Þegar „svörtu hattarnir“ - enda reglumenn hins villta skógar netheimsins - reynast sérstaklega vel heppnaðir í skítverkum sínum, grenja gulir fjölmiðlar af gleði. Fyrir vikið er heimurinn farinn að skoða netöryggi af meiri alvöru. En því miður ekki strax. Þess vegna, þrátt fyrir aukinn fjölda skelfilegra netatvika, er heimurinn ekki enn þroskaður fyrir virkar fyrirbyggjandi aðgerðir. Hins vegar er búist við að í náinni framtíð, þökk sé „svörtu hattunum“, muni heimurinn byrja að taka netöryggi alvarlega. [7]

Alveg jafn alvarlegir og eldar... Borgir voru einu sinni mjög viðkvæmar fyrir stórslysum. Hins vegar, þrátt fyrir hugsanlega hættu, var ekki gripið til fyrirbyggjandi verndarráðstafana - jafnvel eftir risastóran eldsvoða í Chicago árið 1871, sem kostaði hundruð mannslífa og flúði hundruð þúsunda manna. Fyrirbyggjandi verndarráðstafanir voru aðeins gerðar eftir að svipuð hörmung átti sér stað aftur, þremur árum síðar. Það er eins með netöryggi - heimurinn mun ekki leysa þetta vandamál nema það séu hörmulegar atvik. En jafnvel þótt slík atvik eigi sér stað mun heimurinn ekki leysa þetta vandamál strax. [7] Þess vegna virkar jafnvel orðatiltækið: „Þangað til galli kemur upp, verður ekki lagður á mann,“ virkar ekki alveg. Þess vegna fögnuðum við árið 2018 30 ára hömlulausu óöryggi.

Ljóðræn tregða

Upphaf þessarar greinar, sem ég skrifaði upphaflega fyrir tímaritið System Administrator, reyndist vera spámannlegt í vissum skilningi. Hefti tímarits með þessari grein sleppt bókstaflega dag eftir dag með hörmulega eldinum í Kemerovo verslunarmiðstöðinni „Winter Cherry“ (2018, 20. mars).

Settu upp internetið á 30 mínútum

Árið 1988 lýsti hin goðsagnakennda tölvuþrjótavetrarbraut L0pht, sem talaði af fullum krafti fyrir fund áhrifamestu vestrænna embættismanna, yfir: „Tölvubúnaður þinn er viðkvæmur fyrir netárásum frá internetinu. Og hugbúnaður og vélbúnaður og fjarskipti. Seljendur þeirra hafa engar áhyggjur af þessari stöðu mála. Vegna þess að nútíma löggjöf kveður ekki á um neina ábyrgð á vanrækslu við að tryggja netöryggi framleiddra hugbúnaðar og vélbúnaðar. Ábyrgð á hugsanlegum bilunum (hvort sem þær eru af sjálfu sér eða af völdum íhlutunar netglæpamanna) er eingöngu hjá notanda búnaðarins. Hvað alríkisstjórnina varðar, þá hefur hún hvorki kunnáttu né löngun til að leysa þetta vandamál. Þess vegna, ef þú ert að leita að netöryggi, þá er internetið ekki staðurinn til að finna það. Hver þeirra sjö sem situr fyrir framan þig getur gjörsamlega brotið internetið og þar af leiðandi náð fullri stjórn yfir búnaðinum sem tengist því. Af sjálfum sér. 30 mínútur af dansverkum og það er búið." [7]

Embættismenn kinkuðu markvissu kolli og gerðu ljóst að þeir skildu alvarleika málsins en gerðu ekkert. Í dag, nákvæmlega 30 árum eftir goðsagnakennda frammistöðu L0pht, er heimurinn enn þjakaður af "hömlulausu óöryggi." Það er svo auðvelt að hakka tölvutækan nettengdan búnað að internetið, upphaflega konungsríki hugsjónalegra vísindamanna og áhugamanna, hefur smám saman verið hertekið af raunsærustu fagmönnum: svindlarum, svindlarum, njósnum, hryðjuverkamönnum. Allir nýta þeir veikleika tölvutæks búnaðar sér til fjárhagslegs eða annars ávinnings. [7]

