Amikor a "fekete kalapok" - a kibertér vaderdejének rendfenntartói - különösen sikeresnek bizonyulnak piszkos munkájukban, a sárga média felvihog az örömtől. Ennek eredményeként a világ kezd komolyabban foglalkozni a kiberbiztonsággal. De sajnos nem azonnal. Ezért a katasztrofális kiberincidensek növekvő száma ellenére a világ még nem érett meg az aktív proaktív intézkedésekre. Várható azonban, hogy a közeljövőben a „fekete kalapoknak” köszönhetően a világ elkezdi komolyan venni a kiberbiztonságot. [7]

Ugyanolyan súlyosak, mint a tüzek... A városok egykor nagyon érzékenyek voltak a katasztrofális tüzekre. A potenciális veszély ellenére azonban proaktív védőintézkedésekre nem került sor – még az 1871-es chicagói óriási tűzvész után sem, amely több száz emberéletet követelt, és több százezer embert kényszerített elhagyni. Proaktív védőintézkedésekre csak három évvel később, hasonló katasztrófa után került sor. Ugyanez a helyzet a kiberbiztonsággal – a világ nem fogja megoldani ezt a problémát, hacsak nem történnek katasztrofális események. De még ha ilyen események történnek is, a világ nem fogja azonnal megoldani ezt a problémát. [7] Ezért még a mondás sem működik egészen: „Amíg nem történik hiba, az embert nem lehet foltozni”. Ezért ünnepeltük 2018-ban a burjánzó bizonytalanság 30. évfordulóját.

Lírai kitérő

Ennek a cikknek az eleje, amelyet eredetileg a System Administrator magazinnak írtam, bizonyos értelemben prófétikusnak bizonyult. Egy magazin száma ezzel a cikkel kiment szó szerint nap mint nap a kemerovói „Winter Cherry” bevásárlóközpont tragikus tűzvészével (2018, március 20.).

Telepítse az internetet 30 perc alatt

Még 1988-ban a legendás hackergalaxis, a L0pht a legbefolyásosabb nyugati tisztviselők találkozója előtt teljes erejével kijelentette: „Az Ön számítógépes berendezése sebezhető az internetről érkező kibertámadásokkal szemben. És szoftver, hardver és telekommunikáció. Eladóikat egyáltalán nem aggasztja ez az állapot. Mert a modern jogszabályok nem írnak elő semmilyen felelősséget a gyártott szoftverek és hardverek kiberbiztonságának hanyag megközelítéséért. Az esetleges hibákért (akár spontán, akár kiberbűnözők beavatkozása miatt) a felelősség kizárólag a berendezés felhasználóját terheli. Ami a szövetségi kormányt illeti, nem rendelkezik sem képességekkel, sem akarattal, hogy megoldja ezt a problémát. Ezért, ha kiberbiztonságot keres, akkor nem az internet a megfelelő hely. Az Ön előtt ülő hét ember mindegyike teljesen feltörheti az internetet, és ennek megfelelően átveheti az irányítást a hozzá csatlakoztatott berendezések felett. Önállóan. 30 perc koreografált billentyűleütés, és kész.” [7]

A tisztviselők jelentőségteljesen bólogattak, egyértelművé téve, hogy megértették a helyzet súlyosságát, de nem tettek semmit. Ma, pontosan 30 évvel L0pht legendás fellépése után, a világot még mindig "burjánzó bizonytalanság" sújtja. A számítógépes, internethez csatlakozó berendezések feltörése olyan egyszerű, hogy az Internetet, amely kezdetben az idealista tudósok és lelkesek királysága volt, fokozatosan a legpragmatikusabb szakemberek: csalók, csalók, kémek, terroristák foglalták el. Mindegyikük a számítógépes berendezések sebezhetőségét használja ki pénzügyi vagy egyéb előnyök érdekében. [7]

Az eladók figyelmen kívül hagyják a kiberbiztonságot

A szállítók persze néha megpróbálnak kijavítani néhány azonosított sebezhetőséget, de ezt nagyon vonakodva teszik. Mert a profitjuk nem a hackerek elleni védelemből származik, hanem az általuk a fogyasztóknak biztosított új funkciókból. Mivel kizárólag a rövid távú profitra koncentrálnak, az eladók csak valós problémák megoldásába fektetnek be pénzt, nem hipotetikusakba. A kiberbiztonság sokuk szemében hipotetikus dolog. [7]

