Quando i "cappelli neri" - che sono gli inservienti della foresta selvaggia del cyberspazio - si rivelano particolarmente efficaci nel loro lavoro sporco, i media gialli strillano di gioia. Di conseguenza, il mondo sta iniziando a guardare più seriamente alla sicurezza informatica. Ma purtroppo non subito. Pertanto, nonostante il numero crescente di incidenti informatici catastrofici, il mondo non è ancora maturo per misure proattive attive. Tuttavia, si prevede che nel prossimo futuro, grazie ai “cappelli neri”, il mondo inizierà a prendere sul serio la sicurezza informatica. [7]

Altrettanto gravi quanto gli incendi... Un tempo le città erano molto vulnerabili agli incendi catastrofici. Tuttavia, nonostante il potenziale pericolo, non furono adottate misure di protezione proattive, nemmeno dopo il gigantesco incendio di Chicago del 1871, che causò la morte di centinaia di persone e lo sfollamento di centinaia di migliaia di persone. Misure di protezione proattive furono adottate solo dopo che un disastro simile si verificò nuovamente, tre anni dopo. Lo stesso vale per la sicurezza informatica: il mondo non risolverà questo problema a meno che non si verifichino incidenti catastrofici. Ma anche se si verificassero tali incidenti, il mondo non risolverà il problema immediatamente. [7] Pertanto, anche il detto: "Finché non si verifica un bug, un uomo non verrà patchato", non funziona del tutto. Ecco perché nel 2018 abbiamo festeggiato 30 anni di insicurezza dilagante.

Digressione lirica

L'inizio di questo articolo, che originariamente avevo scritto per la rivista System Administrator, si è rivelato in un certo senso profetico. Edizione di una rivista con questo articolo è uscito letteralmente giorno dopo giorno con il tragico incendio nel centro commerciale di Kemerovo “Winter Cherry” (2018 marzo 20).

Installa Internet in 30 minuti

Già nel 1988, la leggendaria galassia hacker L0pht, parlando a pieni voti davanti a un incontro dei più influenti funzionari occidentali, dichiarò: “Le vostre apparecchiature computerizzate sono vulnerabili agli attacchi informatici provenienti da Internet. E software, hardware e telecomunicazioni. I loro venditori non sono affatto preoccupati per questo stato di cose. Perché la legislazione moderna non prevede alcuna responsabilità per un approccio negligente nel garantire la sicurezza informatica del software e dell'hardware prodotti. La responsabilità di eventuali guasti (spontanei o causati dall'intervento di criminali informatici) ricade esclusivamente sull'utente dell'apparecchiatura. Per quanto riguarda il governo federale, non ha né le competenze né la voglia di risolvere questo problema. Pertanto, se stai cercando sicurezza informatica, Internet non è il posto giusto per trovarla. Ognuna delle sette persone sedute di fronte a te può interrompere completamente Internet e, di conseguenza, prendere il controllo completo sulle apparecchiature ad essa collegate. Da sé. 30 minuti di sequenze di tasti coreografate ed è fatta.” [7]

I funzionari annuirono in modo significativo, chiarendo che comprendevano la gravità della situazione, ma non fecero nulla. Oggi, esattamente 30 anni dopo la leggendaria performance di L0pht, il mondo è ancora afflitto da una “dilagante insicurezza”. L'hacking di apparecchiature computerizzate connesse a Internet è così semplice che Internet, inizialmente regno di scienziati e appassionati idealisti, è stato gradualmente occupato dai professionisti più pragmatici: truffatori, truffatori, spie, terroristi. Tutti sfruttano le vulnerabilità delle apparecchiature computerizzate per ottenere vantaggi finanziari o di altro tipo. [7]

I fornitori trascurano la sicurezza informatica

I fornitori a volte, ovviamente, provano a correggere alcune delle vulnerabilità identificate, ma lo fanno con molta riluttanza. Perché il loro profitto non deriva dalla protezione dagli hacker, ma dalle nuove funzionalità che offrono ai consumatori. Concentrandosi esclusivamente sui profitti a breve termine, i venditori investono denaro solo nella risoluzione di problemi reali, non ipotetici. La sicurezza informatica, agli occhi di molti di loro, è una cosa ipotetica. [7]