Seljendur vanrækja netöryggi

Seljendur reyna að sjálfsögðu stundum að laga suma af þeim veikleikum sem tilgreindir eru, en þeir gera það mjög treglega. Vegna þess að hagnaður þeirra kemur ekki frá vernd gegn tölvuþrjótum, heldur frá nýju virkni sem þeir veita neytendum. Með því að einbeita sér eingöngu að skammtímahagnaði, fjárfesta seljendur peninga aðeins í að leysa raunveruleg vandamál, ekki ímynduð. Netöryggi, í augum margra þeirra, er ímyndaður hlutur. [7]

Netöryggi er ósýnilegur, óáþreifanlegur hlutur. Það verður aðeins áþreifanlegt þegar vandamál koma upp með það. Ef þeir gættu þess vel (þeir eyddu miklum peningum í útvegun þess), og það eru engin vandamál með það, mun endanlegur neytandi ekki vilja ofborga fyrir það. Að auki, auk þess að auka fjármagnskostnað, krefst framkvæmd verndarráðstafana frekari þróunartíma, krefst takmarkana á getu búnaðarins og leiðir til lækkunar á framleiðni hans. [8]

Það er erfitt að sannfæra jafnvel okkar eigin markaðsaðila um hagkvæmni skráðs kostnaðar, hvað þá endaneytendur. Og þar sem nútíma söluaðilar hafa aðeins áhuga á söluhagnaði til skamms tíma, eru þeir alls ekki hneigðir til að taka ábyrgð á að tryggja netöryggi sköpunarverksins. [1] Á hinn bóginn standa varkárari söluaðilar sem hafa séð um netöryggi búnaðar síns frammi fyrir þeirri staðreynd að fyrirtækjaneytendur kjósa ódýrari og auðveldari í notkun. Það. Það er augljóst að fyrirtækjaneytendum er ekki sama um netöryggi heldur. [8]

Í ljósi ofangreinds kemur það ekki á óvart að söluaðilar hafi tilhneigingu til að vanrækja netöryggi og fylgja eftirfarandi hugmyndafræði: „Haltu áfram að byggja, haltu áfram að selja og plástra þegar þörf krefur. Hefur kerfið hrunið? Týnt upplýsingar? Gagnagrunni með kreditkortanúmerum stolið? Eru einhver banvæn veikleiki greindur í búnaði þínum? Ekkert mál!" Neytendur verða aftur á móti að fylgja meginreglunni: "Plástra og biðja." [7]

Hvernig þetta gerist: dæmi úr náttúrunni

Sláandi dæmi um vanrækslu á netöryggi meðan á þróun stendur er hvataáætlun Microsoft: „Ef þú missir af frestunum verður þú sektaður. Ef þú hefur ekki tíma til að skila útgáfu nýjungarinnar þinnar á réttum tíma verður hún ekki innleidd. Ef það kemur ekki til framkvæmda færðu ekki hlutabréf í fyrirtækinu (hluti af kökunni af hagnaði Microsoft).“ Síðan 1993 byrjaði Microsoft að tengja vörur sínar virkan við internetið. Þar sem þetta frumkvæði starfaði í samræmi við sama hvatningaráætlun, stækkaði virkni hraðar en varnir gátu haldið í við það. Raunsæjum varnarleysisveiðimönnum til ánægju... [7]

Annað dæmi er ástandið með tölvur og fartölvur: þeim fylgir ekki fyrirfram uppsett vírusvörn; og þeir gera heldur ekki ráð fyrir forstillingu sterkra lykilorða. Gert er ráð fyrir að endir notandi setji upp vírusvarnarforritið og stilli öryggisstillingarbreytur. [1]

Annað, öfgakenndara dæmi: ástandið með netöryggi smásölubúnaðar (sjóðavélar, PoS útstöðvar fyrir verslunarmiðstöðvar osfrv.). Það gerðist þannig að söluaðilar atvinnutækja selja aðeins það sem er selt, en ekki það sem er öruggt. [2] Ef það er eitthvað sem söluaðilum búnaðar er sama um hvað varðar netöryggi, þá er það að ganga úr skugga um að ef umdeilt atvik kemur upp, þá falli ábyrgðin á aðra. [3]

