Ketika "topi hitam" - sebagai petugas di hutan liar dunia maya - menjadi sangat sukses dalam pekerjaan kotor mereka, media kuning memekik kegirangan. Akibatnya, dunia mulai memandang keamanan siber dengan lebih serius. Namun sayangnya tidak segera. Oleh karena itu, meskipun terjadi peningkatan jumlah insiden siber yang membawa bencana, dunia belum siap untuk melakukan tindakan proaktif yang aktif. Namun, diperkirakan dalam waktu dekat, berkat “topi hitam”, dunia akan mulai menganggap serius keamanan siber. [7]

Sama seriusnya dengan kebakaran... Kota dulunya sangat rentan terhadap bencana kebakaran. Namun, meskipun ada potensi bahaya, tindakan perlindungan proaktif tidak diambil - bahkan setelah kebakaran besar di Chicago pada tahun 1871, yang merenggut ratusan nyawa dan membuat ratusan ribu orang mengungsi. Tindakan perlindungan proaktif diambil hanya setelah bencana serupa terjadi lagi, tiga tahun kemudian. Sama halnya dengan keamanan siber – dunia tidak akan menyelesaikan masalah ini kecuali jika terjadi insiden bencana. Tapi kalaupun kejadian seperti itu terjadi, dunia tidak akan bisa menyelesaikan masalah ini dengan segera. [7] Oleh karena itu, bahkan pepatah: “Sampai bug terjadi, seseorang tidak akan ditambal,” tidaklah tepat. Itu sebabnya pada tahun 2018 kita merayakan 30 tahun ketidakamanan yang merajalela.

Penyimpangan liris

Awal artikel ini, yang awalnya saya tulis untuk majalah Administrator Sistem, ternyata bersifat nubuatan. Edisi majalah dengan artikel ini keluar secara harfiah hari demi hari dengan kebakaran tragis di pusat perbelanjaan Kemerovo “Winter Cherry” (2018, 20 Maret).

Instal Internet dalam 30 menit

Pada tahun 1988, galaksi peretas legendaris L0pht, berbicara dengan kekuatan penuh di hadapan pertemuan para pejabat paling berpengaruh di Barat, menyatakan: “Peralatan komputer Anda rentan terhadap serangan dunia maya dari Internet. Dan perangkat lunak, dan perangkat keras, dan telekomunikasi. Vendor mereka sama sekali tidak peduli dengan keadaan ini. Karena undang-undang modern tidak memberikan pertanggungjawaban apa pun atas pendekatan lalai dalam memastikan keamanan siber perangkat lunak dan perangkat keras yang diproduksi. Tanggung jawab atas potensi kegagalan (baik yang terjadi secara spontan atau disebabkan oleh intervensi penjahat dunia maya) sepenuhnya berada di tangan pengguna peralatan. Sedangkan bagi pemerintah federal, mereka tidak memiliki keterampilan maupun keinginan untuk memecahkan masalah ini. Oleh karena itu, jika Anda mencari keamanan siber, Internet bukanlah tempat untuk menemukannya. Masing-masing dari tujuh orang yang duduk di depan Anda dapat sepenuhnya merusak Internet dan, karenanya, mengambil kendali penuh atas peralatan yang terhubung dengannya. Sendirian. 30 menit penekanan tombol yang dikoreografikan dan selesai.” [7]

Para pejabat itu mengangguk penuh arti, memperjelas bahwa mereka memahami keseriusan situasi, namun tidak melakukan apa pun. Saat ini, tepat 30 tahun setelah penampilan legendaris L0pht, dunia masih dilanda “ketidakamanan yang merajalela”. Meretas peralatan yang terkomputerisasi dan tersambung ke Internet sangatlah mudah sehingga Internet, yang awalnya merupakan kerajaan ilmuwan dan penggemar idealis, secara bertahap telah ditempati oleh para profesional yang paling pragmatis: penipu, penipu, mata-mata, teroris. Semuanya mengeksploitasi kerentanan peralatan komputerisasi untuk keuntungan finansial atau lainnya. [7]

