Երբ «սև գլխարկները»՝ լինելով կիբերտարածության վայրի անտառի կանոնավորները, հատկապես հաջողակ են իրենց կեղտոտ գործում, դեղին լրատվամիջոցները հրճվանքով քրքջում են։ Արդյունքում աշխարհը սկսում է ավելի լուրջ նայել կիբերանվտանգությանը։ Բայց, ցավոք, ոչ անմիջապես: Հետևաբար, չնայած աղետալի կիբեր միջադեպերի թվի աճին, աշխարհը դեռ հասուն չէ ակտիվ նախաձեռնող միջոցների համար: Այնուամենայնիվ, սպասվում է, որ մոտ ապագայում «սև գլխարկների» շնորհիվ աշխարհը կսկսի լուրջ վերաբերվել կիբերանվտանգությանը։ [7]

Նույնքան լուրջ, որքան հրդեհները... Մի ժամանակ քաղաքները շատ խոցելի էին աղետալի հրդեհների համար: Այնուամենայնիվ, չնայած պոտենցիալ վտանգի, կանխարգելիչ պաշտպանական միջոցներ չեն ձեռնարկվել նույնիսկ 1871 թվականին Չիկագոյում հսկա հրդեհից հետո, որը հարյուրավոր կյանքեր խլեց և հարյուր հազարավոր մարդիկ տեղահանվեցին: Նախաձեռնող պաշտպանական միջոցներ ձեռնարկվեցին միայն այն բանից հետո, երբ կրկին տեղի ունեցավ նմանատիպ աղետ՝ երեք տարի անց: Նույնն է կիբերանվտանգության դեպքում՝ աշխարհը չի լուծի այս խնդիրը, քանի դեռ աղետալի միջադեպեր չլինեն: Բայց եթե անգամ նման միջադեպեր լինեն, աշխարհն անմիջապես չի լուծի այս խնդիրը։ [7] Հետևաբար, նույնիսկ ասացվածքը. «Մինչև վրիպակը չպատահի, մարդը չի կարկատվի», այնքան էլ չի գործում։ Ահա թե ինչու 2018 թվականին մենք նշեցինք մոլեգնող անապահովության 30 տարին։

Լիրիկական շեղում

Այս հոդվածի սկիզբը, որն ի սկզբանե գրել էի System Administrator ամսագրի համար, պարզվեց, որ ինչ-որ իմաստով մարգարեական էր: Այս հոդվածով ամսագրի թողարկում դուրս բառացիորեն օրեցօր Կեմերովոյի «Ձմեռային բալ» առևտրի կենտրոնում ողբերգական հրդեհի հետ (2018, մարտի 20):

Տեղադրեք ինտերնետը 30 րոպեում

Դեռևս 1988 թվականին լեգենդար հաքերային L0pht գալակտիկան, ամբողջ ուժով ելույթ ունենալով արևմտյան ամենաազդեցիկ պաշտոնյաների հանդիպումից առաջ, հայտարարեց. Եվ ծրագրային ապահովում, և ապարատային, և հեռահաղորդակցություն: Նրանց վաճառողներին բոլորովին չի մտահոգում գործերի այս վիճակը: Որովհետև ժամանակակից օրենսդրությունը որևէ պատասխանատվություն չի նախատեսում արտադրված ծրագրային ապահովման և սարքավորումների կիբերանվտանգության ապահովման համար անփույթ մոտեցման համար: Հնարավոր խափանումների համար պատասխանատվությունը (լինի դա ինքնաբուխ կամ կիբերհանցագործների միջամտության հետևանքով) կրում է բացառապես սարքավորումն օգտագործողը: Ինչ վերաբերում է դաշնային կառավարությանը, ապա այն չունի ոչ հմտություններ, ոչ ցանկություն՝ լուծելու այս խնդիրը։ Հետևաբար, եթե դուք փնտրում եք կիբերանվտանգություն, ապա ինտերնետը այն գտնելու տեղը չէ: Ձեր դիմաց նստած յոթ մարդկանցից յուրաքանչյուրը կարող է ամբողջությամբ կոտրել ինտերնետը և, համապատասխանաբար, ամբողջությամբ վերահսկել դրան միացված սարքավորումները։ Ինքն իրենով։ 30 րոպե խորեոգրաֆիկ ստեղնաշարի հարվածներ, և դա արված է»: [7]

Պաշտոնյաները իմաստալից գլխով արեցին՝ հասկացնելով, որ հասկանում են իրավիճակի լրջությունը, բայց ոչինչ չեն անում։ Այսօր, L30pht-ի լեգենդար ելույթից ուղիղ 0 տարի անց, աշխարհը դեռ պատուհասված է «անապահովության տիրույթում»: Համակարգչային, ինտերնետին միացված սարքավորումների կոտրելն այնքան հեշտ է, որ ինտերնետը, ի սկզբանե իդեալիստ գիտնականների և էնտուզիաստների թագավորություն, աստիճանաբար զբաղեցրել են ամենապրագմատիկ մասնագետները՝ խաբեբաները, խարդախները, լրտեսները, ահաբեկիչները: Նրանք բոլորն էլ օգտագործում են համակարգչային սարքավորումների խոցելիությունը ֆինանսական կամ այլ օգուտների համար: [7]

Վաճառողները անտեսում են կիբերանվտանգությունը

Վաճառողները, իհարկե, երբեմն փորձում են շտկել հայտնաբերված որոշ խոցելիություններ, բայց նրանք դա անում են շատ դժկամությամբ: Որովհետև նրանց շահույթը գալիս է ոչ թե հաքերներից պաշտպանվելուց, այլ նոր ֆունկցիոնալությունից, որը նրանք տրամադրում են սպառողներին։ Կենտրոնացած լինելով բացառապես կարճաժամկետ շահույթի վրա՝ վաճառողները գումար են ներդնում միայն իրական խնդիրների լուծման համար, այլ ոչ թե հիպոթետիկ: Կիբերանվտանգությունը, նրանցից շատերի աչքում, հիպոթետիկ բան է: [7]