Leiðbeinandi dæmi um þessa þróun atburða: útbreiðslu EMV staðalsins fyrir bankakort, sem, þökk sé færu starfi bankamarkaðsmanna, birtist í augum almennings sem er ekki tæknilega háþróaður sem öruggari valkostur við „úrelt“ segulkort. Á sama tíma var meginhvati bankageirans, sem bar ábyrgð á þróun EMV-staðalsins, að færa ábyrgð á sviksamlegum atvikum (sem eiga sér stað vegna sökum kortara) - frá verslunum til neytenda. En áður (þegar greiðslur fóru fram með segulkortum) lá fjárhagsleg ábyrgð hjá verslunum vegna misræmis í debet/kredit. [3] Þannig bankar sem afgreiða greiðslur færa ábyrgðina annað hvort yfir á söluaðila (sem nota fjarbankakerfi sín) eða banka sem gefa út greiðslukort; þessir tveir síðarnefndu færa aftur ábyrgð yfir á korthafa. [2]

Seljendur hindra netöryggi

Eftir því sem stafræna árásarflöturinn stækkar óhjákvæmilega - þökk sé sprengingunni í nettengdum tækjum - verður sífellt erfiðara að fylgjast með því sem er tengt við fyrirtækjanetið. Á sama tíma færa seljendur áhyggjur af öryggi alls búnaðar tengdur internetinu yfir á endanotandann [1]: „Björgun drukknandi fólks er verk þeirra sem drukkna sjálfir.“

Söluaðilum er ekki aðeins sama um netöryggi sköpunarverksins, heldur trufla þeir í sumum tilfellum einnig veitingu þess. Til dæmis, þegar Conficker netormurinn lak árið 2009 inn í Beth Israel Medical Center og sýkti hluta lækningatækjanna þar, ákvað tæknistjóri þessarar læknastöðvar, til að koma í veg fyrir að svipuð atvik kæmu upp í framtíðinni, að slökkva á rekstrarstuðningsaðgerð á búnaðinum sem ormurinn hefur áhrif á með netkerfinu. Hann stóð hins vegar frammi fyrir því að „ekki var hægt að uppfæra búnaðinn vegna takmarkana í reglugerðum.“ Það tók hann talsverða fyrirhöfn að semja við söluaðilann um að slökkva á netvirkni. [4]

Grundvallar netóöryggi á netinu

David Clarke, hinn goðsagnakenndi MIT-prófessor, en snillingur hans gaf honum viðurnefnið „Albus Dumbledore,“ man daginn sem myrka hliðin á internetinu var opinberuð heiminum. Clark var formaður fjarskiptaráðstefnu í nóvember 1988 þegar fréttir bárust af því að fyrsti tölvuormur sögunnar hefði runnið í gegnum netvír. Clark minntist þessarar stundar vegna þess að ræðumaðurinn sem var viðstaddur ráðstefnu hans (starfsmaður eins af fremstu fjarskiptafyrirtækjum) var dreginn ábyrgur fyrir útbreiðslu þessa orms. Þessi ræðumaður sagði, í hita tilfinninganna, óvart: „Svona! Ég virðist hafa lokað þessum varnarleysi,“ borgaði hann fyrir þessi orð. [5]

Síðar kom hins vegar í ljós að varnarleysið sem umræddur ormur breiddist út um var ekki verðleiki nokkurs einstaks manns. Og þetta, strangt til tekið, var ekki einu sinni varnarleysi, heldur grundvallaratriði internetsins: Stofnendur internetsins, þegar þeir þróaðu hugarfóstur sína, einbeittu sér eingöngu að gagnaflutningshraða og bilanaþoli. Þeir settu sér ekki það verkefni að tryggja netöryggi. [5]

Í dag, áratugum eftir stofnun internetsins — þar sem hundruðum milljarða dollara hefur þegar verið varið í tilgangslausar tilraunir til netöryggis — er internetið ekki síður viðkvæmt. Netöryggisvandamál þess verða bara verri með hverju ári. Eigum við hins vegar rétt á að fordæma stofnendur internetsins fyrir þetta? Þegar öllu er á botninn hvolft mun til dæmis enginn fordæma hraðbrautabyggjendur fyrir þá staðreynd að slys verða á „vegum þeirra“; og enginn mun fordæma borgarskipulagsfræðinga fyrir þá staðreynd að rán eiga sér stað í „borgum þeirra“. [5]