Vendor mengabaikan keamanan siber

Vendor terkadang, tentu saja, mencoba memperbaiki beberapa kerentanan yang teridentifikasi, namun mereka melakukannya dengan enggan. Karena keuntungan mereka bukan berasal dari perlindungan dari peretas, melainkan dari fungsionalitas baru yang mereka berikan kepada konsumen. Karena hanya berfokus pada keuntungan jangka pendek, vendor menginvestasikan uangnya hanya untuk memecahkan masalah nyata, bukan masalah hipotetis. Keamanan siber, di mata banyak dari mereka, hanyalah sebuah hipotesis. [7]

Keamanan siber adalah hal yang tidak terlihat dan tidak berwujud. Itu menjadi nyata hanya jika timbul masalah dengannya. Jika mereka merawatnya dengan baik (mereka menghabiskan banyak uang untuk penyediaannya), dan tidak ada masalah, konsumen akhir tidak akan mau membayar lebih untuk itu. Selain itu, selain meningkatkan biaya finansial, penerapan tindakan perlindungan memerlukan tambahan waktu pengembangan, memerlukan pembatasan kemampuan peralatan, dan menyebabkan penurunan produktivitas. [8]

Sulit untuk meyakinkan pemasar kita sendiri mengenai kelayakan biaya yang tercantum, apalagi konsumen akhir. Dan karena vendor modern hanya tertarik pada keuntungan penjualan jangka pendek, mereka sama sekali tidak mau mengambil tanggung jawab untuk memastikan keamanan siber produk mereka. [1] Di sisi lain, vendor yang lebih berhati-hati dan telah menjaga keamanan siber peralatan mereka dihadapkan pada kenyataan bahwa konsumen korporat lebih memilih alternatif yang lebih murah dan mudah digunakan. Itu. Jelas sekali bahwa konsumen korporat juga tidak terlalu peduli dengan keamanan siber. [8]

Mengingat hal di atas, tidak mengherankan jika vendor cenderung mengabaikan keamanan siber, dan menganut filosofi berikut: “Teruslah membangun, terus menjual, dan melakukan patch bila diperlukan. Apakah sistemnya crash? Informasi yang hilang? Database dengan nomor kartu kredit dicuri? Apakah ada kerentanan fatal yang teridentifikasi pada peralatan Anda? Tidak masalah!" Konsumen, pada gilirannya, harus mengikuti prinsip: “Tambalan dan berdoa.” [7]

Bagaimana hal ini terjadi: contoh dari alam liar

Contoh mencolok dari pengabaian keamanan siber selama pengembangan adalah program insentif perusahaan Microsoft: “Jika Anda melewatkan tenggat waktu, Anda akan didenda. Jika Anda tidak punya waktu untuk menyerahkan peluncuran inovasi Anda tepat waktu, maka inovasi tersebut tidak akan diimplementasikan. Jika tidak diterapkan, Anda tidak akan menerima saham perusahaan (sebagian keuntungan Microsoft).” Sejak tahun 1993, Microsoft mulai aktif menghubungkan produknya ke Internet. Karena inisiatif ini dijalankan sejalan dengan program motivasi yang sama, fungsinya berkembang lebih cepat daripada kemampuan pertahanan untuk mengimbanginya. Untuk menyenangkan para pemburu kerentanan pragmatis... [7]

Contoh lainnya adalah situasi pada komputer dan laptop: mereka tidak dilengkapi dengan antivirus yang sudah diinstal sebelumnya; dan mereka juga tidak menyediakan kata sandi yang kuat. Diasumsikan bahwa pengguna akhir akan menginstal antivirus dan mengatur parameter konfigurasi keamanan. [1]

Contoh lain yang lebih ekstrem: situasi keamanan siber pada peralatan ritel (mesin kasir, terminal PoS untuk pusat perbelanjaan, dll.). Kebetulan penjual peralatan komersial hanya menjual apa yang dijual, bukan apa yang aman. [2] Salah satu hal yang menjadi perhatian vendor peralatan komersial dalam hal keamanan siber adalah memastikan bahwa jika terjadi insiden kontroversial, tanggung jawab ada pada pihak lain. [3]