Կիբերանվտանգությունը անտեսանելի, ոչ նյութական բան է: Այն շոշափելի է դառնում միայն այն ժամանակ, երբ դրա հետ խնդիրներ են առաջանում։ Եթե ​​լավ խնամել են (շատ գումար են ծախսել դրա տրամադրման վրա), և դրա հետ կապված խնդիրներ չլինեն, վերջնական սպառողը չի ցանկանա դրա համար գերավճար վճարել։ Բացի այդ, բացի ֆինանսական ծախսերի ավելացումից, պաշտպանական միջոցառումների իրականացումը պահանջում է մշակման լրացուցիչ ժամանակ, պահանջում է սահմանափակել սարքավորումների հնարավորությունները և հանգեցնում է դրա արտադրողականության նվազմանը: [8]

Թվարկված ծախսերի իրագործելիության մեջ նույնիսկ մեր սեփական շուկայավարներին դժվար է համոզել, էլ չասած վերջնական սպառողներին։ Եվ քանի որ ժամանակակից վաճառողներին հետաքրքրում է միայն կարճաժամկետ վաճառքի շահույթը, նրանք ամենևին հակված չեն պատասխանատվություն ստանձնել իրենց ստեղծագործությունների կիբերանվտանգությունն ապահովելու համար։ [1] Մյուս կողմից, ավելի զգույշ վաճառողները, ովքեր հոգացել են իրենց սարքավորումների կիբերանվտանգության մասին, բախվում են այն փաստի հետ, որ կորպորատիվ սպառողները նախընտրում են ավելի էժան և հեշտ օգտագործման այլընտրանքներ։ Դա. Ակնհայտ է, որ կորպորատիվ սպառողները նույնպես շատ չեն մտածում կիբերանվտանգության մասին: [8]

Հաշվի առնելով վերը նշվածը, զարմանալի չէ, որ վաճառողները հակված են անտեսելու կիբերանվտանգությունը և հավատարիմ են մնում հետևյալ փիլիսոփայությանը. «Շարունակեք կառուցել, շարունակեք վաճառել և անհրաժեշտության դեպքում կարկատել: Համակարգը խափանվե՞լ է: Կորցրե՞լ եք տեղեկատվություն: Գողացե՞լ են վարկային քարտերի համարներով շտեմարան։ Ձեր սարքավորման մեջ հայտնաբերվե՞լ են մահացու խոցելիություններ: Ոչ մի խնդիր!" Սպառողներն իրենց հերթին պետք է հետևեն սկզբունքին՝ «կարկատել և աղոթել»: [7]

Ինչպես է դա տեղի ունենում. օրինակներ վայրի բնությունից

Զարգացման ընթացքում կիբերանվտանգության անտեսման վառ օրինակ է Microsoft-ի կորպորատիվ խրախուսման ծրագիրը. «Եթե բաց թողնեք ժամկետները, կտուգանվեք: Եթե ​​ժամանակ չունեք ձեր նորարարության թողարկումը ժամանակին ներկայացնելու համար, այն չի իրականացվի: Եթե ​​այն չիրականացվի, դուք չեք ստանա ընկերության բաժնետոմսերը (կարկանդակի մի կտոր Microsoft-ի շահույթից)»։ 1993 թվականից Microsoft-ը սկսեց ակտիվորեն կապել իր արտադրանքը ինտերնետին: Քանի որ այս նախաձեռնությունը գործում էր նույն մոտիվացիոն ծրագրին համահունչ, ֆունկցիոնալությունն ավելի արագ ընդլայնվեց, քան պաշտպանությունը կարող էր համահունչ դրան: Ի ուրախություն պրագմատիկ խոցելի որսորդների... [7]

Մեկ այլ օրինակ է համակարգիչների և նոթբուքերի հետ կապված իրավիճակը. դրանք չեն գալիս նախապես տեղադրված հակավիրուսով. և նրանք նաև չեն նախատեսում ուժեղ գաղտնաբառերի նախադրյալներ: Ենթադրվում է, որ վերջնական օգտագործողը կտեղադրի հակավիրուսը և կսահմանի անվտանգության կազմաձևման պարամետրերը: [1]

Մեկ այլ, ավելի ծայրահեղ օրինակ՝ մանրածախ սարքավորումների կիբերանվտանգության հետ կապված իրավիճակը (դրամարկղային մեքենաներ, առևտրի կենտրոնների PoS տերմինալներ և այլն): Այնպես եղավ, որ կոմերցիոն սարքավորումներ վաճառողները վաճառում են միայն այն, ինչ վաճառվում է, և ոչ այն, ինչ անվտանգ է։ [2] Եթե կա մի բան, որի մասին առևտրային սարքավորումների վաճառողները հոգ են տանում կիբերանվտանգության տեսանկյունից, դա համոզվելն է, որ եթե վիճահարույց միջադեպ տեղի ունենա, պատասխանատվությունը ընկնում է ուրիշների վրա: [3]