Hvernig tölvuþrjóta undirmenningin fæddist

Undirmenning tölvuþrjóta átti uppruna sinn í upphafi sjöunda áratugarins, í „Railway Technical Modeling Club“ (sem starfar innan veggja Massachusetts Institute of Technology). Klúbbáhugamenn hönnuðu og settu saman járnbrautarmódel, svo risastóra að hún fyllti allt herbergið. Klúbbmeðlimir skiptust sjálfkrafa í tvo hópa: friðarsinna og kerfissérfræðinga. [1960]

Sá fyrsti vann með ofanjarðarhluta líkansins, sá seinni - með neðanjarðar. Þeir fyrstu söfnuðu og skreyttu módel af lestum og borgum: þeir mynduðu allan heiminn í litlum myndum. Hið síðarnefnda vann að tæknilegum stuðningi við alla þessa friðargerð: flókið víra, liða og hnitarofa staðsettir í neðanjarðarhluta líkansins - allt sem stjórnaði „ofanjarðar“ hlutanum og fóðraði hann með orku. [6]

Þegar það kom upp umferðarvandamál og einhver kom með nýja og sniðuga lausn til að laga það var lausnin kölluð „hakk“. Fyrir klúbbmeðlimi hefur leitin að nýjum hakkum orðið að eðlislægri merkingu lífsins. Þess vegna fóru þeir að kalla sig „hakkara“. [6]

Fyrsta kynslóð tölvuþrjóta innleiddi þá færni sem aflað var hjá Simulation Railway Club með því að skrifa tölvuforrit á gatakort. Síðan, þegar ARPANET (forveri internetsins) kom á háskólasvæðið árið 1969, urðu tölvuþrjótar virkustu og færustu notendur þess. [6]

Nú, áratugum síðar, líkist nútíma internetið þessum mjög „neðanjarðar“ hluta fyrirmyndarjárnbrautarinnar. Vegna þess að stofnendur þess voru þessir sömu tölvuþrjótar, nemendur „Railroad Simulation Club“. Aðeins tölvuþrjótar reka nú raunverulegar borgir í stað herma smámynda. [6]

Hvernig BGP leið varð til

Í lok níunda áratugarins, sem afleiðing af snjóflóðalíkri aukningu á fjölda tækja tengdum við internetið, nálgaðist internetið erfiðu stærðfræðilegu takmörkunum sem eru innbyggð í einni af grunnsamskiptareglum internetsins. Þess vegna breyttist öll samtal milli verkfræðinga þess tíma að lokum í umræðu um þetta vandamál. Tveir vinir voru engin undantekning: Jacob Rechter (verkfræðingur frá IBM) og Kirk Lockheed (stofnandi Cisco). Eftir að hafa hittst fyrir tilviljun við matarborðið fóru þeir að ræða ráðstafanir til að varðveita virkni internetsins. Vinkonurnar skrifuðu niður hugmyndirnar sem vöknuðu um hvaðeina sem kom upp á - servíettu litaða með tómatsósu. Síðan sá seinni. Þá þriðja. „Siðareglurnar um þrjár servíettur,“ eins og uppfinningamenn hennar kölluðu hana í gríni – þekkt í opinberum hringjum sem BGP (Border Gateway Protocol) – gjörbylti internetinu fljótlega. [80]

Fyrir Rechter og Lockheed var BGP einfaldlega frjálslegur hakk, þróaður í anda fyrrnefnds Model Railroad Club, tímabundin lausn sem brátt yrði skipt út. Félagarnir þróuðu BGP árið 1989. Í dag, 30 árum síðar, er meirihluti netumferðar enn fluttur með „þriggja servíettusamskiptareglum“ – þrátt fyrir sífellt skelfilegri símtöl um mikilvæg vandamál með netöryggi þess. Tímabundna hakkið varð ein af grunnsamskiptareglunum á netinu og verktaki þess lærði af eigin reynslu að „það er ekkert varanlegra en tímabundnar lausnir. [8]

Netkerfi um allan heim hafa skipt yfir í BGP. Áhrifamiklir söluaðilar, auðugir viðskiptavinir og fjarskiptafyrirtæki urðu fljótt ástfangin af BGP og urðu vön því. Þess vegna, jafnvel þrátt fyrir fleiri og fleiri viðvörunarbjöllur um óöryggi þessarar samskiptareglur, sýnir upplýsingatækni almenningur enn ekki eldmóð fyrir umskipti yfir í nýjan, öruggari búnað. [8]