A kiberbiztonság láthatatlan, megfoghatatlan dolog. Csak akkor válik kézzelfoghatóvá, ha problémák merülnek fel vele. Ha jól vigyáztak rá (sok pénzt költöttek az ellátására), és nincs vele gond, akkor a végfogyasztó nem akar majd túlfizetni érte. Ezen túlmenően a védőintézkedések végrehajtása a növekvő pénzügyi költségek mellett további fejlesztési időt igényel, korlátozza a berendezés képességeit, és a termelékenység csökkenéséhez vezet. [8]

A felsorolt ​​költségek megvalósíthatóságáról még saját marketingeseinket is nehéz meggyőzni, nemhogy a végfogyasztókat. És mivel a modern gyártókat csak a rövid távú értékesítési nyereség érdekli, egyáltalán nem hajlandók felelősséget vállalni alkotásaik kiberbiztonságának biztosításáért. [1] Másrészt a gondosabb, berendezéseik kiberbiztonságáról gondoskodó szállítók szembesülnek azzal, hogy a vállalati fogyasztók az olcsóbb és könnyebben használható alternatívákat részesítik előnyben. Hogy. Nyilvánvaló, hogy a vállalati fogyasztókat sem nagyon érdekli a kiberbiztonság. [8]

A fentiek fényében nem meglepő, hogy a szállítók hajlamosak elhanyagolni a kiberbiztonságot, és a következő filozófiához ragaszkodnak: „Folytasd az építkezést, folytasd az értékesítést és a javítást, ha szükséges. Összeomlott a rendszer? Elveszett információ? Ellopták a bankkártyaszámokat tartalmazó adatbázist? Találtak-e végzetes sebezhetőséget a berendezésében? Nincs mit!" A fogyasztóknak viszont követniük kell a „foltozzon és imádkozzon” elvet. [7]

Hogyan történik ez: példák a vadonból

A fejlesztés során a kiberbiztonság figyelmen kívül hagyásának szembetűnő példája a Microsoft vállalati ösztönző programja: „Ha elmulasztja a határidőket, pénzbírságot kap. Ha nincs ideje időben benyújtani innovációja kiadását, akkor az nem kerül végrehajtásra. Ha nem hajtják végre, akkor nem kapja meg a cég részvényeit (egy darabot a Microsoft nyereségéből). 1993 óta a Microsoft elkezdte aktívan összekapcsolni termékeit az internettel. Mivel ez a kezdeményezés ugyanazon motivációs program szerint működött, a funkcionalitás gyorsabban bővült, mint ahogy a védekezés lépést tudott tartani vele. A pragmatikus sebezhetőség-vadászok örömére... [7]

Egy másik példa a számítógépek és laptopok helyzete: nem jár hozzájuk előre telepített vírusirtó; és nem rendelkeznek előre beállított erős jelszavakról sem. Feltételezhető, hogy a végfelhasználó telepíti a víruskeresőt, és beállítja a biztonsági konfigurációs paramétereket. [1]

Egy másik, szélsőségesebb példa: a kiskereskedelmi berendezések (pénztárgépek, bevásárlóközpontok PoS-termináljai stb.) kiberbiztonságának helyzete. Így történt, hogy a kereskedelmi berendezések eladói csak azt árulják, amit eladnak, és nem azt, ami biztonságos. [2] Ha van valami, amivel a kereskedelmi berendezések szállítói törődnek a kiberbiztonsággal kapcsolatban, az az, hogy ha egy vitatott incidens történik, a felelősség másokra háruljon. [3]