Contoh indikatif dari perkembangan peristiwa ini: mempopulerkan standar EMV untuk kartu bank, yang berkat kerja kompeten para pemasar bank, muncul di mata masyarakat yang tidak canggih secara teknis sebagai alternatif yang lebih aman daripada yang “ketinggalan zaman” kartu magnetik. Pada saat yang sama, motivasi utama industri perbankan, yang bertanggung jawab untuk mengembangkan standar EMV, adalah mengalihkan tanggung jawab atas insiden penipuan (yang terjadi karena kesalahan carder) - dari toko ke konsumen. Padahal sebelumnya (ketika pembayaran dilakukan dengan kartu magnetik), tanggung jawab keuangan ada pada toko atas perbedaan debit/kredit. [3] Jadi bank yang memproses pembayaran mengalihkan tanggung jawab kepada pedagang (yang menggunakan sistem perbankan jarak jauh) atau ke bank yang menerbitkan kartu pembayaran; dua yang terakhir, pada gilirannya, mengalihkan tanggung jawab kepada pemegang kartu. [2]

Vendor menghambat keamanan siber

Ketika permukaan serangan digital semakin meluas—berkat ledakan perangkat yang terhubung ke Internet—menelusuri apa yang terhubung ke jaringan perusahaan menjadi semakin sulit. Pada saat yang sama, vendor mengalihkan kekhawatiran tentang keamanan semua peralatan yang terhubung ke Internet kepada pengguna akhir [1]: “Penyelamatan orang yang tenggelam adalah pekerjaan orang yang tenggelam itu sendiri.”

Vendor tidak hanya tidak peduli dengan keamanan siber ciptaan mereka, namun dalam beberapa kasus mereka juga mengganggu penyediaannya. Misalnya, ketika pada tahun 2009 worm jaringan Conficker bocor ke Beth Israel Medical Center dan menginfeksi sebagian peralatan medis di sana, direktur teknis pusat medis tersebut, untuk mencegah kejadian serupa terjadi di masa mendatang, memutuskan untuk menonaktifkannya. fungsi pendukung operasi pada peralatan yang terkena worm dengan jaringan. Namun, ia dihadapkan pada kenyataan bahwa "peralatan tersebut tidak dapat diperbarui karena batasan peraturan." Dia membutuhkan banyak upaya untuk bernegosiasi dengan vendor untuk menonaktifkan fungsi jaringan. [4]

Ketidakamanan Siber yang Mendasar di Internet

David Clarke, profesor legendaris MIT yang kejeniusannya membuatnya mendapat julukan "Albus Dumbledore", mengenang hari ketika sisi gelap Internet terungkap ke dunia. Clark memimpin konferensi telekomunikasi pada bulan November 1988 ketika tersiar kabar bahwa worm komputer pertama dalam sejarah telah merayap melalui kabel jaringan. Clark mengingat momen ini karena pembicara yang hadir di konferensinya (seorang karyawan salah satu perusahaan telekomunikasi terkemuka) bertanggung jawab atas penyebaran worm ini. Pembicara ini, dalam keadaan emosi yang panas, secara tidak sengaja berkata: “Ini dia!” Sepertinya saya telah menutup kerentanan ini,” dia membayar untuk kata-kata ini. [5]

Namun, belakangan diketahui bahwa kerentanan penyebaran cacing tersebut bukan disebabkan oleh individu mana pun. Dan ini, sebenarnya, bukanlah kerentanan, tetapi fitur mendasar dari Internet: para pendiri Internet, ketika mengembangkan gagasan mereka, hanya berfokus pada kecepatan transfer data dan toleransi kesalahan. Mereka tidak menetapkan tugas untuk memastikan keamanan siber. [5]

Saat ini, beberapa dekade setelah Internet didirikan—dengan ratusan miliar dolar yang telah dihabiskan untuk upaya sia-sia dalam keamanan siber—Internet juga tidak kalah rentannya. Masalah keamanan sibernya semakin buruk setiap tahunnya. Namun, apakah kita berhak mengutuk para pendiri Internet karena hal ini? Lagi pula, misalnya, tidak ada seorang pun yang akan mengutuk para pembangun jalan tol karena fakta bahwa kecelakaan terjadi di “jalan mereka”; dan tidak seorang pun akan mengutuk para perencana kota atas fakta bahwa perampokan terjadi di “kota mereka”. [5]

Bagaimana subkultur hacker lahir

Subkultur peretas berasal dari awal 1960-an, di “Railway Technical Modeling Club” (beroperasi di dalam tembok Massachusetts Institute of Technology). Penggemar klub merancang dan merakit model kereta api, begitu besar hingga memenuhi seluruh ruangan. Anggota klub secara spontan terbagi menjadi dua kelompok: pembuat perdamaian dan spesialis sistem. [6]