La sicurezza informatica è una cosa invisibile e intangibile. Diventa tangibile solo quando sorgono problemi con esso. Se se ne sono presi cura (hanno speso molti soldi per la sua fornitura) e non ci sono problemi, il consumatore finale non vorrà pagare più del dovuto. Inoltre, oltre ad aumentare i costi finanziari, l'implementazione delle misure di protezione richiede tempi di sviluppo aggiuntivi, richiede la limitazione delle capacità dell'attrezzatura e porta ad una diminuzione della sua produttività. [8]

È difficile convincere anche i nostri operatori di marketing della fattibilità dei costi elencati, per non parlare dei consumatori finali. E poiché i venditori moderni sono interessati solo ai profitti delle vendite a breve termine, non sono affatto propensi ad assumersi la responsabilità di garantire la sicurezza informatica delle loro creazioni. [1] D’altra parte, i fornitori più attenti che si sono presi cura della sicurezza informatica delle loro apparecchiature si trovano di fronte al fatto che i consumatori aziendali preferiscono alternative più economiche e più facili da usare. Quello. È ovvio che neanche i consumatori aziendali si preoccupano molto della sicurezza informatica. [8]

Alla luce di quanto sopra, non sorprende che i fornitori tendano a trascurare la sicurezza informatica e ad aderire alla seguente filosofia: “Continuare a costruire, continuare a vendere e applicare patch quando necessario. Il sistema è andato in crash? Informazioni perse? Database con numeri di carte di credito rubati? Sono state identificate vulnerabilità fatali nella vostra attrezzatura? Nessun problema!" I consumatori, a loro volta, devono seguire il principio: “Patch and pregare”. [7]

Come ciò accade: esempi dalla natura

Un esempio lampante di negligenza nei confronti della sicurezza informatica durante lo sviluppo è il programma di incentivi aziendali di Microsoft: “Se non rispetti le scadenze, verrai multato. Se non hai tempo per presentare in tempo il rilascio della tua innovazione, questa non verrà implementata. Se non viene implementato, non riceverai azioni della società (una fetta della torta dai profitti di Microsoft)”. Dal 1993, Microsoft ha iniziato a collegare attivamente i suoi prodotti a Internet. Poiché questa iniziativa operava in linea con lo stesso programma motivazionale, la funzionalità si espanse più velocemente di quanto la difesa potesse tenere il passo. Per la gioia dei pragmatici cacciatori di vulnerabilità... [7]

Un altro esempio è la situazione dei computer e dei laptop: non hanno un antivirus preinstallato; e inoltre non prevedono la preimpostazione di password complesse. Si presuppone che l'utente finale installi l'antivirus e imposti i parametri di configurazione della sicurezza. [1]

Un altro esempio più estremo: la situazione della sicurezza informatica delle attrezzature di vendita al dettaglio (registratori di cassa, terminali PoS per centri commerciali, ecc.). È successo che i venditori di attrezzature commerciali vendono solo ciò che viene venduto e non ciò che è sicuro. [2] Se c'è una cosa a cui tengono i fornitori di apparecchiature commerciali in termini di sicurezza informatica, è assicurarsi che, se si verifica un incidente controverso, la responsabilità ricada su altri. [3]

Un esempio indicativo di questo sviluppo di eventi: la divulgazione dello standard EMV per le carte bancarie, che, grazie al lavoro competente degli operatori di marketing bancario, appare agli occhi del pubblico non tecnicamente sofisticato come un'alternativa più sicura ai "obsoleti" carte magnetiche. Allo stesso tempo, la motivazione principale del settore bancario, responsabile dello sviluppo dello standard EMV, era quella di trasferire la responsabilità per gli incidenti fraudolenti (avvenuti per colpa dei cardatori) - dai negozi ai consumatori. Mentre prima (quando i pagamenti venivano effettuati con carte magnetiche), la responsabilità finanziaria spettava ai negozi per le discrepanze tra debito e credito. [3] Così le banche che elaborano i pagamenti trasferiscono la responsabilità ai commercianti (che utilizzano i loro sistemi bancari a distanza) o alle banche che emettono carte di pagamento; gli ultimi due, a loro volta, trasferiscono la responsabilità al titolare della carta. [2]

I fornitori stanno ostacolando la sicurezza informatica

Con l'inesorabile espansione della superficie di attacco digitale, grazie all'esplosione dei dispositivi connessi a Internet, tenere traccia di ciò che è connesso alla rete aziendale diventa sempre più difficile. Allo stesso tempo, i venditori spostano le preoccupazioni sulla sicurezza di tutte le apparecchiature connesse a Internet sull’utente finale [1]: “Il salvataggio delle persone che stanno annegando è opera delle stesse persone che stanno annegando”.

