima. Budući da su fokusirani isključivo na kratkoročni profit, dobavljači ulažu novac samo u rješavanje stvarnih problema, a ne hipotetskih. Kibernetička sigurnost, u očima mnogih od njih, hipotetska je stvar. [7]

Kibernetička sigurnost je nevidljiva, nematerijalna stvar. Ono postaje opipljivo tek kada se s njim pojave problemi. Ako su se o njemu dobro brinuli (utrošili su dosta novca na njegovu nabavu), a s njim nema problema, krajnji potrošač ga neće htjeti preplatiti. Osim toga, uz povećanje financijskih troškova, provedba zaštitnih mjera zahtijeva dodatno vrijeme razvoja, zahtijeva ograničavanje mogućnosti opreme i dovodi do smanjenja njezine produktivnosti. [8]

U isplativost navedenih troškova teško je uvjeriti i vlastite trgovce, a kamoli krajnje potrošače. A budući da moderne prodavače zanima samo kratkoročna zarada od prodaje, oni uopće nisu skloni preuzeti odgovornost za osiguravanje kibernetičke sigurnosti svojih kreacija. [1] S druge strane, pažljiviji dobavljači koji su vodili računa o kibernetičkoj sigurnosti svoje opreme suočeni su s činjenicom da korporativni potrošači preferiraju jeftinije i jednostavnije alternative. Da. Očito je da ni korporativni potrošači ne mare puno za kibernetičku sigurnost. [8]

U svjetlu gore navedenog, nije iznenađujuće da dobavljači imaju tendenciju zanemarivanja kibernetičke sigurnosti i pridržavaju se sljedeće filozofije: „Nastavite graditi, nastavite prodavati i zakrpajte kada je potrebno. Je li se sustav srušio? Izgubljene informacije? Ukradena baza podataka s brojevima kreditnih kartica? Postoje li fatalne ranjivosti identificirane u vašoj opremi? Nema problema!" Potrošači pak moraju slijediti načelo: “Krpi i moli”. [7] 30. godišnjica neobuzdane nesigurnosti

Kako se to događa: primjeri iz divljine

Upečatljiv primjer zanemarivanja kibernetičke sigurnosti tijekom razvoja je Microsoftov korporativni program poticaja: “Ako propustite rokove, bit ćete kažnjeni. Ako nemate vremena predati izdanje svoje inovacije na vrijeme, ona neće biti implementirana. Ako se ne provede, nećete dobiti dionice tvrtke (dio kolača od Microsoftove dobiti)." Od 1993. Microsoft je počeo aktivno povezivati ​​svoje proizvode s Internetom. Budući da je ova inicijativa djelovala u skladu s istim motivacijskim programom, funkcionalnost se širila brže nego što je obrana mogla pratiti. Na zadovoljstvo pragmatičnih lovaca na ranjivost... [7]

Drugi primjer je situacija s računalima i prijenosnim računalima: ne dolaze s unaprijed instaliranim antivirusom; a također ne omogućuju unaprijed postavljanje jakih lozinki. Pretpostavlja se da će krajnji korisnik instalirati antivirus i postaviti sigurnosne konfiguracijske parametre. [1]

Drugi, ekstremniji primjer: situacija s kibernetičkom sigurnošću maloprodajne opreme (registrarske blagajne, PoS terminali za trgovačke centre itd.). Dogodilo se da prodavači komercijalne opreme prodaju samo ono što se prodaje, a ne ono što je sigurno. [2] Ako postoji jedna stvar do koje je prodavačima komercijalne opreme stalo u smislu kibernetičke sigurnosti, to je osiguravanje da, ako se dogodi kontroverzni incident, odgovornost padne na druge. [3]