Yang pertama bekerja dengan bagian model di atas tanah, yang kedua - dengan bagian bawah tanah. Yang pertama mengumpulkan dan mendekorasi model kereta api dan kota: mereka membuat model seluruh dunia dalam bentuk mini. Yang terakhir bekerja pada dukungan teknis untuk semua pemeliharaan perdamaian ini: kerumitan kabel, relay dan saklar koordinat yang terletak di bagian bawah tanah model - segala sesuatu yang mengendalikan bagian "di atas tanah" dan memberinya energi. [6]

Ketika ada masalah lalu lintas dan seseorang menemukan solusi baru dan cerdik untuk memperbaikinya, solusi tersebut disebut “peretasan”. Bagi anggota klub, pencarian peretasan baru telah menjadi makna hidup yang hakiki. Itu sebabnya mereka mulai menyebut diri mereka “peretas”. [6]

Peretas generasi pertama menerapkan keterampilan yang diperoleh di Klub Kereta Simulasi dengan menulis program komputer pada kartu berlubang. Kemudian, ketika ARPANET (pendahulu Internet) hadir di kampus pada tahun 1969, peretas menjadi penggunanya yang paling aktif dan terampil. [6]

Kini, beberapa dekade kemudian, Internet modern menyerupai bagian “bawah tanah” dari model kereta api. Karena pendirinya adalah para peretas yang sama, mahasiswa “Klub Simulasi Kereta Api”. Hanya peretas yang sekarang mengoperasikan kota nyata, bukan miniatur simulasi. [6]

Bagaimana perutean BGP terbentuk

Pada akhir tahun 80-an, sebagai akibat dari peningkatan jumlah perangkat yang terhubung ke Internet seperti longsoran salju, Internet mendekati batas matematis yang tertanam dalam salah satu protokol Internet dasar. Oleh karena itu, setiap perbincangan antar insinyur pada masa itu akhirnya berubah menjadi pembahasan masalah ini. Tidak terkecuali dua orang sahabat: Jacob Rechter (seorang insinyur dari IBM) dan Kirk Lockheed (pendiri Cisco). Bertemu secara kebetulan di meja makan, mereka mulai mendiskusikan langkah-langkah untuk menjaga fungsi Internet. Teman-teman menuliskan ide-ide yang muncul pada apa pun yang ada - serbet yang diberi saus tomat. Lalu yang kedua. Lalu yang ketiga. “Protokol tiga serbet”, sebagaimana para penemunya dengan bercanda menyebutnya—dikenal di kalangan resmi sebagai BGP (Border Gateway Protocol)—segera merevolusi Internet. [8]

Bagi Rechter dan Lockheed, BGP hanyalah peretasan biasa, yang dikembangkan dengan semangat Model Railroad Club yang disebutkan di atas, sebuah solusi sementara yang akan segera digantikan. Teman-teman mengembangkan BGP pada tahun 1989. Namun saat ini, 30 tahun kemudian, sebagian besar lalu lintas Internet masih disalurkan menggunakan “protokol tiga serbet” – meskipun ada seruan yang semakin mengkhawatirkan mengenai masalah kritis pada keamanan siber. Peretasan sementara menjadi salah satu protokol Internet dasar, dan pengembangnya belajar dari pengalaman mereka sendiri bahwa “tidak ada yang lebih permanen daripada solusi sementara.” [8]

Jaringan di seluruh dunia telah beralih ke BGP. Vendor berpengaruh, klien kaya, dan perusahaan telekomunikasi dengan cepat jatuh cinta pada BGP dan menjadi terbiasa dengannya. Oleh karena itu, meskipun semakin banyak peringatan mengenai ketidakamanan protokol ini, masyarakat TI masih belum menunjukkan antusiasme untuk beralih ke peralatan baru yang lebih aman. [8]