Jelző példa erre az események alakulására: a bankkártyákra vonatkozó EMV szabvány népszerűsítése, amely a banki marketingesek hozzáértő munkájának köszönhetően a technikailag nem kifinomult közönség előtt az „elavult” biztonságosabb alternatívájaként jelenik meg. mágneskártyák. Ugyanakkor az EMV szabvány kidolgozásáért felelős bankszektor fő motivációja az volt, hogy a (kártyások hibájából bekövetkező) csalási incidensek felelősségét áthárítsa az üzletekről a fogyasztókra. Míg korábban (amikor a fizetések mágneskártyával történtek), a terhelés/jóváírás eltéréseiért a pénzügyi felelősség az üzleteket terhelte. [3] Így a fizetéseket feldolgozó bankok a felelősséget vagy a kereskedőkre (akik a távoli bankrendszerüket használják), vagy a fizetési kártyákat kibocsátó bankokra hárítják; az utóbbi kettő pedig a kártyabirtokosra hárítja a felelősséget. [2]

Az eladók akadályozzák a kiberbiztonságot

Ahogy a digitális támadási felület menthetetlenül bővül – az internetre csatlakozó eszközök robbanásszerű terjedésének köszönhetően – egyre nehezebb nyomon követni, hogy mi csatlakozik a vállalati hálózathoz. Ugyanakkor az eladók az internetre csatlakoztatott összes berendezés biztonságával kapcsolatos aggodalmakat a végfelhasználókra hárítják [1]: „A fuldokló emberek mentése maguknak a fuldoklóknak a munkája.”

A gyártók nemcsak hogy nem törődnek alkotásaik kiberbiztonságával, de bizonyos esetekben be is avatkoznak annak biztosításához. Például amikor 2009-ben a Conficker hálózati féreg beszivárgott a Beth Israel Medical Centerbe, és megfertőzte az ott található egészségügyi berendezések egy részét, az egészségügyi központ műszaki igazgatója, hogy a jövőben ne fordulhasson elő hasonló eset, úgy döntött, hogy letiltja a működést támogató funkció a hálózattal rendelkező féreg által érintett berendezéseken. Ugyanakkor szembesült azzal, hogy "a berendezést a szabályozási korlátozások miatt nem lehetett frissíteni". Jelentős erőfeszítésébe került, hogy megbeszélje az eladóval a hálózati funkciók letiltását. [4]

Az internet alapvető kiberbiztonsági kérdései

David Clarke, a legendás MIT professzor, akinek zsenialitása miatt az "Albus Dumbledore" becenevet kapta, emlékszik arra a napra, amikor az internet sötét oldalát felfedték a világ előtt. Clark egy távközlési konferenciát vezetett 1988 novemberében, amikor felröppent a hír, miszerint a történelem első számítógépes férgei átsuhantak a hálózati vezetékeken. Clark emlékezett erre a pillanatra, mert a konferenciáján jelenlévő előadót (az egyik vezető távközlési vállalat alkalmazottját) felelősségre vonták a féreg terjedéséért. Ez a beszélő az érzelmek hevében akaratlanul is azt mondta: „Tessék!” Úgy tűnik, lezártam ezt a sebezhetőséget” – fizetett ezekért a szavakért. [5]

Később azonban kiderült, hogy a sebezhetőség, amelyen keresztül az említett féreg elterjedt, nem egyéni ember érdeme. Ez pedig szigorúan véve nem is sebezhetőség, hanem alapvető jellemzője volt az internetnek: az internet alapítói ötletük fejlesztése során kizárólag az adatátviteli sebességre és a hibatűrésre helyezték a hangsúlyt. Nem tűzték ki maguk elé a kiberbiztonság biztosítását. [5]

Ma, évtizedekkel az internet megalapítása után – mivel már több száz milliárd dollárt költöttek hiábavaló kiberbiztonsági kísérletekre – az internet nem kevésbé sebezhető. Kiberbiztonsági problémái évről évre csak súlyosbodnak. Van-e azonban jogunk ezért elítélni az Internet alapítóit? Hiszen például senki sem fogja elítélni a gyorsforgalmi utak építőit azért, mert „az ő útjaikon” történnek balesetek; és senki sem fogja elítélni a várostervezőket amiatt, hogy rablások történnek „városaikban”. [5]

Hogyan született meg a hacker szubkultúra

A hacker szubkultúra az 1960-as évek elején keletkezett, a „Railway Technical Modeling Club”-ban (amely a Massachusetts Institute of Technology falai között működik). A klub szerelmesei egy vasúti modellt terveztek és szereltek össze, amely akkora volt, hogy betöltötte az egész termet. A klubtagok spontán módon két csoportra oszthatók: béketeremtőkre és rendszerspecialistákra. [6]