Indikativan primjer ovakvog razvoja događaja je popularizacija EMV standarda za bankovne kartice, koji se, zahvaljujući stručnom radu bankovnih marketinških stručnjaka, u očima tehnički nesofisticirane javnosti pojavljuje kao sigurnija alternativa “zastarjelim” magnetske kartice. Istovremeno, glavna motivacija bankarske industrije, koja je bila odgovorna za razvoj EMV standarda, bila je prebaciti odgovornost za prijevarne incidente (koje se događaju krivnjom kartičara) – s trgovina na potrošače. Dok je ranije (kada su se plaćanja vršila magnetskim karticama), financijska odgovornost ležala na trgovinama za odstupanja u zaduženju/kreditu. [3] Dakle banke koje obrađuju plaćanja prebacuju odgovornost ili na trgovce (koji koriste svoje sustave daljinskog bankarstva) ili na banke koje izdaju platne kartice; posljednja dva pak prebacuju odgovornost na vlasnika kartice. [2]

Dobavljači ometaju kibernetičku sigurnost

Kako se površina digitalnog napada neumitno širi—zahvaljujući eksploziji uređaja povezanih s internetom—pratiti što je povezano s korporativnom mrežom postaje sve teže. Istovremeno, dobavljači brigu o sigurnosti sve opreme spojene na internet prebacuju na krajnjeg korisnika [1]: “Spašavanje utopljenika djelo je samih utopljenika.”

Ne samo da dobavljači ne brinu o kibernetičkoj sigurnosti svojih kreacija, već se u nekim slučajevima i miješaju u njezino pružanje. Primjerice, kada je 2009. mrežni crv Conficker procurio u Medicinski centar Beth Israel i zarazio dio tamošnje medicinske opreme, tehnički direktor ovog medicinskog centra, kako bi spriječio slične incidente u budućnosti, odlučio je onemogućiti funkcija podrške radu na opremi zahvaćenoj crvom s mrežom. Međutim, suočio se s činjenicom da se "oprema nije mogla ažurirati zbog regulatornih ograničenja". Trebalo mu je dosta truda da pregovara s dobavljačem da onemogući mrežne funkcije. [4]

Temeljna kibernetička nesigurnost interneta

David Clarke, legendarni profesor MIT-a čija mu je genijalnost donijela nadimak "Albus Dumbledore", sjeća se dana kada je svijetu otkrivena mračna strana interneta. Clark je predsjedavao konferencijom o telekomunikacijama u studenom 1988. kada su se pojavile vijesti da je prvi računalni crv u povijesti kliznuo kroz mrežne žice. Clark je zapamtio ovaj trenutak jer je govornik koji je bio prisutan na njegovoj konferenciji (zaposlenik jedne od vodećih telekomunikacijskih kompanija) proglašen odgovornim za širenje ovog crva. Ovaj govornik je u žaru emocija nenamjerno rekao: "Izvolite!" Čini se da sam zatvorio ovu ranjivost”, platio je za ove riječi. [5]

30. godišnjica neobuzdane nesigurnosti

Međutim, kasnije se pokazalo da ranjivost kojom se spomenuti crv proširio nije zasluga bilo koje pojedine osobe. A to, strogo govoreći, nije bila čak ni ranjivost, već temeljna značajka interneta: utemeljitelji interneta, razvijajući svoju zamisao, usredotočili su se isključivo na brzinu prijenosa podataka i toleranciju na pogreške. Nisu si postavili zadatak osigurati kibernetičku sigurnost. [5]

Danas, desetljećima nakon osnutka interneta – sa stotinama milijardi dolara već potrošenih na uzaludne pokušaje kibernetičke sigurnosti – internet nije ništa manje ranjiv. Njegovi problemi s kibernetičkom sigurnošću postaju samo gori svake godine. No, imamo li pravo zbog toga osuđivati ​​utemeljitelje Interneta? Uostalom, primjerice, nitko neće osuditi graditelje brzih cesta što se nesreće događaju na “njihovim cestama”; i nitko neće osuditi urbaniste zbog činjenice da se pljačke događaju u "njihovim gradovima". [5]

Kako je nastala hakerska subkultura

Hakerska supkultura nastala je ranih 1960-ih, u “Railway Technical Modeling Club” (koji djeluje unutar zidova Massachusetts Institute of Technology). Klubski entuzijasti osmislili su i sastavili maketu željeznice, toliko veliku da je ispunjavala cijelu prostoriju. Članovi kluba spontano su se podijelili u dvije skupine: mirotvorce i sistemske stručnjake. [6]