Non solo i fornitori non si preoccupano della sicurezza informatica delle loro creazioni, ma in alcuni casi interferiscono anche con la sua fornitura. Ad esempio, quando nel 2009 il worm della rete Conficker si è insinuato nel Beth Israel Medical Center e ha infettato parte delle apparecchiature mediche presenti lì, il direttore tecnico di questo centro medico, per evitare che incidenti simili si verificassero in futuro, ha deciso di disattivare il funzione di supporto operativo sulle apparecchiature colpite dal worm con la rete. Tuttavia, si è trovato di fronte al fatto che "l'attrezzatura non poteva essere aggiornata a causa di restrizioni normative". Gli ci è voluto uno sforzo considerevole per negoziare con il venditore la disattivazione delle funzioni di rete. [4]

Fondamenti di cyber-insicurezza di Internet

David Clarke, il leggendario professore del MIT il cui genio gli è valso il soprannome di "Albus Silente", ricorda il giorno in cui il lato oscuro di Internet fu rivelato al mondo. Clark stava presiedendo una conferenza sulle telecomunicazioni nel novembre 1988 quando si diffuse la notizia che il primo worm informatico della storia si era insinuato attraverso i cavi della rete. Clark si ricordò di questo momento perché il relatore presente alla sua conferenza (un dipendente di una delle principali società di telecomunicazioni) fu ritenuto responsabile della diffusione di questo worm. Questo oratore, nel calore dell’emozione, ha inavvertitamente detto: “Ecco qua!” Mi sembra di aver chiuso questa vulnerabilità”, ha pagato per queste parole. [5]

Tuttavia, in seguito si è scoperto che la vulnerabilità attraverso la quale si diffondeva il worm menzionato non era merito di alcuna singola persona. E questa, in senso stretto, non era nemmeno una vulnerabilità, ma una caratteristica fondamentale di Internet: i fondatori di Internet, quando sviluppavano la loro idea, si concentravano esclusivamente sulla velocità di trasferimento dei dati e sulla tolleranza agli errori. Non si sono posti il ​​compito di garantire la sicurezza informatica. [5]

Oggi, decenni dopo la fondazione di Internet – con centinaia di miliardi di dollari già spesi in inutili tentativi di sicurezza informatica – Internet non è meno vulnerabile. I suoi problemi di sicurezza informatica non fanno che peggiorare ogni anno. Tuttavia, abbiamo il diritto di condannare i fondatori di Internet per questo? Dopotutto, ad esempio, nessuno condannerà i costruttori di superstrade per il fatto che gli incidenti accadono sulle “loro strade”; e nessuno condannerà gli urbanisti per il fatto che le rapine avvengono nelle “loro città”. [5]

Come è nata la sottocultura hacker

La sottocultura hacker ebbe origine all'inizio degli anni '1960, nel "Railway Technical Modeling Club" (operante all'interno delle mura del Massachusetts Institute of Technology). Gli appassionati del club progettarono e assemblarono un modellino di ferrovia, così grande da riempire l'intera stanza. I membri del club si sono divisi spontaneamente in due gruppi: operatori di pace e specialisti di sistema. [6]

Il primo ha lavorato con la parte fuori terra del modello, il secondo con quella sotterranea. I primi collezionavano e decoravano modellini di treni e città: modellavano il mondo intero in miniatura. Quest'ultimo ha lavorato sul supporto tecnico per tutta questa pacificazione: una complessità di fili, relè e interruttori di coordinate situati nella parte sotterranea del modello - tutto ciò che controllava la parte “fuori terra” e la alimentava con energia. [6]

Quando si verificava un problema di traffico e qualcuno trovava una soluzione nuova e ingegnosa per risolverlo, la soluzione veniva chiamata “hack”. Per i membri del club, la ricerca di nuovi hack è diventata un significato intrinseco della vita. Ecco perché hanno iniziato a chiamarsi "hacker". [6]