Perutean BGP yang tidak aman secara cyber

Mengapa perutean BGP begitu bagus dan mengapa komunitas TI tidak terburu-buru untuk meninggalkannya? BGP membantu router membuat keputusan tentang ke mana harus merutekan aliran data besar yang dikirim melalui jaringan besar jalur komunikasi yang berpotongan. BGP membantu router memilih jalur yang sesuai meskipun jaringan terus berubah dan rute populer sering kali mengalami kemacetan lalu lintas. Masalahnya adalah Internet tidak memiliki peta routing global. Router yang menggunakan BGP membuat keputusan dalam memilih jalur tertentu berdasarkan informasi yang diterima dari tetangganya di dunia maya, yang pada gilirannya mengumpulkan informasi dari tetangganya, dll. Namun, informasi ini dapat dengan mudah dipalsukan, yang berarti perutean BGP sangat rentan terhadap serangan MiTM. [8]

Oleh karena itu, pertanyaan seperti berikut sering muncul: “Mengapa lalu lintas antara dua komputer di Denver mengambil jalan memutar yang sangat besar melalui Islandia?”, “Mengapa data rahasia Pentagon pernah ditransfer dalam perjalanan melalui Beijing?” Ada jawaban teknis untuk pertanyaan seperti ini, namun semuanya bermuara pada fakta bahwa BGP bekerja berdasarkan kepercayaan: kepercayaan pada rekomendasi yang diterima dari router tetangga. Berkat sifat protokol BGP yang dapat dipercaya, penguasa lalu lintas misterius dapat memikat aliran data orang lain ke domain mereka jika mereka mau. [8]

Contoh nyata adalah serangan BGP Tiongkok terhadap Pentagon Amerika. Pada bulan April 2010, raksasa telekomunikasi milik negara China Telecom mengirimkan puluhan ribu router ke seluruh dunia, termasuk 16 di Amerika Serikat, sebuah pesan BGP yang memberitahukan bahwa mereka memiliki rute yang lebih baik. Tanpa sistem yang dapat memverifikasi validitas pesan BGP dari China Telecom, router di seluruh dunia mulai mengirimkan data transit melalui Beijing. Termasuk lalu lintas dari Pentagon dan situs lain milik Departemen Pertahanan AS. Kemudahan pengalihan lalu lintas dan kurangnya perlindungan efektif terhadap jenis serangan ini adalah tanda lain dari ketidakamanan perutean BGP. [8]

Protokol BGP secara teoritis rentan terhadap serangan cyber yang lebih berbahaya. Jika konflik internasional meningkat dengan kekuatan penuh di dunia maya, China Telecom, atau raksasa telekomunikasi lainnya, dapat mencoba mengklaim kepemilikan atas bagian-bagian Internet yang sebenarnya bukan miliknya. Langkah seperti itu akan membingungkan router, yang harus berpindah-pindah tawaran untuk blok alamat Internet yang sama. Tanpa kemampuan untuk membedakan aplikasi yang sah dari yang palsu, router akan mulai bertindak tidak menentu. Akibatnya, kita akan dihadapkan pada perang nuklir yang setara dengan perang nuklir—suatu pertunjukan permusuhan yang terbuka dan berskala besar. Perkembangan seperti itu di masa yang relatif damai tampaknya tidak realistis, namun secara teknis hal ini cukup mungkin dilakukan. [8]

Upaya sia-sia untuk berpindah dari BGP ke BGPSEC

Keamanan siber tidak diperhitungkan ketika BGP dikembangkan, karena pada saat itu peretasan jarang terjadi dan kerusakan yang diakibatkannya dapat diabaikan. Pengembang BGP, karena mereka bekerja di perusahaan telekomunikasi dan tertarik untuk menjual peralatan jaringan mereka, mempunyai tugas yang lebih mendesak: menghindari gangguan spontan pada Internet. Karena gangguan pada Internet dapat mengasingkan pengguna, sehingga mengurangi penjualan peralatan jaringan. [8]

Setelah insiden transmisi lalu lintas militer Amerika melalui Beijing pada bulan April 2010, langkah upaya untuk memastikan keamanan siber perutean BGP tentu saja semakin cepat. Namun, vendor telekomunikasi menunjukkan sedikit antusiasme untuk menanggung biaya yang terkait dengan migrasi ke protokol perutean aman baru BGPSEC, yang diusulkan sebagai pengganti BGP yang tidak aman. Vendor masih menganggap BGP cukup dapat diterima, meskipun terjadi banyak insiden intersepsi lalu lintas. [8]