Az első a modell föld feletti részével működött, a második a földalattival. Az elsők vonat- és városmaketteket gyűjtöttek és díszítettek: miniatűrben mintázták meg az egész világot. Ez utóbbi az egész béketeremtés technikai támogatásán dolgozott: a modell föld alatti részében elhelyezett vezetékek, relék és koordinátakapcsolók bonyolultsága - minden, ami a „föld feletti” részt irányította és energiával táplálta. [6]

Amikor közlekedési probléma merült fel, és valaki új és ötletes megoldást talált ki a megoldásra, a megoldást „hack”-nek nevezték. A klubtagok számára az új hackek keresése az élet belső értelmévé vált. Ezért kezdték el magukat "hackernek" nevezni. [6]

A hackerek első generációja a Simulation Railway Clubban megszerzett készségeket számítógépes programok lyukkártyára írásával valósította meg. Aztán amikor az ARPANET (az Internet elődje) 1969-ben megérkezett az egyetemre, a hackerek lettek a legaktívabb és legképzettebb felhasználói. [6]

Most, évtizedekkel később, a modern internet a vasútmodell „földalatti” részére hasonlít. Mert alapítói ugyanazok a hackerek voltak, a „Railroad Simulation Club” diákjai. Már csak a hackerek működtetnek valódi városokat a szimulált miniatúrák helyett. [6]

Hogyan jött létre a BGP útválasztás

A 80-as évek végére az internetre csatlakozó eszközök számának lavinaszerű növekedése következtében az internet megközelítette az egyik alapvető internetprotokollba épített kemény matematikai határt. Ezért az akkori mérnökök közötti bármilyen beszélgetés végül ennek a problémának a megbeszélésévé vált. Két barát sem volt kivétel: Jacob Rechter (az IBM mérnöke) és Kirk Lockheed (a Cisco alapítója). Véletlenül találkozva a vacsoraasztalnál, elkezdték megvitatni az internet működőképességének megőrzését célzó intézkedéseket. A barátok felírták a felmerülő ötleteket, ami a keze ügyébe került - egy ketchuppal megfestett szalvéta. Aztán a második. Aztán a harmadik. A „három szalvéta protokoll”, ahogy feltalálói viccesen nevezték – hivatalos körökben BGP (Border Gateway Protocol) néven ismert – hamarosan forradalmasította az internetet. [8]

A Rechter és a Lockheed számára a BGP egyszerűen egy alkalmi hack volt, amelyet a fent említett Model Railroad Club szellemében fejlesztettek ki, egy ideiglenes megoldást, amelyet hamarosan lecserélnek. A haverok 1989-ben fejlesztették ki a BGP-t. Ma azonban, 30 évvel később, az internetes forgalom nagy része még mindig a „három szalvéta protokoll” használatával történik – annak ellenére, hogy egyre riasztóbb hívások hangzanak el a kiberbiztonsággal kapcsolatos kritikus problémákról. Az ideiglenes feltörés az egyik alapvető internetes protokoll lett, fejlesztői pedig saját tapasztalataikból megtanulták, hogy „nincs tartósabb az ideiglenes megoldásoknál”. [8]

A hálózatok világszerte áttértek a BGP-re. Befolyásos eladók, gazdag ügyfelek és távközlési cégek gyorsan beleszerettek a BGP-be, és megszokták. Ezért annak ellenére, hogy egyre több vészharang szól a protokoll bizonytalanságáról, az informatikai közvélemény továbbra sem mutat lelkesedést az új, biztonságosabb berendezésekre való átállás iránt. [8]

Kiberbiztonságos BGP-útválasztás

Miért olyan jó a BGP-routing, és miért nem siet az informatikai közösség elhagyni? A BGP segít az útválasztóknak eldönteni, hogy hova irányítsák az egymást metsző kommunikációs vonalak hatalmas hálózatán keresztül küldött hatalmas adatfolyamokat. A BGP segít az útválasztóknak a megfelelő útvonalak kiválasztásában annak ellenére, hogy a hálózat folyamatosan változik, és a népszerű útvonalakon gyakran előfordulnak forgalmi dugók. A probléma az, hogy az internetnek nincs globális útválasztási térképe. A BGP-t használó útválasztók a kibertérben lévő szomszédoktól kapott információk alapján döntenek az egyik vagy másik útvonal kiválasztásáról, akik viszont információkat gyűjtenek a szomszédaiktól stb. Ez az információ azonban könnyen meghamisítható, ami azt jelenti, hogy a BGP-útválasztás nagyon sebezhető a MiTM-támadásokkal szemben. [8]