La prima generazione di hacker ha implementato le competenze acquisite al Simulation Railway Club scrivendo programmi per computer su schede perforate. Poi, quando ARPANET (il predecessore di Internet) arrivò nei campus nel 1969, gli hacker ne divennero gli utenti più attivi e competenti. [6]

Ora, decenni dopo, la moderna Internet assomiglia a quella parte molto “sotterranea” del modellismo ferroviario. Perché i suoi fondatori erano gli stessi hacker, studenti del “Railroad Simulation Club”. Solo gli hacker oggi gestiscono città reali invece che miniature simulate. [6]

Come è nato il routing BGP

Alla fine degli anni '80, a seguito dell'aumento vertiginoso del numero di dispositivi connessi a Internet, Internet si è avvicinata al rigido limite matematico incorporato in uno dei protocolli Internet di base. Pertanto, qualsiasi conversazione tra gli ingegneri di quel tempo alla fine si trasformò in una discussione su questo problema. Due amici non hanno fatto eccezione: Jacob Rechter (un ingegnere dell'IBM) e Kirk Lockheed (fondatore di Cisco). Incontratisi per caso a tavola, hanno iniziato a discutere le misure per preservare la funzionalità di Internet. Gli amici hanno scritto le idee emerse su qualunque cosa gli fosse capitata tra le mani: un tovagliolo macchiato di ketchup. Poi il secondo. Poi il terzo. Il “protocollo dei tre tovaglioli”, come lo chiamavano scherzosamente i suoi inventori – noto negli ambienti ufficiali come BGP (Border Gateway Protocol) – rivoluzionò presto Internet. [8]

Per Rechter e Lockheed, BGP era semplicemente un hack casuale, sviluppato nello spirito del già citato Model Railroad Club, una soluzione temporanea che sarebbe presto stata sostituita. Gli amici hanno sviluppato BGP nel 1989. Oggi, tuttavia, 30 anni dopo, la maggior parte del traffico Internet viene ancora instradato utilizzando il “protocollo dei tre tovaglioli”, nonostante le chiamate sempre più allarmanti sui problemi critici relativi alla sicurezza informatica. L’hacking temporaneo è diventato uno dei protocolli Internet di base e i suoi sviluppatori hanno imparato dalla propria esperienza che “non c’è niente di più permanente delle soluzioni temporanee”. [8]

Le reti di tutto il mondo sono passate a BGP. Venditori influenti, clienti facoltosi e società di telecomunicazioni si innamorarono rapidamente di BGP e si abituarono ad esso. Pertanto, nonostante sempre più campanelli d'allarme sull'insicurezza di questo protocollo, il pubblico informatico non mostra ancora entusiasmo per il passaggio a nuove apparecchiature più sicure. [8]

Routing BGP cyber-insicuro

Perché il routing BGP è così valido e perché la comunità IT non ha fretta di abbandonarlo? BGP aiuta i router a prendere decisioni su dove instradare gli enormi flussi di dati inviati attraverso un'enorme rete di linee di comunicazione che si intersecano. BGP aiuta i router a scegliere i percorsi appropriati anche se la rete è in costante cambiamento e i percorsi più popolari spesso presentano ingorghi. Il problema è che Internet non dispone di una mappa di routing globale. I router che utilizzano BGP prendono decisioni sulla scelta di un percorso o di un altro in base alle informazioni ricevute dai vicini nel cyberspazio, che a loro volta raccolgono informazioni dai loro vicini, ecc. Tuttavia, queste informazioni possono essere facilmente falsificate, il che significa che il routing BGP è altamente vulnerabile agli attacchi MiTM. [8]

Pertanto, sorgono regolarmente domande come le seguenti: "Perché il traffico tra due computer a Denver ha fatto una deviazione enorme attraverso l'Islanda?", "Perché i dati classificati del Pentagono una volta venivano trasferiti in transito attraverso Pechino?" Esistono risposte tecniche a domande come queste, ma tutte si riducono al fatto che BGP funziona in base alla fiducia: fiducia nelle raccomandazioni ricevute dai router vicini. Grazie alla natura fiduciosa del protocollo BGP, i misteriosi signori del traffico possono, se lo desiderano, attirare flussi di dati altrui nel loro dominio. [8]