Իրադարձությունների այս զարգացման ցուցիչ օրինակ. բանկային քարտերի համար EMV ստանդարտի հանրահռչակումը, որը բանկային շուկայավարների գրագետ աշխատանքի շնորհիվ հայտնվում է տեխնիկապես ոչ բարդ հասարակության աչքում որպես «հնացած» ավելի անվտանգ այլընտրանք: մագնիսական քարտեր. Միևնույն ժամանակ, բանկային ոլորտի հիմնական շարժառիթը, որը պատասխանատու էր EMV ստանդարտի մշակման համար, խարդախ միջադեպերի համար պատասխանատվությունը տեղափոխելն էր (կատարվում են քարտերների մեղքով)՝ խանութներից դեպի սպառողներ: Մինչդեռ նախկինում (երբ վճարումները կատարվում էին մագնիսական քարտերով), ֆինանսական պատասխանատվությունը կրում էր խանութները դեբետային/վարկային անհամապատասխանությունների համար։ [3] Այսպիսով բանկերը, որոնք մշակում են վճարումները, պատասխանատվությունը կրում են կամ առևտրականների վրա (որոնք օգտագործում են իրենց հեռահար բանկային համակարգերը), կամ վճարային քարտեր թողարկող բանկերին. վերջին երկուսն իրենց հերթին պատասխանատվությունը տեղափոխում են քարտապանի վրա: [2]

Վաճառողները խոչընդոտում են կիբերանվտանգությանը

Քանի որ թվային հարձակման մակերեսը անխուսափելիորեն ընդլայնվում է, ինտերնետին միացված սարքերի պայթյունի շնորհիվ, կորպորատիվ ցանցին միացվածին հետևելը գնալով ավելի դժվար է դառնում: Միևնույն ժամանակ, վաճառողները ինտերնետին միացված բոլոր սարքավորումների անվտանգության վերաբերյալ մտահոգությունները տեղափոխում են վերջնական օգտագործողին [1]. «Խեղդվող մարդկանց փրկությունը հենց խեղդվողների գործն է»:

Վաճառողներին ոչ միայն չի հետաքրքրում իրենց ստեղծագործությունների կիբերանվտանգությունը, այլ որոշ դեպքերում նաև խանգարում են դրա տրամադրմանը: Օրինակ, երբ 2009-ին Conficker ցանցի որդը արտահոսեց Բեթ Իսրայելի բժշկական կենտրոն և վարակեց այնտեղ գտնվող բժշկական սարքավորումների մի մասը, այս բժշկական կենտրոնի տեխնիկական տնօրենը, ապագայում նմանատիպ միջադեպեր թույլ չտալու նպատակով, որոշեց անջատել շահագործման աջակցության գործառույթը ցանցի հետ ճիճու ազդեցության տակ գտնվող սարքավորումների վրա: Սակայն նա կանգնել է փաստի առաջ, որ «սարքավորումը չի կարող թարմացվել կանոնակարգային սահմանափակումների պատճառով»։ Նրան զգալի ջանքեր են պահանջվել վաճառողի հետ բանակցել ցանցի գործառույթներն անջատելու համար: [4]

Համացանցի հիմնարար կիբերանվտանգություն

Դեյվիդ Քլարկը՝ MIT-ի լեգենդար պրոֆեսոր, ում հանճարը նրան «Ալբուս Դամբլդոր» մականունն է տվել, հիշում է այն օրը, երբ աշխարհին բացահայտվեց համացանցի մութ կողմը: Քլարկը նախագահում էր հեռահաղորդակցության համաժողովը 1988 թվականի նոյեմբերին, երբ լուրեր տարածվեցին, որ պատմության մեջ առաջին համակարգչային որդը սահել է ցանցային լարերի միջով: Քլարկը հիշեց այս պահը, քանի որ իր համաժողովին ներկա բանախոսը (հեռահաղորդակցության առաջատար ընկերություններից մեկի աշխատակիցը) պատասխանատվության ենթարկվեց այս ճիճու տարածման համար։ Այս բանախոսը, հուզված, ակամայից ասաց. Կարծես փակել եմ այս խոցելիությունը»,- այս խոսքերի համար վճարեց նա։ [5]

Սակայն հետագայում պարզվեց, որ այն խոցելիությունը, որով տարածվել է նշված որդը, որևէ անհատի արժանիք չէ։ Եվ սա, խստորեն ասած, նույնիսկ խոցելիություն չէր, այլ ինտերնետի հիմնարար առանձնահատկություն. ինտերնետի հիմնադիրները իրենց մտահղացումը զարգացնելիս կենտրոնացել էին բացառապես տվյալների փոխանցման արագության և սխալների հանդուրժողականության վրա: Նրանք իրենց առջեւ խնդիր չեն դրել ապահովել կիբերանվտանգությունը։ [5]

Այսօր, ինտերնետի հիմնադրումից տասնամյակներ անց, քանի որ արդեն հարյուր միլիարդավոր դոլարներ են ծախսվել կիբերանվտանգության ապարդյուն փորձերի վրա, համացանցը պակաս խոցելի չէ: Նրա կիբերանվտանգության խնդիրները տարեցտարի միայն վատանում են: Այնուամենայնիվ, մենք իրավունք ունե՞նք սրա համար դատապարտելու համացանցի հիմնադիրներին։ Ի վերջո, օրինակ, ոչ ոք չի դատապարտի արագընթաց մայրուղիներ կառուցողներին այն բանի համար, որ վթարներ են տեղի ունենում «իրենց ճանապարհներին». և ոչ ոք չի դատապարտի քաղաքաշինարարներին այն բանի համար, որ կողոպուտները տեղի են ունենում «իրենց քաղաքներում»: [5]

Ինչպես ծնվեց հաքերային ենթամշակույթը

Հաքերային ենթամշակույթն առաջացել է 1960-ականների սկզբին՝ «Երկաթուղային տեխնիկական մոդելավորման ակումբում» (գործում է Մասաչուսեթսի տեխնոլոգիական ինստիտուտի պատերի ներսում): Ակումբի էնտուզիաստները նախագծեցին և հավաքեցին երկաթուղու մոդել, այնքան հսկայական, որ այն լցրեց ամբողջ սենյակը: Ակումբի անդամները ինքնաբուխ բաժանվեցին երկու խմբի՝ խաղաղարարների և համակարգի մասնագետների։ [6]