Netóörugg BGP leið

Af hverju er BGP leið svona góð og hvers vegna er upplýsingatæknisamfélagið ekkert að flýta sér að yfirgefa hana? BGP hjálpar beinum að taka ákvarðanir um hvert eigi að beina hinum gríðarstóru gagnastraumum sem sendar eru yfir risastórt net samskiptalína sem skerast. BGP hjálpar beinum að velja viðeigandi leiðir þó að netið sé stöðugt að breytast og vinsælar leiðir upplifa oft umferðarteppur. Vandamálið er að internetið hefur ekki alþjóðlegt leiðarkort. Beinar sem nota BGP taka ákvarðanir um að velja eina leið eða aðra út frá upplýsingum sem berast frá nágrönnum í netheimum, sem aftur safna upplýsingum frá nágrönnum sínum o.s.frv. Hins vegar er auðvelt að falsa þessar upplýsingar, sem þýðir að BGP leið er mjög viðkvæm fyrir MiTM árásum. [8]

Þess vegna vakna reglulega spurningar eins og eftirfarandi: "Af hverju fór umferð milli tveggja tölva í Denver risastóran krók í gegnum Ísland?", "Af hverju voru flokkuð Pentagon gögn einu sinni flutt í flutningi í gegnum Peking?" Það eru tæknileg svör við spurningum eins og þessum, en þau snúast öll um þá staðreynd að BGP vinnur á trausti: trausti á tilmælum sem berast frá nærliggjandi beinum. Þökk sé trausts eðlis BGP samskiptareglunnar geta dularfullir umferðarherrar tælt gagnaflæði annarra inn á lénið sitt ef þeir vilja. [8]

Lifandi dæmi er BGP árás Kína á bandaríska varnarmálaráðuneytið. Í apríl 2010 sendi ríkisfjarskiptarisinn China Telecom tugþúsundir beina um allan heim, þar á meðal 16 í Bandaríkjunum, BGP skilaboð um að þeir ættu betri leiðir. Án kerfis sem gæti sannreynt réttmæti BGP skilaboða frá China Telecom, fóru beinar um allan heim að senda gögn í flutningi í gegnum Peking. Þar á meðal umferð frá Pentagon og öðrum stöðum bandaríska varnarmálaráðuneytisins. Auðveldin sem umferð var endurbein með og skortur á skilvirkri vörn gegn þessari tegund af árásum er annað merki um óöryggi BGP leiðar. [8]

BGP siðareglur eru fræðilega viðkvæmar fyrir enn hættulegri netárás. Komi til þess að alþjóðleg átök stigmagnast af fullum krafti í netheimum, gæti China Telecom, eða einhver annar fjarskiptarisi, reynt að gera tilkall til eignarhalds á hlutum internetsins sem tilheyra því í raun og veru. Slík ráðstöfun myndi rugla beina, sem þyrftu að hoppa á milli samkeppnistilboða í sömu blokkir af netföngum. Án getu til að greina lögmætt forrit frá fölsuðu forriti myndu beinarnir byrja að virka óreglulega. Fyrir vikið myndum við standa frammi fyrir internetinu sem jafngildir kjarnorkustríði - opin og stórfelld sýning á fjandskap. Slík þróun á tímum tiltölulega friðar virðist óraunhæf, en tæknilega séð er hún vel framkvæmanleg. [8]

Tilhæfulaus tilraun til að fara frá BGP til BGPSEC

Ekki var tekið tillit til netöryggis þegar BGP var þróað, því á þeim tíma voru innbrot sjaldgæf og skaðinn af þeim hverfandi. Hönnuðir BGP, vegna þess að þeir unnu fyrir fjarskiptafyrirtæki og höfðu áhuga á að selja netbúnað sinn, höfðu brýnna verkefni: að forðast skyndileg bilun á internetinu. Vegna þess að truflanir á netinu gætu fjarlægst notendur og þar með dregið úr sölu á netbúnaði. [8]

Eftir atvikið með sendingu bandarískra herflutninga um Peking í apríl 2010, hraðaði vinnunni til að tryggja netöryggi BGP leiðarkerfisins vissulega. Hins vegar hafa fjarskiptaframleiðendur sýnt lítinn áhuga á að bera kostnaðinn sem fylgir flutningi yfir í nýju öruggu leiðarreglurnar BGPSEC, sem lagt er til í staðinn fyrir óörugga BGP. Seljendur telja BGP enn nokkuð ásættanlega, jafnvel þrátt fyrir óteljandi atvik um hleranir á umferð. [8]