Ezért rendszeresen felmerülnek a következő kérdések: „Miért ment a forgalom két denveri számítógép között óriási kitérővel Izlandon keresztül?”, „Miért vitték át a Pentagon minősített adatait egykor Pekingen keresztül?” Az ehhez hasonló kérdésekre vannak technikai válaszok, de ezek mind abból fakadnak, hogy a BGP a bizalom alapján működik: bízik a szomszédos útválasztóktól kapott ajánlásokban. A BGP-protokoll bizalmi jellegének köszönhetően a titokzatos forgalomirányítók mások adatfolyamait is becsalogathatják a domainjükbe, ha akarják. [8]

Élő példa Kína BGP-támadása az amerikai Pentagon ellen. 2010 áprilisában az állami tulajdonú távközlési óriás, a China Telecom több tízezer útválasztót küldött szerte a világon, köztük 16 8-et az Egyesült Államokban, egy BGP-üzenetben, amely azt mondta nekik, hogy jobb útvonalaik vannak. Egy olyan rendszer nélkül, amely ellenőrizni tudta a China Telecom BGP-üzenetének érvényességét, a routerek világszerte elkezdtek adatokat küldeni Pekingen keresztül. Beleértve a Pentagonból és az Egyesült Államok Védelmi Minisztériumának más helyszíneiről érkező forgalmat. A forgalom átirányításának egyszerűsége és az ilyen típusú támadásokkal szembeni hatékony védelem hiánya egy másik jele a BGP-útválasztás bizonytalanságának. [XNUMX]

A BGP protokoll elméletileg sebezhető egy még veszélyesebb kibertámadással szemben. Abban az esetben, ha a nemzetközi konfliktusok teljes erővel eszkalálódnának a kibertérben, a China Telecom vagy más távközlési óriáscég megpróbálhatja tulajdonjogot kérni az internet azon részeihez, amelyek valójában nem tartoznak hozzá. Egy ilyen lépés összezavarná az útválasztókat, amelyeknek az azonos internetcímblokkokra pályázó ajánlatok között kellene ugrálniuk. Ha nem tudna megkülönböztetni egy legitim alkalmazást a hamistól, az útválasztók rendszertelenül működnének. Ennek eredményeként az atomháború internetes megfelelőjével kell szembenéznünk – az ellenségeskedés nyílt, nagyszabású megnyilvánulásával. Egy ilyen fejlesztés a viszonylagos béke idején irreálisnak tűnik, de technikailag teljesen megvalósítható. [8]

Hiábavaló kísérlet a BGP-ről a BGPSEC-re való áttérésre

A kiberbiztonságot nem vették figyelembe a BGP kidolgozásakor, mert akkoriban a hackek ritkák voltak, és az általuk okozott kár elhanyagolható volt. A BGP fejlesztőinek, mivel távközlési cégeknél dolgoztak, és érdekeltek voltak hálózati berendezéseik eladásában, sokkal sürgetőbb feladat várt rájuk: elkerülni az internet spontán meghibásodását. Mivel az internet megszakítása elidegenítheti a felhasználókat, és ezáltal csökkentheti a hálózati berendezések értékesítését. [8]

Az amerikai katonai forgalom Pekingen keresztül történő továbbításával 2010 áprilisában történt incidens után minden bizonnyal felgyorsult a BGP-útválasztás kiberbiztonságának biztosítására irányuló munka. A távközlési szolgáltatók azonban csekély lelkesedést mutattak a nem biztonságos BGP helyettesítésére javasolt új BGPSEC biztonságos útválasztási protokollra való átállás költségeinek viselése iránt. A szállítók továbbra is elfogadhatónak tartják a BGP-t, még a számtalan forgalomelfogás ellenére is. [8]