Առաջինն աշխատել է մոդելի վերգետնյա մասի հետ, երկրորդը՝ ստորգետնյա։ Առաջինները հավաքեցին և զարդարեցին գնացքների և քաղաքների մոդելներ. նրանք մանրանկարչությամբ մոդելավորեցին ամբողջ աշխարհը։ Վերջինս աշխատել է այս ամբողջ խաղաղարարության տեխնիկական աջակցության վրա՝ մոդելի ստորգետնյա մասում տեղակայված լարերի, ռելեների և կոորդինատային անջատիչների խճճվածություն՝ այն ամենը, ինչ կառավարում էր «վերգետնյա» մասը և սնուցում այն ​​էներգիայով: [6]

Երբ կար երթևեկության խնդիր, և ինչ-որ մեկը նոր և հնարամիտ լուծում էր գտնում այն ​​շտկելու համար, լուծումը կոչվում էր «հաք»: Ակումբի անդամների համար նոր հաքերների որոնումը դարձել է կյանքի ներքին իմաստ: Այդ պատճառով նրանք սկսեցին իրենց անվանել «հաքերներ»։ [6]

Հաքերների առաջին սերունդն իրականացրել է Simulation Railway Club-ում ձեռք բերված հմտությունները՝ դակված քարտերի վրա համակարգչային ծրագրեր գրելով։ Այնուհետև, երբ ARPANET-ը (Ինտերնետի նախորդը) հասավ համալսարան 1969 թվականին, հաքերները դարձան դրա ամենաակտիվ և հմուտ օգտվողները: [6]

Այժմ, տասնամյակներ անց, ժամանակակից ինտերնետը նման է մոդելային երկաթուղու հենց «ստորգետնյա» հատվածին։ Որովհետև դրա հիմնադիրները նույն հաքերներն էին` «Երկաթուղու սիմուլյացիոն ակումբի» ուսանողները: Միայն հաքերներն են այժմ շահագործում իրական քաղաքներ՝ նմանակված մանրանկարների փոխարեն: [6]

Ինչպես ստեղծվեց BGP երթուղին

80-ականների վերջին, ինտերնետին միացված սարքերի թվի ավալանշ աճի արդյունքում, ինտերնետը մոտեցավ հիմնական ինտերնետային արձանագրություններից մեկի մեջ ներկառուցված կոշտ մաթեմատիկական սահմանին: Հետևաբար, այն ժամանակվա ինժեներների միջև ցանկացած խոսակցություն ի վերջո վերածվեց այս խնդրի քննարկման։ Բացառություն չէին նաև երկու ընկերները՝ Ջեյքոբ Ռեխտերը (IBM-ի ինժեներ) և Քըրք Լոքհիդը (Cisco-ի հիմնադիր): Պատահական հանդիպելով ճաշի սեղանի շուրջ՝ նրանք սկսեցին քննարկել ինտերնետի ֆունկցիոնալությունը պահպանելու միջոցները։ Ընկերները գրի են առել այն մտքերը, որոնք առաջացել են ձեռքի տակ եղածի վրա՝ կետչուպով ներկված անձեռոցիկի վրա: Հետո երկրորդը։ Հետո երրորդը. «Երեք անձեռոցիկների արձանագրությունը», ինչպես կատակով անվանեցին այն դրա գյուտարարները, որը պաշտոնական շրջանակներում հայտնի է որպես BGP (Border Gateway Protocol), շուտով հեղափոխություն արեց համացանցում: [8]

Rechter-ի և Lockheed-ի համար BGP-ն պարզապես պատահական հաքեր էր՝ մշակված վերոհիշյալ Model Railroad Club-ի ոգով, ժամանակավոր լուծում, որը շուտով կփոխարինվի: Ընկերները մշակել են BGP 1989 թվականին: Այսօր, սակայն, 30 տարի անց, ինտերնետ տրաֆիկի մեծ մասը դեռ ուղղորդվում է «երեք անձեռոցիկի արձանագրության» միջոցով՝ չնայած կիբերանվտանգության կարևոր խնդիրների մասին ավելի ու ավելի տագնապալի կոչերին: Ժամանակավոր կոտրումը դարձավ հիմնական ինտերնետային արձանագրություններից մեկը, և դրա մշակողները սեփական փորձից սովորեցին, որ «չկա ավելի մշտական ​​բան, քան ժամանակավոր լուծումները»: [8]

Ամբողջ աշխարհում ցանցերն անցել են BGP-ի: Ազդեցիկ վաճառողները, հարուստ հաճախորդները և հեռահաղորդակցության ընկերությունները արագ սիրահարվեցին BGP-ին և ընտելացան դրան: Հետևաբար, չնայած այս արձանագրության անապահովության մասին ավելի ու ավելի շատ ահազանգերի, ՏՏ հանրությունը դեռևս ոգևորություն չի ցուցաբերում նոր, ավելի անվտանգ սարքավորումների անցնելու համար: [8]