Radia Perlman, kölluð „móðir internetsins“ fyrir að finna upp aðra helstu netsamskiptareglur árið 1988 (ári á undan BGP), vann spámannlega doktorsritgerð við MIT. Perlman spáði því að leiðarreglur sem eru háðar heiðarleika nágranna í netheimum séu í grundvallaratriðum óörugg. Perlman beitti sér fyrir notkun dulritunar, sem myndi hjálpa til við að takmarka möguleika á fölsun. Hins vegar var innleiðing BGP þegar í fullum gangi, hið áhrifamikla upplýsingatæknisamfélag var vant því og vildi engu breyta. Þess vegna, eftir rökstuddar viðvaranir frá Perlman, Clark og nokkrum öðrum áberandi sérfræðingum í heiminum, hefur hlutfallslegt hlutfall dulritunaröryggis BGP leiðar alls ekki aukist og er enn 0%. [8]

BGP leið er ekki eina hakkið

Og BGP vegvísun er ekki eina hakkið sem staðfestir þá hugmynd að „ekkert er varanlegra en tímabundnar lausnir. Stundum virðist internetið, sem sefur okkur niður í fantasíuheima, jafn glæsilegt og kappakstursbíll. Hins vegar, í raun og veru, vegna innbrota sem hrúgast ofan á annað, er internetið líkara Frankenstein en Ferrari. Vegna þess að þessi járnsög (sem eru meira opinberlega kölluð plástrar) eru aldrei skipt út fyrir áreiðanlega tækni. Afleiðingar þessarar nálgunar eru skelfilegar: daglega og á klukkutíma fresti hakka netglæpamenn sig inn í viðkvæm kerfi og stækka umfang netglæpa í áður óhugsandi hlutföll. [8]

Margir af þeim göllum sem netglæpamenn nýta sér hafa verið þekktir í langan tíma og hafa varðveist eingöngu vegna tilhneigingar upplýsingatæknisamfélagsins til að leysa vandamál sem koma upp - með tímabundnum innbrotum/plástra. Stundum, vegna þessa, hrannast úrelt tækni upp hver ofan á aðra í langan tíma, sem gerir líf fólks erfitt og setur það í hættu. Hvað myndir þú hugsa ef þú fengir að vita að bankinn þinn er að byggja hvelfingu sína á grunni úr hálmi og leðju? Myndirðu treysta honum til að geyma sparnaðinn þinn? [8]

Áhyggjulaus afstaða Linus Torvalds

Það liðu mörg ár þar til internetið náði fyrstu hundrað tölvum sínum. Í dag eru 100 nýjar tölvur og önnur tæki tengd henni á hverri sekúndu. Þegar nettengd tæki springa, eykst brýnt netöryggismál líka. Sá sem gæti haft mest áhrif á lausn þessara vandamála er hins vegar sá sem lítur á netöryggi með fyrirlitningu. Þessi maður hefur verið kallaður snillingur, frekja, andlegur leiðtogi og velviljaður einræðisherra. Linus Torvalds. Langflest tæki tengd netinu keyra stýrikerfi þess, Linux. Hratt, sveigjanlegt, ókeypis - Linux verður sífellt vinsælli með tímanum. Á sama tíma hegðar það sér mjög stöðugt. Og það getur virkað án þess að endurræsa í mörg ár. Þetta er ástæðan fyrir því að Linux hefur þann heiður að vera ríkjandi stýrikerfi. Næstum allur tölvutækur búnaður sem okkur er tiltækur í dag keyrir Linux: netþjóna, lækningatæki, flugtölvur, pínulitla dróna, herflugvélar og margt fleira. [9]

Linux tekst að mestu leyti vegna þess að Torvalds leggur áherslu á frammistöðu og bilanaþol. Hins vegar leggur hann þessa áherslu á kostnað netöryggis. Jafnvel á sama tíma og netheimurinn og hinn raunverulegi líkamlegi heimur fléttast saman og netöryggi verður alþjóðlegt vandamál, heldur Torvalds áfram að standa gegn því að innleiða öruggar nýjungar í stýrikerfi sínu. [9]