Radia Perlman, akit az „Internet Anyjának” tituláltak egy másik nagy hálózati protokoll feltalálása miatt 1988-ban (egy évvel a BGP előtt), prófétai doktorátust szerzett az MIT-n. Perlman megjósolta, hogy az útválasztási protokoll, amely a kibertérben a szomszédok őszinteségétől függ, alapvetően nem biztonságos. Perlman a kriptográfia használatát támogatta, amely segít korlátozni a hamisítás lehetőségét. A BGP bevezetése azonban már javában zajlott, a befolyásos IT-társadalom megszokta, és nem akart semmin változtatni. Ezért Perlman, Clark és néhány más prominens világszakértő indokolt figyelmeztetései után a kriptográfiailag biztonságos BGP-útválasztás relatív aránya egyáltalán nem nőtt, és még mindig 0%. [8]

A BGP-útválasztás nem az egyetlen feltörés

És nem a BGP-útválasztás az egyetlen feltörés, amely megerősíti azt az elképzelést, hogy „semmi sem tartósabb, mint az ideiglenes megoldások”. Néha az internet, amely elmerít minket a fantáziavilágban, olyan elegánsnak tűnik, mint egy versenyautó. A valóságban azonban az egymásra halmozott hackek miatt az internet inkább Frankensteinre, mint Ferrarira hasonlít. Mert ezeket a hackeket (hivatalosabban patch-nek hívják) soha nem helyettesíti megbízható technológia. Ennek a megközelítésnek súlyos következményei vannak: a kiberbűnözők naponta és óránként hackelnek be sebezhető rendszereket, és korábban elképzelhetetlen méretekre terjesztik ki a kiberbűnözés körét. [8]

A kiberbűnözők által kihasznált hibák közül sok már régóta ismert, és kizárólag annak köszönhető, hogy az informatikai közösség hajlamos a felmerülő problémákat megoldani - ideiglenes feltörésekkel/javításokkal. Néha emiatt az elavult technológiák hosszú időre egymásra halmozódnak, megnehezítve és veszélybe sodorva az emberek életét. Mit gondolna, ha megtudná, hogy bankja szalmából és sárból álló alapra építi a trezort? Bízna benne, hogy megtartja a megtakarításait? [8]

Linus Torvalds gondtalan hozzáállása

Évekbe telt, mire az internet elérte az első száz számítógépet. Ma másodpercenként 100 új számítógép és egyéb eszköz csatlakozik hozzá. Az internetre csatlakozó eszközök felrobbanásával párhuzamosan a kiberbiztonsági problémák sürgőssége is nő. Azonban az a személy, aki a legnagyobb hatással lehet e problémák megoldására, az, aki megvetéssel tekint a kiberbiztonságra. Ezt az embert zseninek, zaklatónak, lelki vezetőnek és jóindulatú diktátornak nevezték. Linus Torvalds. Az internetre csatlakoztatott eszközök túlnyomó többsége a Linux operációs rendszert futtatja. Gyors, rugalmas, ingyenes – a Linux idővel egyre népszerűbb. Ugyanakkor nagyon stabilan viselkedik. És sok éven át újraindítás nélkül is működhet. Ezért illeti a Linuxot az a megtiszteltetés, hogy a domináns operációs rendszer legyen. Szinte az összes ma elérhető számítógépes berendezés Linuxon fut: szerverek, orvosi berendezések, repülési számítógépek, apró drónok, katonai repülőgépek és még sok más. [9]

A Linux nagyrészt azért sikeres, mert Torvalds a teljesítményre és a hibatűrésre helyezi a hangsúlyt. Ezt a hangsúlyt azonban a kiberbiztonság rovására helyezi. Még akkor is, amikor a kibertér és a valós fizikai világ összefonódik, és a kiberbiztonság globális kérdéssé válik, Torvalds továbbra is ellenáll a biztonságos innovációk bevezetésének az operációs rendszerében. [9]