Prvi je radio s nadzemnim dijelom modela, drugi - s podzemnim. Prvi su sakupljali i ukrašavali makete vlakova i gradova: modelirali su cijeli svijet u minijaturi. Potonji je radio na tehničkoj podršci cijelom tom mirotvorstvu: zamršenosti žica, releja i koordinatnih sklopki smještenih u podzemnom dijelu modela - svega onoga što je kontroliralo "nadzemni" dio i hranilo ga energijom. [6]

Kad bi se pojavio problem u prometu i netko smislio novo i genijalno rješenje da ga riješi, rješenje se nazivalo "hack". Za članove kluba potraga za novim hackovima postala je intrinzičan smisao života. Zbog toga su se počeli nazivati ​​"hakerima". [6]

Prva generacija hakera implementirala je vještine stečene u Simulation Railway Clubu ispisujući računalne programe na bušenim karticama. Zatim, kada je ARPANET (prethodnik Interneta) stigao u kampus 1969. godine, hakeri su postali njegovi najaktivniji i najvještiji korisnici. [6]

Sada, desetljećima kasnije, moderni Internet nalikuje baš tom “podzemnom” dijelu makete željeznice. Zato što su njegovi osnivači bili ti isti hakeri, polaznici “Railroad Simulation Cluba”. Samo hakeri sada upravljaju stvarnim gradovima umjesto simuliranih minijatura. [6] 30. godišnjica neobuzdane nesigurnosti

Kako je nastalo BGP usmjeravanje

Krajem 80-ih, kao posljedica lavinskog porasta broja uređaja spojenih na Internet, Internet se približio tvrdoj matematičkoj granici ugrađenoj u jedan od osnovnih internetskih protokola. Stoga se svaki razgovor tadašnjih inženjera na kraju pretvorio u raspravu o ovom problemu. Dva prijatelja nisu bila iznimka: Jacob Rechter (inženjer iz IBM-a) i Kirk Lockheed (osnivač Cisca). Slučajno susrevši se za stolom, počeli su raspravljati o mjerama za očuvanje funkcionalnosti Interneta. Prijatelji su ideje koje su se javile zapisivali na što god im je došlo pod ruku - salvetu umrljanu kečapom. Zatim drugi. Zatim treći. "Protokol tri salvete", kako su ga njegovi izumitelji u šali nazvali - poznat u službenim krugovima kao BGP (Border Gateway Protocol) - ubrzo je revolucionirao internet. [8] 30. godišnjica neobuzdane nesigurnosti

Za Rechtera i Lockheeda, BGP je bio samo povremeni hack, razvijen u duhu gore spomenutog Kluba modela željeznice, privremeno rješenje koje će uskoro biti zamijenjeno. Prijatelji su razvili BGP 1989. Međutim, danas, 30 godina kasnije, većina internetskog prometa još uvijek se usmjerava korištenjem "protokola tri ubrusa" – unatoč sve alarmantnijim pozivima o kritičnim problemima s njegovom kibersigurnošću. Privremeni hack postao je jedan od osnovnih internetskih protokola, a njegovi developeri su iz vlastitog iskustva naučili da “ne postoji ništa trajnije od privremenih rješenja”. [8]

Mreže diljem svijeta prešle su na BGP. Utjecajni dobavljači, bogati klijenti i telekomunikacijske tvrtke brzo su zavoljeli BGP i navikli se na njega. Stoga, unatoč sve glasnijim alarmima o nesigurnosti ovog protokola, informatička javnost još uvijek ne pokazuje entuzijazam za prelazak na novu, sigurniju opremu. [8]