Կիբերանապահով BGP երթուղի

Ինչու՞ է BGP երթուղին այդքան լավ, և ինչու ՏՏ համայնքը չի շտապում հրաժարվել դրանից: BGP-ն օգնում է երթուղիչներին որոշումներ կայացնել այն մասին, թե որտեղ պետք է երթուղավորեն տվյալների հսկայական հոսքերը, որոնք ուղարկվում են միմյանց հատվող կապի գծերի հսկայական ցանցով: BGP-ն օգնում է երթուղիչներին ընտրել համապատասխան ուղիներ, չնայած ցանցը անընդհատ փոխվում է, և հանրաճանաչ երթուղիները հաճախ խցանումներ են ունենում: Խնդիրն այն է, որ ինտերնետը չունի գլոբալ երթուղային քարտեզ։ BGP օգտագործող երթուղիչները որոշումներ են կայացնում այս կամ այն ​​ուղու ընտրության վերաբերյալ՝ հիմնվելով կիբերտարածության հարևաններից ստացված տեղեկատվության վրա, որոնք իրենց հերթին տեղեկություններ են հավաքում իրենց հարևաններից և այլն: Այնուամենայնիվ, այս տեղեկատվությունը հեշտությամբ կարող է կեղծվել, ինչը նշանակում է, որ BGP երթուղիչը խիստ խոցելի է MiTM հարձակումների նկատմամբ: [8]

Հետևաբար, պարբերաբար ծագում են հետևյալ հարցերը. «Ինչու՞ Դենվերում երկու համակարգիչների միջև երթևեկությունը հսկա շրջանցվեց Իսլանդիայի միջով», «Ինչու՞ Պենտագոնի գաղտնի տվյալները մի անգամ փոխանցվեցին Պեկինով տարանցիկ ճանապարհով»: Նման հարցերի տեխնիկական պատասխանները կան, բայց դրանք բոլորը հանգում են նրան, որ BGP-ն աշխատում է վստահության վրա՝ վստահություն հարևան երթուղիչներից ստացված առաջարկություններին: BGP արձանագրության վստահելի բնույթի շնորհիվ առեղծվածային երթևեկության տիրակալները կարող են այլ մարդկանց տվյալների հոսքերը իրենց տիրույթ գրավել, եթե ցանկանան: [8]

Կենդանի օրինակ է Չինաստանի BGP հարձակումը ամերիկյան Պենտագոնի վրա: 2010 թվականի ապրիլին հեռահաղորդակցության պետական ​​հսկան China Telecom-ը տասնյակ հազարավոր երթուղիչներ ուղարկեց աշխարհով մեկ, այդ թվում՝ 16-ը Միացյալ Նահանգներում, BGP հաղորդագրություն՝ ասելով, որ նրանք ավելի լավ երթուղիներ ունեն: Առանց համակարգի, որը կարող էր ստուգել China Telecom-ի BGP հաղորդագրության վավերականությունը, ամբողջ աշխարհում երթուղիչները սկսեցին տվյալներ ուղարկել Պեկինով տարանցիկ ճանապարհով: Ներառյալ երթևեկությունը Պենտագոնից և ԱՄՆ պաշտպանության նախարարության այլ վայրերից: Երթևեկության վերափոխման հեշտությունը և այս տեսակի հարձակումներից արդյունավետ պաշտպանության բացակայությունը BGP երթուղիների անապահովության ևս մեկ նշան է: [8]

BGP արձանագրությունը տեսականորեն խոցելի է նույնիսկ ավելի վտանգավոր կիբերհարձակման համար: Այն դեպքում, երբ կիբերտարածությունում միջազգային հակամարտությունները սրվում են ամբողջ ուժով, China Telecom-ը կամ հեռահաղորդակցության որևէ այլ հսկա կարող է փորձել սեփականության իրավունք ունենալ ինտերնետի այն մասերի վրա, որոնք իրականում իրեն չեն պատկանում: Նման քայլը կշփոթեցնի երթուղիչները, որոնք պետք է ցատկեն մրցակցային հայտերի միջև ինտերնետ հասցեների նույն բլոկների համար: Առանց օրինական հավելվածը կեղծից տարբերելու հնարավորության, երթուղիչները կսկսեն գործել անկանոն: Արդյունքում, մենք կբախվեինք միջուկային պատերազմին համարժեք ինտերնետի՝ թշնամանքի բացահայտ, լայնածավալ դրսևորման: Հարաբերական խաղաղության ժամանակ նման զարգացումը անիրատեսական է թվում, բայց տեխնիկապես միանգամայն իրագործելի է։ [8]

BGP-ից BGPSEC տեղափոխվելու ապարդյուն փորձ

BGP-ի մշակման ժամանակ կիբերանվտանգությունը հաշվի չի առնվել, քանի որ այն ժամանակ հաքերները հազվադեպ են եղել, և դրանցից վնասը չնչին է։ BGP-ի մշակողները, քանի որ աշխատում էին հեռահաղորդակցության ընկերություններում և շահագրգռված էին վաճառել իրենց ցանցային սարքավորումները, ավելի հրատապ խնդիր ունեին՝ խուսափել ինտերնետի ինքնաբուխ խափանումներից: Քանի որ ինտերնետում ընդհատումները կարող են օտարել օգտվողներին և դրանով իսկ նվազեցնել ցանցային սարքավորումների վաճառքը: [8]

2010 թվականի ապրիլին Պեկինով ամերիկյան ռազմական տրաֆիկի փոխանցման հետ կապված միջադեպից հետո BGP-ի երթուղիների կիբերանվտանգությունն ապահովելու աշխատանքի տեմպերը, անշուշտ, արագացան: Այնուամենայնիվ, հեռահաղորդակցության վաճառողները քիչ խանդավառություն են ցուցաբերել կրելու ծախսերը, որոնք կապված են նոր անվտանգ երթուղային արձանագրության BGPSEC տեղափոխման հետ, որն առաջարկվել է որպես անապահով BGP-ի փոխարինում: Վաճառողները դեռևս միանգամայն ընդունելի են համարում BGP-ն՝ չնայած երթևեկության գաղտնալսման անթիվ միջադեպերին: [8]