Ezért még sok Linux-rajongó körében is egyre nagyobb aggodalomra ad okot ennek az operációs rendszernek a sebezhetősége. Különösen a Linux legintimebb része, a kernel, amelyen Torvalds személyesen dolgozik. A Linux-rajongók látják, hogy Torvalds nem veszi komolyan a kiberbiztonsági problémákat. Ráadásul Torvalds olyan fejlesztőkkel vette körül magát, akik osztják ezt a gondtalan hozzáállást. Ha valaki Torvalds belső köréből biztonságos újítások bevezetéséről kezd beszélni, azonnal elkeseríti. Torvalds elvetette az ilyen újítók egy csoportját, és „maszturbáló majmoknak” nevezte őket. Miközben Torvalds elbúcsúzott a biztonságtudatos fejlesztők egy másik csoportjától, így szólt hozzájuk: „Lennél olyan kedves és megölnéd magad. A világ jobb hely lenne tőle.” Amikor biztonsági funkciókat kellett hozzáadni, Torvalds mindig ellenezte. [9] Torvaldsnak még egész filozófiája is van ezzel kapcsolatban, ami nem nélkülözi a józan ész szemét:

„Az abszolút biztonság elérhetetlen. Ezért ezt mindig csak más prioritásokkal összefüggésben kell figyelembe venni: sebesség, rugalmasság és egyszerű használat. Azok az emberek, akik teljes mértékben a védelem biztosítására szentelik magukat, őrültek. Gondolkodásuk korlátozott, fekete-fehér. A biztonság önmagában hiábavaló. A lényeg mindig máshol van. Ezért nem tudja garantálni az abszolút biztonságot, még akkor sem, ha nagyon szeretné. Persze vannak, akik jobban odafigyelnek a biztonságra, mint Torvalds. Ezek a srácok azonban egyszerűen azon dolgoznak, ami érdekli őket, és biztonságot nyújtanak azon a szűk relatív kereten belül, amely ezeket az érdekeket lehatárolja. Nem több. Tehát semmiképpen sem járulnak hozzá az abszolút biztonság növeléséhez.” [9]

Oldalsáv: Az OpenSource olyan, mint egy porhordó [10]

Az OpenSource kóddal milliárdos szoftverfejlesztési költséget takarítottak meg, így nincs szükség párhuzamos erőfeszítésekre: az OpenSource segítségével a programozóknak lehetőségük van korlátozás és fizetés nélkül használni az aktuális innovációkat. OpenSource mindenhol használatos. Még ha fel is bérelt egy szoftverfejlesztőt, hogy a semmiből megoldja speciális problémáját, ez a fejlesztő valószínűleg valamilyen nyílt forráskódú könyvtárat fog használni. És valószínűleg több is. Így az OpenSource elemek szinte mindenhol jelen vannak. Ugyanakkor meg kell érteni, hogy egyetlen szoftver sem statikus, a kódja folyamatosan változik. Ezért a „hely és felejt” elv soha nem működik a kód esetében. Az OpenSource kódot is beleértve: előbb-utóbb frissített verzióra lesz szükség.

2016-ban láthattuk ennek az állapotnak a következményeit: egy 28 éves fejlesztő rövid időre „feltörte” az internetet azzal, hogy törölte OpenSource kódját, amelyet korábban nyilvánosan elérhetővé tett. Ez a történet rámutat arra, hogy kiberinfrastruktúránk nagyon törékeny. Vannak, akik - akik támogatják az OpenSource projekteket - annyira fontosak ennek fenntartása érdekében, hogy ha ne adj isten, elüti őket egy busz, az internet megszakad.

A nehezen karbantartható kód az, ahol a legsúlyosabb kiberbiztonsági sérülékenységek lapulnak. Egyes cégek nem is veszik észre, mennyire sebezhetőek a nehezen karbantartható kódok miatt. Az ilyen kódokhoz kapcsolódó sebezhetőségek nagyon lassan válhatnak valódi problémává: a rendszerek lassan rothadnak, anélkül, hogy látható hibákat mutatnának fel a rothadás folyamatában. És ha kudarcot vallanak, a következmények végzetesek.

Végül, mivel az OpenSource projekteket általában egy rajongó közösség fejleszti, mint például Linus Torvalds vagy a cikk elején említett Model Railroad Club hackerei, a nehezen karbantartható kóddal kapcsolatos problémák nem oldhatók meg hagyományos módszerekkel (pl. kereskedelmi és kormányzati karok). Mert az ilyen közösségek tagjai akaratosak, és mindennél jobban értékelik függetlenségüket.