Cyber-nesigurno BGP usmjeravanje

Zašto je BGP usmjeravanje tako dobro i zašto ga se IT zajednica ne žuri napustiti? BGP pomaže usmjerivačima u donošenju odluka o tome kamo usmjeriti ogromne tokove podataka koji se šalju preko ogromne mreže komunikacijskih linija koje se presijecaju. BGP pomaže usmjerivačima da odaberu odgovarajuće staze iako se mreža neprestano mijenja i popularne rute često imaju prometne gužve. Problem je u tome što Internet nema mapu globalnog usmjeravanja. Usmjerivači koji koriste BGP donose odluke o odabiru jednog ili drugog puta na temelju informacija primljenih od susjeda u cyber prostoru, koji zauzvrat prikupljaju informacije od svojih susjeda itd. Međutim, te se informacije mogu lako krivotvoriti, što znači da je BGP usmjeravanje vrlo ranjivo na MiTM napade. [8]

Stoga se redovito pojavljuju pitanja poput sljedećih: "Zašto je promet između dva računala u Denveru krenuo golemim zaobilaznim putem kroz Island?", "Zašto su povjerljivi podaci Pentagona jednom prebačeni u tranzitu kroz Peking?" Postoje tehnički odgovori na ovakva pitanja, ali svi se svode na činjenicu da BGP radi na temelju povjerenja: povjerenja u preporuke primljene od susjednih usmjerivača. Zahvaljujući povjerljivoj prirodi BGP protokola, misteriozni gospodari prometa mogu namamiti tokove podataka drugih ljudi u svoju domenu ako žele. [8]

Živi primjer je kineski BGP napad na američki Pentagon. U travnju 2010. državni telekomunikacijski div China Telecom poslao je desetke tisuća usmjerivača diljem svijeta, uključujući 16 u Sjedinjenim Državama, BGP porukom koja im govori da imaju bolje rute. Bez sustava koji bi mogao provjeriti valjanost BGP poruke od China Telecoma, usmjerivači diljem svijeta počeli su slati podatke u tranzitu kroz Peking. Uključujući promet iz Pentagona i drugih mjesta američkog Ministarstva obrane. Lakoća s kojom je promet preusmjeren i nedostatak učinkovite zaštite od ove vrste napada još su jedan znak nesigurnosti BGP usmjeravanja. [8]

BGP protokol je teoretski ranjiv na još opasniji cyber napad. U slučaju da međunarodni sukobi eskaliraju punom snagom u kibernetičkom prostoru, China Telecom, ili neki drugi telekomunikacijski div, mogao bi pokušati preuzeti vlasništvo nad dijelovima interneta koji mu zapravo ne pripadaju. Takav bi potez zbunio usmjerivače, koji bi morali skakati između konkurentskih ponuda za iste blokove internetskih adresa. Bez mogućnosti razlikovanja legitimne aplikacije od lažne, usmjerivači bi počeli djelovati nepravilno. Kao rezultat toga, suočili bismo se s internetskim ekvivalentom nuklearnog rata — otvorenim, širokim prikazom neprijateljstva. Takav razvoj događaja u vrijeme relativnog mira čini se nerealnim, ali tehnički je sasvim izvediv. [8]

Uzaludan pokušaj prelaska s BGP na BGPSEC

Pri razvoju BGP-a nije se vodilo računa o kibernetičkoj sigurnosti jer su u to vrijeme hakovi bili rijetki, a šteta od njih zanemariva. Programeri BGP-a, budući da su radili za telekomunikacijske tvrtke i bili zainteresirani za prodaju svoje mrežne opreme, imali su hitniji zadatak: izbjeći spontane kvarove na Internetu. Jer prekidi na Internetu mogli bi udaljiti korisnike, a time i smanjiti prodaju mrežne opreme. [8]

Nakon incidenta s prijenosom američkog vojnog prometa kroz Peking u travnju 2010., tempo rada na osiguranju kibernetičke sigurnosti BGP rutiranja svakako se ubrzao. Međutim, prodavači telekomunikacija pokazali su malo entuzijazma za snošenje troškova povezanih s prelaskom na novi protokol sigurnog usmjeravanja BGPSEC, predložen kao zamjena za nesigurni BGP. Dobavljači i dalje smatraju BGP sasvim prihvatljivim, čak i unatoč nebrojenim slučajevima presretanja prometa. [8]