Radia Perlman, dijuluki “Ibu Internet” karena menemukan protokol jaringan besar lainnya pada tahun 1988 (setahun sebelum BGP), memperoleh gelar doktor di MIT. Perlman meramalkan bahwa protokol routing yang bergantung pada kejujuran tetangga di dunia maya pada dasarnya tidak aman. Perlman menganjurkan penggunaan kriptografi, yang akan membantu membatasi kemungkinan pemalsuan. Namun, penerapan BGP sudah berjalan lancar, komunitas TI yang berpengaruh sudah terbiasa, dan tidak ingin mengubah apa pun. Oleh karena itu, setelah peringatan yang masuk akal dari Perlman, Clark dan beberapa pakar dunia terkemuka lainnya, pangsa relatif perutean BGP yang aman secara kriptografis tidak meningkat sama sekali, dan masih 0%. [8]

Perutean BGP bukan satu-satunya peretasan

Dan perutean BGP bukanlah satu-satunya peretasan yang menegaskan gagasan bahwa “tidak ada yang lebih permanen daripada solusi sementara.” Terkadang Internet, yang membawa kita ke dunia fantasi, tampak anggun seperti mobil balap. Namun, pada kenyataannya, karena peretasan yang bertumpuk, Internet lebih mirip Frankenstein daripada Ferrari. Karena peretasan ini (yang lebih resmi disebut patch) tidak pernah tergantikan oleh teknologi yang andal. Konsekuensi dari pendekatan ini sangat mengerikan: setiap hari dan setiap jam, penjahat dunia maya meretas sistem yang rentan, sehingga memperluas cakupan kejahatan dunia maya ke tingkat yang tidak terbayangkan sebelumnya. [8]

Banyak kelemahan yang dieksploitasi oleh penjahat dunia maya telah diketahui sejak lama, dan bertahan semata-mata karena kecenderungan komunitas TI untuk memecahkan masalah yang muncul - dengan peretasan/tambalan sementara. Kadang-kadang, karena hal ini, teknologi-teknologi yang sudah ketinggalan zaman saling menumpuk dalam jangka waktu yang lama, sehingga membuat kehidupan manusia menjadi sulit dan membahayakan mereka. Apa yang akan Anda pikirkan jika mengetahui bank Anda membangun brankasnya di atas fondasi jerami dan lumpur? Apakah Anda memercayai dia untuk menyimpan tabungan Anda? [8]

Sikap Linus Torvalds yang riang

Butuh waktu bertahun-tahun sebelum Internet mencapai seratus komputer pertamanya. Saat ini, 100 komputer baru dan perangkat lain terhubung setiap detiknya. Ketika perangkat yang terhubung ke Internet meledak, urgensi masalah keamanan siber juga meningkat. Namun, orang yang mempunyai dampak paling besar dalam penyelesaian masalah ini adalah orang yang memandang rendah keamanan siber. Pria ini disebut jenius, pengganggu, pemimpin spiritual, dan diktator yang baik hati. Linus Torvalds. Sebagian besar perangkat yang terhubung ke Internet menjalankan sistem operasinya, Linux. Cepat, fleksibel, gratis - Linux menjadi semakin populer seiring berjalannya waktu. Pada saat yang sama, ia berperilaku sangat stabil. Dan itu bisa bekerja tanpa reboot selama bertahun-tahun. Inilah sebabnya mengapa Linux mendapat kehormatan menjadi sistem operasi yang dominan. Hampir semua peralatan terkomputerisasi yang tersedia bagi kita saat ini menjalankan Linux: server, peralatan medis, komputer penerbangan, drone kecil, pesawat militer, dan banyak lagi. [9]

Linux berhasil terutama karena Torvalds menekankan kinerja dan toleransi kesalahan. Namun, ia menekankan hal ini dengan mengorbankan keamanan siber. Bahkan ketika dunia maya dan dunia fisik nyata saling terkait dan keamanan siber menjadi isu global, Torvalds terus menolak memperkenalkan inovasi yang aman ke dalam sistem operasinya. [9]