Þess vegna, jafnvel meðal margra Linux aðdáenda, eru vaxandi áhyggjur af veikleikum þessa stýrikerfis. Sérstaklega nánustu hluti Linux, kjarna þess, sem Torvalds vinnur persónulega við. Linux aðdáendur sjá að Torvalds tekur netöryggismál ekki alvarlega. Þar að auki hefur Torvalds umkringt sig hönnuðum sem deila þessu áhyggjulausa viðhorfi. Ef einhver úr innsta hring Torvalds fer að tala um að kynna öruggar nýjungar, er hann samstundis sýknaður. Torvalds vísaði einum hópi slíkra frumkvöðla upp og kallaði þá „fróunarapa“. Þegar Torvalds kvaddi annan hóp öryggismeðvitaðra forritara sagði hann við þá: „Viltu vera svo vænn að drepa þig. Heimurinn væri betri staður vegna þess.“ Alltaf þegar kom að því að bæta við öryggiseiginleikum var Torvalds alltaf á móti því. [9] Torvalds hefur meira að segja heila heimspeki hvað þetta varðar, sem er ekki án skynsemi:

„Algert öryggi er óviðunandi. Þess vegna ætti alltaf að íhuga það aðeins í tengslum við önnur forgangsatriði: hraða, sveigjanleika og auðvelda notkun. Fólk sem leggur sig alfarið í að veita vernd er brjálað. Hugsun þeirra er takmörkuð, svart og hvítt. Öryggi í sjálfu sér er gagnslaust. Kjarninn er alltaf einhvers staðar annars staðar. Þess vegna geturðu ekki tryggt algjört öryggi, jafnvel þótt þú viljir það virkilega. Auðvitað eru til menn sem huga betur að öryggi en Torvalds. Hins vegar eru þessir krakkar einfaldlega að vinna í því sem vekur áhuga þeirra og veita öryggi innan þess þrönga hlutfallslega ramma sem afmarkar þessi hagsmuni. Ekki meira. Þannig að þeir stuðla á engan hátt til að auka algjört öryggi.“ [9]

Sidebar: OpenSource er eins og púðurtunna [10]

OpenSource kóða hefur sparað milljarða í hugbúnaðarþróunarkostnaði, útilokað þörfina á tvíteknum viðleitni: með OpenSource hafa forritarar tækifæri til að nota núverandi nýjungar án takmarkana eða greiðslu. OpenSource er notað alls staðar. Jafnvel þótt þú hafir ráðið hugbúnaðarframleiðanda til að leysa sérhæft vandamál þitt frá grunni, mun þessi verktaki líklegast nota einhvers konar OpenSource bókasafn. Og líklega fleiri en einn. Þannig eru OpenSource þættir til staðar næstum alls staðar. Á sama tíma ætti að skilja að enginn hugbúnaður er kyrrstæður; kóðinn hans er stöðugt að breytast. Þess vegna virkar „settu það og gleymdu því“ reglan aldrei fyrir kóða. Þar á meðal OpenSource kóðann: fyrr eða síðar verður uppfærð útgáfa nauðsynleg.

Árið 2016 sáum við afleiðingar þessa ástands: 28 ára þróunaraðili „braut“ internetið stuttlega með því að eyða OpenSource kóðanum sínum, sem hann hafði áður gert opinberlega aðgengilegan. Þessi saga bendir á að netinnviðir okkar séu mjög viðkvæmir. Sumt fólk - sem styður OpenSource verkefni - er svo mikilvægt til að viðhalda því að ef það, guð forði það, verður fyrir strætó mun internetið bila.

Erfitt að viðhalda kóða er þar sem alvarlegustu netöryggisveikleikarnir leynast. Sum fyrirtæki gera sér ekki einu sinni grein fyrir því hversu viðkvæm þau eru vegna kóða sem erfitt er að viðhalda. Veikleikar sem tengjast slíkum kóða geta þroskast í raunverulegt vandamál mjög hægt: kerfi rotna hægt, án þess að sýna fram á sýnilegar bilanir í rotnunarferlinu. Og þegar þeir mistakast eru afleiðingarnar banvænar.