Ռադիա Պերլմանը, որը կոչվում է «Ինտերնետի մայր»՝ 1988 թվականին մեկ այլ խոշոր ցանցային արձանագրություն հորինելու համար (BGP-ից մեկ տարի առաջ), ստացել է մարգարեական դոկտորական ատենախոսություն MIT-ում: Պերլմանը կանխատեսեց, որ երթուղային արձանագրությունը, որը կախված է կիբերտարածությունում հարևանների ազնվությունից, սկզբունքորեն անապահով է: Պերլմանը պաշտպանում էր գաղտնագրության կիրառումը, որը կօգնի սահմանափակել կեղծման հնարավորությունը: Սակայն BGP-ի իրականացումն արդեն բուռն ընթացքի մեջ էր, ազդեցիկ ՏՏ համայնքը սովոր էր դրան և ոչինչ փոխել չէր ուզում։ Հետևաբար, Պերլմանի, Քլարկի և աշխարհի մի շարք այլ ականավոր փորձագետների հիմնավորված նախազգուշացումներից հետո, գաղտնագրորեն ապահով BGP երթուղիների հարաբերական մասնաբաժինը ընդհանրապես չի աճել և դեռևս 0% է: [8]

BGP երթուղավորումը միակ թալանելը չէ

Եվ BGP երթուղին միակ հաքը չէ, որը հաստատում է այն միտքը, որ «ոչինչ ավելի մշտական ​​չէ, քան ժամանակավոր լուծումները»: Երբեմն համացանցը, որը մեզ ընկղմում է ֆանտաստիկ աշխարհների մեջ, թվում է, թե ինչպես մրցարշավային մեքենան էլեգանտ է: Այնուամենայնիվ, իրականում միմյանց վրա կուտակված հաքերների պատճառով ինտերնետն ավելի շատ նման է Ֆրանկենշտեյնին, քան Ferrari-ին: Քանի որ այս հաքերները (ավելի պաշտոնապես կոչվում են patches) երբեք չեն փոխարինվում հուսալի տեխնոլոգիայով: Այս մոտեցման հետևանքները սարսափելի են. կիբերհանցագործները ամեն օր և ամենժամյա ներխուժում են խոցելի համակարգեր՝ ընդլայնելով կիբերհանցագործությունների շրջանակը մինչև նախկինում աներևակայելի չափերի: [8]

Կիբերհանցագործների կողմից շահագործվող բազմաթիվ թերություններ հայտնի են վաղուց և պահպանվել են բացառապես առաջացող խնդիրները լուծելու ՏՏ համայնքի հակվածության շնորհիվ՝ ժամանակավոր հաքերներով/կարկատաններով: Երբեմն դրա պատճառով հնացած տեխնոլոգիաները երկար ժամանակ կուտակվում են միմյանց վրա՝ դժվարացնելով մարդկանց կյանքը և վտանգի տակ դնելով նրանց։ Ի՞նչ կմտածեիք, եթե իմանայիք, որ ձեր բանկը կառուցում է իր պահոցը ծղոտի և ցեխի հիմքի վրա: Կվստահե՞ք նրան պահել ձեր խնայողությունները: [8]

Լինուս Տորվալդսի անհոգ վերաբերմունքը

Տարիներ պահանջվեցին, մինչև ինտերնետը հասավ իր առաջին հարյուր համակարգիչներին: Այսօր դրան ամեն վայրկյան միանում են 100 նոր համակարգիչներ և այլ սարքեր։ Քանի որ ինտերնետին միացած սարքերը պայթում են, նույնքան էլ մեծանում է կիբերանվտանգության խնդիրների հրատապությունը: Այնուամենայնիվ, այն մարդը, ով կարող է ամենամեծ ազդեցությունն ունենալ այս խնդիրների լուծման վրա, նա է, ով արհամարհանքով է դիտարկում կիբերանվտանգությունը: Այս մարդուն անվանել են հանճար, կռվարար, հոգևոր առաջնորդ և բարերար բռնապետ։ Լինուս Տորվալդս. Ինտերնետին միացված սարքերի ճնշող մեծամասնությունն աշխատում է իր օպերացիոն համակարգով՝ Linux-ով: Արագ, ճկուն, անվճար – Linux-ը ժամանակի ընթացքում ավելի ու ավելի տարածված է դառնում: Միաժամանակ այն իրեն շատ կայուն է պահում։ Եվ այն կարող է երկար տարիներ աշխատել առանց վերագործարկման: Ահա թե ինչու Linux-ն ունի գերիշխող օպերացիոն համակարգը լինելու պատիվը: Այսօր մեզ հասանելի գրեթե բոլոր համակարգչային սարքավորումներն աշխատում են Linux-ում՝ սերվերներ, բժշկական սարքավորումներ, թռիչքային համակարգիչներ, փոքրիկ դրոններ, ռազմական ինքնաթիռներ և շատ ավելին: [9]

Linux-ը հաջողության է հասնում հիմնականում այն ​​պատճառով, որ Torvalds-ը շեշտում է կատարումը և սխալների հանդուրժողականությունը: Այնուամենայնիվ, նա այս շեշտադրումը դնում է կիբերանվտանգության հաշվին։ Նույնիսկ երբ կիբերտարածությունը և իրական ֆիզիկական աշխարհը միահյուսվում են, և կիբերանվտանգությունը դառնում է գլոբալ խնդիր, Թորվալդսը շարունակում է դիմակայել իր օպերացիոն համակարգում անվտանգ նորարարությունների ներդրմանը: [9]