Oldalsáv: Lehet, hogy a titkosszolgálatok és a vírusirtó fejlesztők megvédenek minket?

2013-ban vált ismertté, hogy a Kaspersky Labnak van egy speciális egysége, amely az információbiztonsági incidensek egyedi vizsgálatát végezte. Egészen a közelmúltig ezt az osztályt egy korábbi rendőrőrnagy, Ruszlan Sztojanov vezette, aki korábban a főváros „K” osztályán (a Moszkvai Fő Belügyi Igazgatóság USTM-jén) dolgozott. A Kaspersky Lab ezen speciális egységének minden alkalmazottja a bűnüldöző szervektől származik, beleértve a nyomozóbizottságot és a „K” igazgatóságot. [tizenegy]

2016 végén az FSZB letartóztatta Ruszlan Sztojanovot, és hazaárulással vádolta meg. Ugyanebben az ügyben letartóztatták Szergej Mihajlovot, az FSZB CIB (információbiztonsági központ) magas rangú képviselőjét, akire a letartóztatás előtt az ország teljes kiberbiztonságát rákötötték. [tizenegy]

Oldalsáv: Kiberbiztonság érvényesítve

Hamarosan az orosz vállalkozók kénytelenek komoly figyelmet fordítani a kiberbiztonságra. 2017 januárjában Nikolai Murashov, az Információvédelmi és Speciális Kommunikációs Központ képviselője kijelentette, hogy Oroszországban csak a CII objektumokat (kritikus információs infrastruktúrát) több mint 2016 millió alkalommal támadták meg 70-ban. A CII objektumok közé tartoznak a kormányzati szervek, a védelmi ipari vállalkozások, a közlekedési, hitel- és pénzügyi szektorok, az energia-, üzemanyag- és nukleáris iparágak információs rendszerei. Védelmük érdekében július 26-án Vlagyimir Putyin orosz elnök aláírta a CII biztonságáról szóló törvénycsomagot. 1. január 2018-jéig, amikor a törvény hatályba lép, a CII-létesítmények tulajdonosainak intézkedéscsomagot kell végrehajtaniuk annak érdekében, hogy megvédjék infrastruktúrájukat a hackertámadásoktól, különös tekintettel a GosSOPKA-hoz. [12]

Bibliográfia

1. Jonathan Millet. IoT: Intelligens eszközei biztonságának fontossága 2017.
2. Ross Anderson. Hogyan hibáznak a smartcard fizetési rendszerek // Black Hat. 2014.
3. SJ Murdoch. A chip és a PIN törött // Az IEEE biztonságról és adatvédelemről szóló szimpózium előadásai. 2010. pp. 433-446.
4. David Talbot. A számítógépes vírusok „elterjedtek” a kórházak orvosi eszközein // MIT Technology Review (digitális). 2012.
5. Craig Timberg. A bizonytalanság hálója: Egy folyamat a tervezésben // The Washington Post. 2015.
6. Michael Lista. Tizenéves hacker volt, aki millióit költötte autókra, ruhákra és órákra – egészen addig, amíg az FBI rá nem kapott. // Torontói élet. 2018.
7. Craig Timberg. A bizonytalanság hálója: Megjövendölt – és figyelmen kívül hagyott – katasztrófa // The Washington Post. 2015.
8. Craig Timberg. A gyors „javítás” hosszú élettartama: az 1989-es Internet protokoll sebezhetővé teszi az adatokat a gépeltérítőkkel szemben // The Washington Post. 2015.
9. Craig Timberg. Bizonytalanság hálója: Az érv magja // The Washington Post. 2015.
10. Joshua Gans. Valóra válthatja-e a nyílt forráskódú Y2K-féle félelmeinket? // Harvard Business Review (digitális). 2017.
11. Az FSB letartóztatta a Kaspersky felső vezetőjét // CNews. 2017. URL.
12. Maria Kolomychenko. Kiberintelligencia szolgáltatás: A Sberbank egy központ létrehozását javasolta a hackerek leküzdésére // RBC. 2017.

Forrás: will.com