Un esempio vivente è l’attacco BGP della Cina al Pentagono americano. Nell’aprile 2010, il colosso statale delle telecomunicazioni China Telecom ha inviato a decine di migliaia di router in tutto il mondo, di cui 16 negli Stati Uniti, un messaggio BGP dicendo loro che avevano percorsi migliori. Senza un sistema in grado di verificare la validità di un messaggio BGP proveniente da China Telecom, i router di tutto il mondo hanno iniziato a inviare dati in transito attraverso Pechino. Compreso il traffico proveniente dal Pentagono e da altri siti del Dipartimento della Difesa americano. La facilità con cui il traffico veniva reindirizzato e la mancanza di una protezione efficace contro questo tipo di attacchi sono un altro segno dell'insicurezza del routing BGP. [8]

Il protocollo BGP è teoricamente vulnerabile a un attacco informatico ancora più pericoloso. Nel caso in cui i conflitti internazionali dovessero intensificarsi nel cyberspazio, China Telecom, o qualche altro gigante delle telecomunicazioni, potrebbe tentare di rivendicare la proprietà di parti di Internet che in realtà non le appartengono. Una mossa del genere confonderebbe i router, che dovrebbero rimbalzare tra offerte concorrenti per gli stessi blocchi di indirizzi Internet. Senza la capacità di distinguere un'applicazione legittima da una falsa, i router inizierebbero a comportarsi in modo irregolare. Di conseguenza, ci troveremmo di fronte all’equivalente Internet della guerra nucleare: una manifestazione aperta e su larga scala di ostilità. Un simile sviluppo in tempi di relativa pace sembra irrealistico, ma tecnicamente è abbastanza fattibile. [8]

Un tentativo inutile di passare da BGP a BGPSEC

La sicurezza informatica non è stata presa in considerazione quando è stato sviluppato BGP, perché a quel tempo gli hack erano rari e il danno che ne derivava era trascurabile. Gli sviluppatori di BGP, poiché lavoravano per società di telecomunicazioni ed erano interessati a vendere le loro apparecchiature di rete, avevano un compito più urgente: evitare guasti spontanei di Internet. Perché le interruzioni di Internet potrebbero allontanare gli utenti e quindi ridurre le vendite di apparecchiature di rete. [8]

Dopo l’incidente avvenuto nell’aprile 2010 con la trasmissione del traffico militare americano attraverso Pechino, il ritmo dei lavori per garantire la sicurezza informatica del routing BGP ha sicuramente subito un’accelerazione. Tuttavia, i fornitori di telecomunicazioni hanno mostrato poco entusiasmo nel sostenere i costi associati alla migrazione al nuovo protocollo di routing sicuro BGPSEC, proposto in sostituzione del non sicuro BGP. I venditori considerano ancora BGP abbastanza accettabile, nonostante gli innumerevoli episodi di intercettazione del traffico. [8]

Radia Perlman, soprannominata la “madre di Internet” per aver inventato un altro importante protocollo di rete nel 1988 (un anno prima di BGP), ha conseguito una profetica dissertazione di dottorato al MIT. Perlman prevedeva che un protocollo di routing che dipende dall’onestà dei vicini nel cyberspazio è fondamentalmente insicuro. Perlman sosteneva l'uso della crittografia, che aiuterebbe a limitare la possibilità di contraffazione. Tuttavia, l’implementazione di BGP era già in pieno svolgimento, l’influente comunità IT vi era abituata e non voleva cambiare nulla. Pertanto, dopo gli avvertimenti ragionati di Perlman, Clark e alcuni altri eminenti esperti mondiali, la quota relativa di routing BGP crittograficamente sicuro non è aumentata affatto ed è ancora allo 0%. [8]

Il routing BGP non è l'unico hack

E il routing BGP non è l’unico hack che conferma l’idea che “niente è più permanente delle soluzioni temporanee”. A volte Internet, immergendoci in mondi fantastici, sembra elegante come un'auto da corsa. Tuttavia, in realtà, a causa degli hack ammucchiati uno sull'altro, Internet è più simile a Frankenstein che a Ferrari. Perché questi hack (più ufficialmente chiamati patch) non vengono mai sostituiti da una tecnologia affidabile. Le conseguenze di questo approccio sono disastrose: ogni giorno e ogni ora, i criminali informatici penetrano nei sistemi vulnerabili, espandendo la portata del crimine informatico a proporzioni precedentemente inimmaginabili. [8]