Radia Perlman, prozvana "majkom interneta" zbog izuma još jednog velikog mrežnog protokola 1988. (godinu dana prije BGP-a), stekla je proročanski doktorat na MIT-u. Perlman je predvidio da je protokol usmjeravanja koji ovisi o poštenju susjeda u kibernetičkom prostoru fundamentalno nesiguran. Perlman je zagovarao korištenje kriptografije, koja bi pomogla ograničiti mogućnost krivotvorenja. No, implementacija BGP-a već je bila u punom jeku, utjecajna informatička zajednica bila je navikla na to i nije željela ništa mijenjati. Dakle, nakon argumentiranih upozorenja Perlmana, Clarka i nekih drugih uglednih svjetskih stručnjaka, relativni udio kriptografski sigurnog BGP usmjeravanja nije nimalo porastao, te je još uvijek 0%. [8]

BGP usmjeravanje nije jedino hakiranje

A BGP usmjeravanje nije jedino hakiranje koje potvrđuje ideju da "ništa nije trajnije od privremenih rješenja". Ponekad se internet, koji nas uranja u svjetove mašte, čini elegantnim poput trkaćeg automobila. Međutim, u stvarnosti, zbog hakova koji se gomilaju jedan na drugom, Internet je više poput Frankensteina nego Ferrarija. Jer ti hakovi (službenije nazvani zakrpama) nikada nisu zamijenjeni pouzdanom tehnologijom. Posljedice ovakvog pristupa su strašne: kibernetički kriminalci svakodnevno i svakog sata provaljuju u ranjive sustave, proširujući opseg kibernetičkog kriminala do dosad nezamislivih razmjera. [8]

Mnogi nedostaci koje iskorištavaju kibernetički kriminalci već su dugo poznati, a sačuvani su isključivo zahvaljujući sklonosti IT zajednice da novonastale probleme rješava – privremenim hakovima/zakrpama. Ponekad se zbog toga zastarjele tehnologije dugo vremena gomilaju jedna na drugu, otežavajući živote i dovodeći ih u opasnost. Što biste pomislili kada biste saznali da vaša banka gradi svoj trezor na temeljima od slame i blata? Biste li mu vjerovali da će zadržati vašu ušteđevinu? [8] 30. godišnjica neobuzdane nesigurnosti

Bezbrižan stav Linusa Torvaldsa

Bile su potrebne godine prije nego što je internet dosegao prvih sto računala. Danas se svake sekunde na njega spaja 100 novih računala i drugih uređaja. Kako uređaji povezani s internetom eksplodiraju, tako raste i hitnost pitanja kibernetičke sigurnosti. No, osoba koja bi mogla najviše utjecati na rješavanje ovih problema je ona koja kibernetičku sigurnost gleda s prijezirom. Ovaj čovjek je nazivan genijem, nasilnikom, duhovnim vođom i dobronamjernim diktatorom. Linus Torvalds. Velika većina uređaja povezanih s internetom pokreće njegov operativni sustav, Linux. Brz, fleksibilan, besplatan - Linux s vremenom postaje sve popularniji. Istovremeno se ponaša vrlo stabilno. I može raditi bez ponovnog pokretanja mnogo godina. Zbog toga Linux ima čast biti dominantan operativni sustav. Gotovo sva kompjuterizirana oprema koja nam je danas dostupna pokreće Linux: poslužitelji, medicinska oprema, letna računala, sićušni dronovi, vojni zrakoplovi i još mnogo toga. [9]

Linux uglavnom uspijeva jer Torvalds naglašava performanse i toleranciju na pogreške. Međutim, on ovaj naglasak stavlja na račun kibernetičke sigurnosti. Čak i dok se kibernetički prostor i stvarni fizički svijet isprepliću i kibernetička sigurnost postaje globalni problem, Torvalds se nastavlja opirati uvođenju sigurnih inovacija u svoj operativni sustav. [9]