Oleh karena itu, bahkan di antara banyak penggemar Linux, terdapat kekhawatiran yang semakin besar tentang kerentanan sistem operasi ini. Khususnya, bagian paling intim dari Linux, kernelnya, tempat Torvalds bekerja secara pribadi. Penggemar Linux melihat bahwa Torvalds tidak menganggap serius masalah keamanan siber. Terlebih lagi, Torvalds dikelilingi oleh para pengembang yang memiliki sikap riang seperti ini. Jika seseorang dari lingkaran dalam Torvalds mulai berbicara tentang memperkenalkan inovasi yang aman, dia langsung dikutuk. Torvalds menolak satu kelompok inovator semacam itu dan menyebut mereka “monyet yang melakukan masturbasi”. Saat Torvalds mengucapkan selamat tinggal kepada kelompok pengembang lain yang sadar akan keamanan, dia berkata kepada mereka, “Maukah Anda bunuh diri. Dunia akan menjadi tempat yang lebih baik karenanya.” Setiap kali ada penambahan fitur keamanan, Torvalds selalu menentangnya. [9] Torvalds bahkan memiliki keseluruhan filosofi dalam hal ini, yang bukannya tanpa akal sehat:

“Keamanan mutlak tidak mungkin tercapai. Oleh karena itu, hal ini harus selalu dipertimbangkan hanya dalam kaitannya dengan prioritas lain: kecepatan, fleksibilitas dan kemudahan penggunaan. Orang yang mengabdikan dirinya sepenuhnya untuk memberikan perlindungan adalah orang gila. Pemikiran mereka terbatas, hitam dan putih. Keamanan dengan sendirinya tidak ada gunanya. Intinya selalu ada di tempat lain. Oleh karena itu, Anda tidak dapat menjamin keamanan mutlak, meskipun Anda benar-benar menginginkannya. Tentu saja, ada orang yang lebih memperhatikan keselamatan dibandingkan Torvalds. Namun, orang-orang ini hanya mengerjakan apa yang menjadi kepentingan mereka dan memberikan keamanan dalam kerangka relatif sempit yang menggambarkan kepentingan-kepentingan tersebut. Tidak lagi. Jadi mereka sama sekali tidak berkontribusi terhadap peningkatan keamanan absolut.” [9]

Sidebar: OpenSource seperti tong mesiu [10]

Kode OpenSource telah menghemat miliaran biaya pengembangan perangkat lunak, menghilangkan kebutuhan akan upaya duplikat: dengan OpenSource, pemrogram memiliki kesempatan untuk menggunakan inovasi terkini tanpa batasan atau pembayaran. OpenSource digunakan di mana-mana. Bahkan jika Anda menyewa pengembang perangkat lunak untuk menyelesaikan masalah khusus Anda dari awal, kemungkinan besar pengembang tersebut akan menggunakan semacam perpustakaan OpenSource. Dan mungkin lebih dari satu. Dengan demikian, elemen OpenSource hadir hampir di mana-mana. Pada saat yang sama, harus dipahami bahwa tidak ada perangkat lunak yang statis; kodenya terus berubah. Oleh karena itu, prinsip “atur dan lupakan” tidak pernah berlaku untuk kode. Termasuk kode OpenSource: cepat atau lambat versi terbaru akan diperlukan.

Pada tahun 2016, kami melihat konsekuensi dari keadaan ini: seorang pengembang berusia 28 tahun sempat “merusak” Internet dengan menghapus kode OpenSource miliknya, yang sebelumnya telah ia publikasikan ke publik. Kisah ini menunjukkan bahwa infrastruktur siber kita sangat rapuh. Beberapa orang - yang mendukung proyek OpenSource - sangat penting untuk memeliharanya sehingga jika, amit-amit, mereka tertabrak bus, Internet akan rusak.

Kode yang sulit dipelihara adalah tempat persembunyian kerentanan keamanan siber yang paling serius. Beberapa perusahaan bahkan tidak menyadari betapa rentannya mereka karena kode yang sulit dipelihara. Kerentanan yang terkait dengan kode tersebut dapat berkembang menjadi masalah nyata dengan sangat lambat: sistem membusuk secara perlahan, tanpa menunjukkan kegagalan yang terlihat dalam proses pembusukan. Dan bila gagal, akibatnya fatal.