Að lokum, þar sem OpenSource verkefni eru venjulega þróuð af samfélagi áhugamanna, eins og Linus Torvalds eða eins og tölvuþrjótarnir frá Model Railroad Club sem nefndir eru í upphafi greinarinnar, er ekki hægt að leysa vandamál með kóða sem erfitt er að viðhalda á hefðbundinn hátt (með því að nota viðskipta- og stjórnvalda). Vegna þess að meðlimir slíkra samfélaga eru viljandi og meta sjálfstæði sitt umfram allt annað.

Sidebar: Kannski munu leyniþjónusturnar og vírusvarnarframleiðendur vernda okkur?

Árið 2013 varð vitað að Kaspersky Lab var með sérstaka deild sem framkvæmdi sérsniðnar rannsóknir á upplýsingaöryggisatvikum. Þar til nýlega var þessari deild undir stjórn fyrrverandi lögreglustjóra, Ruslan Stoyanov, sem áður starfaði í höfuðborginni „K“ (USTM aðalstjórnar innanríkismála í Moskvu). Allir starfsmenn þessarar sérsveitar Kaspersky Lab koma frá löggæslustofnunum, þar á meðal rannsóknarnefndinni og stofnuninni „K“. [ellefu]

Í lok árs 2016 handtók FSB Ruslan Stoyanov og ákærði hann fyrir landráð. Í sama máli var Sergei Mikhailov, háttsettur fulltrúi FSB CIB (upplýsingaöryggismiðstöðvar), handtekinn, sem fyrir handtökuna var allt netöryggi landsins bundið við. [ellefu]

Hliðarstika: Netöryggi framfylgt

Brátt munu rússneskir frumkvöðlar neyðast til að gefa netöryggi alvarlega gaum. Í janúar 2017 lýsti Nikolai Murashov, fulltrúi Miðstöðvar upplýsingaverndar og sérstakra samskipta, því yfir að í Rússlandi hafi CII-hlutir (mikilvægir upplýsingainnviðir) eingöngu verið ráðist á meira en 2016 milljón sinnum árið 70. CII hlutir innihalda upplýsingakerfi ríkisstofnana, fyrirtækja í varnariðnaði, flutninga, lána- og fjármálageira, orku-, eldsneytis- og kjarnorkuiðnaðar. Til að vernda þá undirritaði Vladimír Pútín Rússlandsforseti þann 26. júlí lagapakka „um öryggi CII. Fyrir 1. janúar 2018, þegar lögin taka gildi, verða eigendur CII aðstöðu að innleiða sett af ráðstöfunum til að vernda innviði sína gegn tölvuþrjótaárásum, einkum tengjast GosSOPKA. [12]

Heimildaskrá

1. Jónatan Millet. IoT: Mikilvægi þess að tryggja snjalltækin þín // 2017.
2. Ross Anderson. Hvernig snjallkortagreiðslukerfi bila // Black Hat. 2014.
3. SJ Murdoch. Flís og PIN er brotið // Málþing IEEE um öryggi og friðhelgi einkalífsins. 2010. bls. 433-446.
4. Davíð Talbot. Tölvuvírusar eru „óháir“ í lækningatækjum á sjúkrahúsum // MIT Technology Review (stafrænt). 2012.
5. Craig Timberg. Net óöryggis: flæði í hönnuninni // Washington Post. 2015.
6. Michael Lista. Hann var tölvuþrjótur á táningsaldri sem eyddi milljónum sínum í bíla, föt og úr — þar til FBI náði tali af // Toronto Life. 2018.
7. Craig Timberg. Net óöryggis: hörmung spáð - og hunsuð // Washington Post. 2015.
8. Craig Timberg. Langt líf fljótlegrar „laga“: netsamskiptareglur frá 1989 gera gögn viðkvæm fyrir flugræningjum // Washington Post. 2015.
9. Craig Timberg. Net óöryggis: Kjarni rökræðunnar // Washington Post. 2015.
10. Joshua Gans. Gæti opinn kóða gert það að verkum að ótti okkar árið 2 rætist loksins? // Harvard Business Review (Digital). 2017.
11. Yfirmaður Kaspersky handtekinn af FSB // CNews. 2017. Vefslóð.
12. María Kolomychenko. Netleyniþjónusta: Sberbank lagði til að stofna höfuðstöðvar til að berjast gegn tölvuþrjótum // RBC. 2017.

Heimild: www.habr.com