Molti dei difetti sfruttati dai criminali informatici sono noti da molto tempo e sono stati preservati esclusivamente grazie alla tendenza della comunità IT a risolvere i problemi emergenti con hack/patch temporanei. A volte, per questo motivo, le tecnologie obsolete si accumulano per lungo tempo una sull’altra, rendendo difficile la vita delle persone e mettendole in pericolo. Cosa penseresti se sapessi che la tua banca sta costruendo il suo caveau su fondamenta di paglia e fango? Ti fideresti di lui per conservare i tuoi risparmi? [8]

L'atteggiamento spensierato di Linus Torvalds

Ci sono voluti anni prima che Internet raggiungesse i suoi primi cento computer. Oggi vi vengono collegati 100 nuovi computer e altri dispositivi ogni secondo. Con l’esplosione dei dispositivi connessi a Internet, aumenta anche l’urgenza dei problemi di sicurezza informatica. Tuttavia, la persona che potrebbe avere il maggiore impatto sulla risoluzione di questi problemi è quella che vede la sicurezza informatica con disprezzo. Quest'uomo è stato definito un genio, un prepotente, un leader spirituale e un dittatore benevolo. Linus Torvalds. La stragrande maggioranza dei dispositivi connessi a Internet esegue il suo sistema operativo, Linux. Veloce, flessibile, gratuito: Linux sta diventando sempre più popolare nel tempo. Allo stesso tempo, si comporta in modo molto stabile. E può funzionare senza riavviarsi per molti anni. Questo è il motivo per cui Linux ha l'onore di essere il sistema operativo dominante. Quasi tutte le apparecchiature computerizzate a nostra disposizione oggi utilizzano Linux: server, apparecchiature mediche, computer di volo, minuscoli droni, aerei militari e molto altro. [9]

Linux ha successo in gran parte perché Torvalds enfatizza le prestazioni e la tolleranza agli errori. Tuttavia, pone questa enfasi a scapito della sicurezza informatica. Anche se il cyberspazio e il mondo fisico reale si intrecciano e la sicurezza informatica diventa una questione globale, Torvalds continua a resistere all’introduzione di innovazioni sicure nel suo sistema operativo. [9]

Pertanto, anche tra molti fan di Linux cresce la preoccupazione per le vulnerabilità di questo sistema operativo. In particolare la parte più intima di Linux, il suo kernel, su cui Torvalds lavora personalmente. I fan di Linux vedono che Torvalds non prende sul serio i problemi di sicurezza informatica. Inoltre, Torvalds si è circondato di sviluppatori che condividono questo atteggiamento spensierato. Se qualcuno della cerchia ristretta di Torvalds inizia a parlare di introdurre innovazioni sicure, viene immediatamente anatemizzato. Torvalds liquidò un gruppo di questi innovatori, definendoli “scimmie che si masturbano”. Quando Torvalds salutò un altro gruppo di sviluppatori attenti alla sicurezza, disse loro: “Sareste così gentili da uccidervi. Grazie a ciò il mondo sarebbe un posto migliore”. Ogni volta che si trattava di aggiungere funzionalità di sicurezza, Torvalds era sempre contrario. [9] Torvalds ha addirittura tutta una filosofia a questo riguardo, che non è priva di un briciolo di buon senso:

“La sicurezza assoluta è irraggiungibile. Pertanto, va sempre considerato solo in relazione ad altre priorità: velocità, flessibilità e facilità d'uso. Le persone che si dedicano interamente alla protezione sono pazze. Il loro pensiero è limitato, in bianco e nero. La sicurezza di per sé è inutile. L'essenza è sempre altrove. Pertanto, non è possibile garantire una sicurezza assoluta, anche se lo si desidera davvero. Naturalmente ci sono persone che prestano più attenzione alla sicurezza di Torvalds. Tuttavia, questi ragazzi stanno semplicemente lavorando su ciò che li interessa e fornendo sicurezza all’interno del ristretto quadro relativo che delinea questi interessi. Non più. Quindi non contribuiscono in alcun modo ad aumentare la sicurezza assoluta”. [9]

Barra laterale: OpenSource è come una polveriera [10]

Il codice OpenSource ha consentito di risparmiare miliardi in costi di sviluppo software, eliminando la necessità di duplicare gli sforzi: con OpenSource, i programmatori hanno l'opportunità di utilizzare le innovazioni attuali senza restrizioni o pagamenti. OpenSource è utilizzato ovunque. Anche se hai assunto uno sviluppatore di software per risolvere da zero il tuo problema specializzato, molto probabilmente questo sviluppatore utilizzerà una sorta di libreria OpenSource. E probabilmente più di uno. Pertanto gli elementi OpenSource sono presenti quasi ovunque. Allo stesso tempo, bisogna comprendere che nessun software è statico; il suo codice cambia costantemente. Pertanto, il principio "impostalo e dimenticalo" non funziona mai per il codice. Compreso il codice OpenSource: prima o poi servirà una versione aggiornata.