Stoga čak i među mnogim ljubiteljima Linuxa raste zabrinutost zbog ranjivosti ovog operativnog sustava. Konkretno, najintimniji dio Linuxa, njegov kernel, na kojem Torvalds osobno radi. Ljubitelji Linuxa vide da Torvalds ne shvaća ozbiljno pitanja kibernetičke sigurnosti. Štoviše, Torvalds se okružio programerima koji dijele ovaj bezbrižan stav. Ako netko iz Torvaldsovog najužeg kruga počne govoriti o uvođenju sigurnih inovacija, odmah biva anatemisan. Torvalds je odbacio jednu skupinu takvih inovatora, nazvavši ih "majmunima koji masturbiraju". Dok se Torvalds opraštao od druge skupine programera koji su svjesni sigurnosti, rekao im je: “Biste li bili ljubazni da se ubijete. Svijet bi zbog toga bio bolje mjesto.” Kad god je trebalo dodati sigurnosne značajke, Torvalds je uvijek bio protiv toga. [9] Torvalds čak ima čitavu filozofiju u tom pogledu, koja nije bez zrnca zdravog razuma:

“Apsolutna sigurnost je nedostižna. Stoga ga uvijek treba promatrati samo u odnosu na druge prioritete: brzinu, fleksibilnost i jednostavnost korištenja. Ljudi koji se u potpunosti posvete pružanju zaštite su ludi. Njihovo razmišljanje je ograničeno, crno-bijelo. Sigurnost sama po sebi je beskorisna. Suština je uvijek negdje drugdje. Stoga ne možete osigurati apsolutnu sigurnost, čak i ako to stvarno želite. Naravno, postoje ljudi koji pridaju više pažnje sigurnosti od Torvaldsa. Međutim, ti dečki jednostavno rade na onome što ih zanima i pružaju sigurnost unutar uskog relativnog okvira koji ocrtava te interese. Ne više. Stoga ni na koji način ne doprinose povećanju apsolutne sigurnosti.” [9]

Bočna traka: OpenSource je poput bureta baruta [10]

OpenSource kod uštedio je milijarde u troškovima razvoja softvera, eliminirajući potrebu za dvostrukim naporima: s OpenSourceom programeri imaju priliku koristiti trenutne inovacije bez ograničenja ili plaćanja. OpenSource se koristi posvuda. Čak i ako ste angažirali programera softvera da riješi vaš specijalizirani problem od nule, ovaj programer će najvjerojatnije koristiti neku vrstu OpenSource biblioteke. A vjerojatno i više od jednog. Stoga su OpenSource elementi prisutni gotovo posvuda. U isto vrijeme, treba razumjeti da niti jedan softver nije statičan, njegov kod se stalno mijenja. Stoga, princip "postavi i zaboravi" nikada ne funkcionira za kod. Uključujući OpenSource kod: prije ili kasnije bit će potrebna ažurirana verzija.

U 2016. vidjeli smo posljedice ovakvog stanja: 28-godišnji developer nakratko je “provalio” internet izbrisavši svoj OpenSource kod koji je prethodno učinio javno dostupnim. Ova priča ukazuje na to da je naša kibernetička infrastruktura vrlo krhka. Neki ljudi – koji podržavaju OpenSource projekte – toliko su važni za njegovo održavanje da će im, ne daj Bože, udariti autobus, internet puknuti.

Kod koji je težak za održavanje mjesto je gdje vrebaju najozbiljnije ranjivosti kibernetičke sigurnosti. Neke tvrtke niti ne shvaćaju koliko su ranjive zbog koda koji je teško održavati. Ranjivosti povezane s takvim kodom mogu vrlo sporo sazrijeti u pravi problem: sustavi polako trunu, bez pokazivanja vidljivih kvarova u procesu truljenja. A kad ne uspiju, posljedice su kobne.