Հետևաբար, նույնիսկ Linux-ի շատ երկրպագուների շրջանում աճում է անհանգստությունը այս օպերացիոն համակարգի խոցելիության վերաբերյալ: Մասնավորապես, Linux-ի ամենաինտիմ մասը, նրա միջուկը, որի վրա Թորվալդսն աշխատում է անձամբ։ Linux-ի երկրպագուները տեսնում են, որ Torvalds-ը լուրջ չի վերաբերվում կիբերանվտանգության հարցերին: Ավելին, Թորվալդսն իրեն շրջապատել է ծրագրավորողներով, ովքեր կիսում են այս անհոգ վերաբերմունքը: Եթե ​​Տորվալդսի մերձավոր շրջապատից ինչ-որ մեկը սկսում է խոսել անվտանգ նորամուծություններ ներմուծելու մասին, նա անմիջապես անաթեմատացվում է: Տորվալդսը հեռացրել է նման նորարարների մի խմբին՝ նրանց անվանելով «ձեռնաշարժական կապիկներ»։ Երբ Թորվալդսը հրաժեշտ էր տալիս անվտանգությանը գիտակցող ծրագրավորողների մեկ այլ խմբի, նա ասաց նրանց. Աշխարհը դրա շնորհիվ ավելի լավ տեղ կլիներ»։ Ամեն անգամ, երբ խոսքը գնում էր անվտանգության առանձնահատկություններ ավելացնելու մասին, Թորվալդսը միշտ դեմ էր դրան: [9] Տորվալդսն այս առումով նույնիսկ մի ամբողջ փիլիսոփայություն ունի, որը զուրկ չէ ողջախոհության հատիկից.

«Բացարձակ անվտանգությունն անհասանելի է։ Ուստի այն միշտ պետք է դիտարկել միայն այլ առաջնահերթությունների՝ արագության, ճկունության և օգտագործման հեշտության հետ կապված: Մարդիկ, ովքեր իրենց ամբողջությամբ նվիրում են պաշտպանությանը, խենթ են։ Նրանց մտածողությունը սահմանափակ է՝ սև ու սպիտակ։ Անվտանգությունն ինքնին անօգուտ է։ Էությունը միշտ այլ տեղ է։ Հետեւաբար, դուք չեք կարող ապահովել բացարձակ անվտանգություն, նույնիսկ եթե դա իսկապես ցանկանում եք: Իհարկե, կան մարդիկ, ովքեր ավելի շատ ուշադրություն են դարձնում անվտանգությանը, քան Տորվալդները: Այնուամենայնիվ, այս տղաները պարզապես աշխատում են իրենց հետաքրքրող բաների վրա և ապահովում են անվտանգություն այն նեղ հարաբերական շրջանակում, որը սահմանազատում է այդ շահերը: Ոչ ավելին: Այնպես որ դրանք ոչ մի կերպ չեն նպաստում բացարձակ անվտանգության բարձրացմանը»։ [9]

Կողային գոտի. OpenSource-ը նման է փոշի տակառի [10]

OpenSource կոդը խնայել է միլիարդավոր ծրագրային ապահովման մշակման ծախսեր՝ վերացնելով կրկնակի ջանքերի անհրաժեշտությունը. OpenSource-ի միջոցով ծրագրավորողները հնարավորություն ունեն օգտագործել ընթացիկ նորարարությունները՝ առանց սահմանափակումների կամ վճարումների: OpenSource-ն օգտագործվում է ամենուր: Նույնիսկ եթե դուք ծրագրավորող եք վարձել՝ ձեր մասնագիտացված խնդիրը զրոյից լուծելու համար, այս մշակողը, ամենայն հավանականությամբ, կօգտագործի ինչ-որ OpenSource գրադարան: Եվ հավանաբար մեկից ավելի: Այսպիսով, OpenSource-ի տարրերն առկա են գրեթե ամենուր։ Միևնույն ժամանակ, պետք է հասկանալ, որ ոչ մի ծրագրակազմ ստատիկ չէ, դրա կոդը անընդհատ փոխվում է։ Հետևաբար, «սահմանեք և մոռացեք այն» սկզբունքը երբեք չի գործում կոդի համար: Ներառյալ OpenSource կոդը. վաղ թե ուշ կպահանջվի թարմացված տարբերակ:

2016-ին մենք տեսանք գործերի այս վիճակի հետևանքները. 28-ամյա ծրագրավորողը կարճ ժամանակով «կոտրեց» համացանցը՝ ջնջելով իր OpenSource կոդը, որը նա նախկինում հանրությանը հասանելի էր դարձրել: Այս պատմությունը ցույց է տալիս, որ մեր կիբերենթակառուցվածքը շատ փխրուն է: Որոշ մարդիկ, ովքեր աջակցում են OpenSource նախագծերին, այնքան կարևոր են դրա պահպանման համար, որ եթե, Աստված մի արասցե, ավտոբուսով հարվածեն, ինտերնետը կփչանա:

Դժվար պահպանվող կոդը հենց այն վայրն է, որտեղ թաքնված են կիբերանվտանգության ամենալուրջ խոցելիությունները: Որոշ ընկերություններ նույնիսկ չեն գիտակցում, թե որքան խոցելի են դժվար պահպանվող կոդի պատճառով: Նման կոդի հետ կապված խոցելիությունները կարող են շատ դանդաղ վերածվել իրական խնդրի. համակարգերը դանդաղորեն փտում են՝ չցուցադրելով տեսանելի ձախողումներ փտման գործընթացում: Իսկ երբ դրանք ձախողվում են, հետեւանքները ճակատագրական են լինում։