Terakhir, karena proyek OpenSource biasanya dikembangkan oleh komunitas peminat, seperti Linus Torvalds atau peretas dari Model Railroad Club yang disebutkan di awal artikel, masalah dengan kode yang sulit dipelihara tidak dapat diselesaikan dengan cara tradisional (menggunakan tuas komersial dan pemerintah). Karena anggota komunitas seperti itu berkemauan keras dan menghargai kemandirian mereka di atas segalanya.

Sidebar: Mungkin badan intelijen dan pengembang antivirus akan melindungi kita?

Pada tahun 2013, diketahui bahwa Kaspersky Lab memiliki unit khusus yang melakukan investigasi khusus terhadap insiden keamanan informasi. Hingga saat ini, departemen ini dipimpin oleh mantan mayor polisi, Ruslan Stoyanov, yang sebelumnya bekerja di Departemen “K” di ibu kota (USTM Direktorat Dalam Negeri Utama Moskow). Seluruh karyawan unit khusus Kaspersky Lab ini berasal dari lembaga penegak hukum, termasuk Komite Investigasi dan Direktorat “K”. [sebelas]

Pada akhir tahun 2016, FSB menangkap Ruslan Stoyanov dan menuduhnya melakukan makar. Dalam kasus yang sama, Sergei Mikhailov, seorang perwakilan tingkat tinggi dari FSB CIB (pusat keamanan informasi), ditangkap, yang, sebelum penangkapannya, seluruh keamanan siber negara itu terikat. [sebelas]

Bilah Samping: Keamanan Siber Ditegakkan

Pengusaha Rusia akan segera dipaksa untuk memberikan perhatian serius terhadap keamanan siber. Pada bulan Januari 2017, Nikolai Murashov, perwakilan dari Pusat Perlindungan Informasi dan Komunikasi Khusus, menyatakan bahwa di Rusia, objek CII (infrastruktur informasi penting) saja diserang lebih dari 2016 juta kali pada tahun 70. Objek CII meliputi sistem informasi instansi pemerintah, perusahaan industri pertahanan, sektor transportasi, kredit dan keuangan, industri energi, bahan bakar dan nuklir. Untuk melindungi mereka, pada tanggal 26 Juli, Presiden Rusia Vladimir Putin menandatangani paket undang-undang “Tentang keamanan CII.” Pada tanggal 1 Januari 2018, ketika undang-undang tersebut mulai berlaku, pemilik fasilitas CII harus menerapkan serangkaian tindakan untuk melindungi infrastruktur mereka dari serangan peretas, khususnya, terhubung ke GosSOPKA. [12]

Daftar pustaka

1. Jonatan Millet. IoT: Pentingnya Mengamankan Perangkat Cerdas Anda // 2017.
2. Ross Anderson. Bagaimana sistem pembayaran kartu pintar gagal // Black Hat. 2014.
3. SJ Murdoch. Chip dan PIN Rusak // Prosiding Simposium IEEE tentang Keamanan dan Privasi. 2010. hal. 433-446.
4. David Talbot. Virus Komputer “Merajalela” pada Alat Kesehatan di Rumah Sakit // Tinjauan Teknologi MIT (Digital). 2012.
5. Craig Timberg. Jaring Ketidakamanan: Aliran dalam Desain // Washington Post. 2015.
6. Michael Lista. Dia adalah seorang peretas remaja yang menghabiskan jutaan dolarnya untuk membeli mobil, pakaian, dan jam tangan—sampai FBI mengetahuinya // Kehidupan Toronto. 2018.
7. Craig Timberg. Jaring Ketidakamanan: Bencana yang Dinubuatkan – dan Diabaikan // Washington Post. 2015.
8. Craig Timberg. 'Perbaikan' cepat yang tahan lama: Protokol Internet dari tahun 1989 membuat data rentan terhadap pembajak // Washington Post. 2015.
9. Craig Timberg. Net of Insecurity: Inti dari argumen // Washington Post. 2015.
10. Joshua Gan. Bisakah Kode Sumber Terbuka Membuat Ketakutan Y2K Kita Akhirnya Menjadi Kenyataan? // Tinjauan Bisnis Harvard (Digital). 2017.
11. Manajer puncak Kaspersky ditangkap oleh FSB // Berita C. 2017. URL.
12. Maria Kolomychenko. Layanan intelijen dunia maya: Bank Tabungan mengusulkan pembentukan kantor pusat untuk memerangi peretas // RBC. 2017.

Sumber: www.habr.com