Konačno, budući da OpenSource projekte obično razvija zajednica entuzijasta, poput Linusa Torvaldsa ili poput hakera iz Kluba modelarskih željeznica spomenutih na početku članka, problemi s kodom koji je težak za održavanje ne mogu se riješiti na tradicionalne načine (koristeći trgovačke i državne poluge). Zato što su članovi takvih zajednica samovoljni i cijene svoju neovisnost iznad svega.

Sidebar: Možda će nas obavještajne službe i antivirusni programeri zaštititi?

Godine 2013. postalo je poznato da Kaspersky Lab ima posebnu jedinicu koja je provodila prilagođene istrage incidenata informacijske sigurnosti. Donedavno je ovaj odjel vodio bivši bojnik policije Ruslan Stojanov, koji je prethodno radio u odjelu "K" glavnog grada (USTM Glavne uprave unutarnjih poslova Moskve). Svi zaposlenici ove posebne jedinice Kaspersky Laba dolaze iz agencija za provođenje zakona, uključujući Istražni odbor i Upravu "K". [jedanaest]

Krajem 2016. FSB je uhitio Ruslana Stojanova i optužio ga za izdaju. U istom slučaju uhićen je i Sergej Mikhailov, visokopozicionirani predstavnik FSB CIB-a (centra za informacijsku sigurnost), na kojeg se prije uhićenja vezala cjelokupna kibernetička sigurnost zemlje. [jedanaest]

Bočna traka: Cybersecurity Forced

Uskoro će ruski poduzetnici biti prisiljeni obratiti ozbiljnu pozornost na kibernetičku sigurnost. U siječnju 2017. Nikolaj Murashov, predstavnik Centra za zaštitu informacija i posebne komunikacije, izjavio je da su u Rusiji samo CII objekti (kritična informacijska infrastruktura) 2016. napadnuti više od 70 milijuna puta. CII objekti uključuju informacijske sustave državnih agencija, poduzeća obrambene industrije, transportne, kreditne i financijske sektore, energetiku, gorivo i nuklearnu industriju. Kako bi ih zaštitio, 26. srpnja ruski predsjednik Vladimir Putin potpisao je paket zakona "O sigurnosti CII-ja". Do 1. siječnja 2018., kada zakon stupa na snagu, vlasnici CII objekata moraju provesti niz mjera za zaštitu svoje infrastrukture od hakerskih napada, posebno se povezati s GosSOPKA. [12]

bibliografija

  1. Jonathan Millet. IoT: Važnost zaštite vaših pametnih uređaja // 2017.
  2. Ross Anderson. Kako propadaju sustavi plaćanja pametnim karticama // Black Hat. 2014.
  3. SJ Murdoch. Čip i PIN su pokvareni // Proceedings of the IEEE Symposium on Security and Privacy. 2010. str. 433-446 (prikaz, ostalo).
  4. David Talbot. Kompjuterski virusi "bujaju" na medicinskim uređajima u bolnicama // MIT Technology Review (Digital). 2012.
  5. Craig Timberg. Mreža nesigurnosti: tok u dizajnu // The Washington Post. 2015.
  6. Michael Lista. Bio je tinejdžer haker koji je svoje milijune trošio na automobile, odjeću i satove - sve dok ga FBI nije uhvatio // Toronto Life. 2018.
  7. Craig Timberg. Mreža nesigurnosti: katastrofa najavljena – i ignorirana // The Washington Post. 2015.
  8. Craig Timberg. Dug vijek trajanja brzog 'popravka': internetski protokol iz 1989. ostavlja podatke ranjivima na otmičare // The Washington Post. 2015.
  9. Craig Timberg. Mreža nesigurnosti: srž argumenta // The Washington Post. 2015.
  10. Joshua Gans. Može li kod otvorenog koda konačno obistiniti naše strahove od Y2K? // Harvard Business Review (Digital). 2017.
  11. FSB je uhitio top menadžera Kasperskog // CNews. 2017. URL.
  12. Marija Kolomičenko. Cyber ​​​​obavještajna služba: Sberbank je predložio stvaranje stožera za borbu protiv hakera // RBC. 2017.

Izvor: www.habr.com

Dodajte komentar