Վերջապես, քանի որ OpenSource նախագծերը սովորաբար մշակվում են էնտուզիաստների համայնքի կողմից, ինչպիսին է Լինուս Տորվալդսը կամ հոդվածի սկզբում նշված Model Railroad Club-ի հաքերները, դժվար պահպանվող կոդի հետ կապված խնդիրները չեն կարող լուծվել ավանդական եղանակներով (օգտագործելով. առևտրային և պետական ​​լծակներ): Որովհետև նման համայնքների անդամները կամային են և ամեն ինչից վեր են գնահատում իրենց անկախությունը:

Կողային գոտի. Միգուցե հետախուզական ծառայությունները և հակավիրուսային մշակողները պաշտպանե՞ն մեզ:

2013 թվականին հայտնի դարձավ, որ «Կասպերսկու լաբորատորիան» ուներ հատուկ ստորաբաժանում, որն իրականացնում էր տեղեկատվական անվտանգության միջադեպերի մաքսային հետաքննություն։ Մինչև վերջերս այս վարչությունը ղեկավարում էր ոստիկանության նախկին մայոր Ռուսլան Ստոյանովը, ով նախկինում աշխատել է մայրաքաղաքի «Կ» վարչությունում (Մոսկվայի ներքին գործերի գլխավոր վարչության USTM): Կասպերսկու լաբորատորիայի այս հատուկ ստորաբաժանման բոլոր աշխատակիցները գալիս են իրավապահ մարմիններից, այդ թվում՝ Քննչական կոմիտեից և «Կ» տնօրինությունից։ [տասնմեկ]

2016-ի վերջին ԱԴԾ-ն ձերբակալեց Ռուսլան Ստոյանովին և մեղադրեց պետական ​​դավաճանության մեջ։ Նույն գործով ձերբակալվել է FSB CIB-ի (տեղեկատվական անվտանգության կենտրոն) բարձրաստիճան ներկայացուցիչ Սերգեյ Միխայլովը, ում վրա մինչ ձերբակալությունը կապված էր երկրի ողջ կիբերանվտանգությունը։ [տասնմեկ]

Կողային գոտի. Կիբերանվտանգությունը ուժի մեջ է

Շուտով ռուս ձեռնարկատերերը ստիպված կլինեն լուրջ ուշադրություն դարձնել կիբերանվտանգությանը։ 2017 թվականի հունվարին Տեղեկատվության պաշտպանության և հատուկ հաղորդակցության կենտրոնի ներկայացուցիչ Նիկոլայ Մուրաշովը հայտարարեց, որ Ռուսաստանում միայն CII օբյեկտները (կրիտիկական տեղեկատվական ենթակառուցվածքը) 2016 թվականին ենթարկվել են ավելի քան 70 միլիոն հարձակման։ CII-ի օբյեկտները ներառում են պետական ​​գերատեսչությունների, պաշտպանական արդյունաբերության ձեռնարկությունների, տրանսպորտի, վարկային և ֆինանսական ոլորտների, էներգետիկայի, վառելիքի և միջուկային արդյունաբերության տեղեկատվական համակարգերը: Նրանց պաշտպանության համար հուլիսի 26-ին ՌԴ նախագահ Վլադիմիր Պուտինը ստորագրեց «CII-ի անվտանգության մասին» օրենքների փաթեթը։ Մինչև 1 թվականի հունվարի 2018-ը, երբ օրենքը ուժի մեջ կմտնի, CII օբյեկտների սեփականատերերը պետք է իրականացնեն մի շարք միջոցառումներ՝ պաշտպանելու իրենց ենթակառուցվածքը հաքերային հարձակումներից, մասնավորապես՝ միանալ GosSOPKA-ին: [12]

Մատենագիտություն

1. Ջոնաթան Միլեթ. IoT. Ձեր խելացի սարքերը պաշտպանելու կարևորությունը // 2017 թ.
2. Ռոս Անդերսոն. Ինչպես են խափանում խելացի քարտերով վճարային համակարգերը // Black Hat. 2014 թ.
3. SJ Մերդոկ. Չիպը և PIN-ը կոտրված են // IEEE սիմպոզիումի աշխատություններ անվտանգության և գաղտնիության վերաբերյալ: 2010. pp. 433-446 թթ.
4. Դեյվիդ Թալբոտ. Համակարգչային վիրուսները «տարածվում են» հիվանդանոցների բժշկական սարքերի վրա // MIT Technology Review (Թվային). 2012 թ.
5. Քրեյգ Թիմբերգ. Անապահովության ցանց. հոսք դիզայնում // The Washington Post. 2015թ.
6. Մայքլ Լիստա. Նա դեռահաս հաքեր էր, ով իր միլիոնները ծախսեց մեքենաների, հագուստի և ժամացույցների վրա, մինչև որ ՀԴԲ-ն բռնեց // Toronto Life. 2018 թ.
7. Քրեյգ Թիմբերգ. Անապահովության ցանց. կանխագուշակված և անտեսված աղետ // The Washington Post. 2015թ.
8. Քրեյգ Թիմբերգ. Արագ «ուղղման» երկար կյանք. 1989 թվականի ինտերնետ արձանագրությունը տվյալները խոցելի է թողնում առևանգողների համար // The Washington Post. 2015թ.
9. Քրեյգ Թիմբերգ. Անապահովության ցանց. փաստարկի միջուկը // The Washington Post. 2015թ.
10. Ջոշուա Գանս. Կարո՞ղ է բաց կոդով ծածկագիրը վերջապես իրականություն դարձնել մեր Y2K վախերը: // Harvard Business Review (Թվային). 2017թ.
11. FSB-ն ձերբակալել է Kaspersky-ի գլխավոր մենեջերին // CNews. 2017. URL.
12. Մարիա Կոլոմիչենկո. Կիբեր հետախուզության ծառայություն. Սբերբանկն առաջարկել է հաքերների դեմ պայքարի շտաբ ստեղծել // RBC. 2017թ.

Source: www.habr.com