Nel 2016 abbiamo visto le conseguenze di questo stato di cose: uno sviluppatore di 28 anni ha “rotto” brevemente Internet cancellando il suo codice OpenSource, che aveva precedentemente reso pubblico. Questa storia sottolinea che la nostra infrastruttura informatica è molto fragile. Alcune persone, che sostengono i progetti OpenSource, sono così importanti per mantenerli che se, Dio non voglia, venissero investiti da un autobus, Internet si romperebbe.

Il codice difficile da mantenere è il luogo in cui si nascondono le vulnerabilità più gravi della sicurezza informatica. Alcune aziende non si rendono nemmeno conto di quanto siano vulnerabili a causa del codice difficile da mantenere. Le vulnerabilità associate a tale codice possono trasformarsi in un problema reale molto lentamente: i sistemi marciscono lentamente, senza mostrare guasti visibili nel processo di decomposizione. E quando falliscono, le conseguenze sono fatali.

Infine, poiché i progetti OpenSource sono solitamente sviluppati da una comunità di appassionati, come Linus Torvalds o come gli hacker del Model Railroad Club menzionati all'inizio dell'articolo, i problemi con codice di difficile manutenzione non possono essere risolti nei modi tradizionali (usando leve commerciali e governative). Perché i membri di tali comunità sono ostinati e apprezzano la loro indipendenza sopra ogni altra cosa.

Nota a margine: Forse i servizi segreti e gli sviluppatori di antivirus ci proteggeranno?

Nel 2013 si è saputo che Kaspersky Lab disponeva di un'unità speciale che svolgeva indagini personalizzate sugli incidenti legati alla sicurezza informatica. Fino a poco tempo fa, questo dipartimento era diretto da un ex maggiore della polizia, Ruslan Stoyanov, che in precedenza aveva lavorato nel dipartimento “K” della capitale (USTM della direzione principale degli affari interni di Mosca). Tutti i dipendenti di questa unità speciale di Kaspersky Lab provengono dalle forze dell'ordine, incluso il comitato investigativo e la direzione “K”. [undici]

Alla fine del 2016 l’FSB ha arrestato Ruslan Stoyanov accusandolo di tradimento. Nello stesso caso è stato arrestato Sergei Mikhailov, rappresentante di alto rango del CIB (Centro per la sicurezza delle informazioni) dell'FSB, al quale, prima dell'arresto, era legata l'intera sicurezza informatica del Paese. [undici]

Barra laterale: Sicurezza informatica applicata

Presto gli imprenditori russi saranno costretti a prestare seria attenzione alla sicurezza informatica. Nel gennaio 2017 Nikolai Murashov, rappresentante del Centro per la protezione delle informazioni e le comunicazioni speciali, ha dichiarato che in Russia solo gli oggetti CII (infrastrutture critiche di informazione) sono stati attaccati più di 2016 milioni di volte nel 70. Gli oggetti CII includono sistemi informativi di agenzie governative, imprese dell'industria della difesa, trasporti, settori creditizio e finanziario, energia, combustibili e industrie nucleari. Per proteggerli, il 26 luglio, il presidente russo Vladimir Putin ha firmato un pacchetto di leggi “Sulla sicurezza delle CII”. Entro il 1 gennaio 2018, quando la legge entrerà in vigore, i proprietari delle strutture CII dovranno implementare una serie di misure per proteggere la propria infrastruttura dagli attacchi degli hacker, in particolare connettersi a GosSOPKA. [12]

Bibliografia

1. Jonathan Millet. IoT: l'importanza di proteggere i tuoi dispositivi intelligenti // 2017.
2. Ross Anderson. Come falliscono i sistemi di pagamento con smartcard // Black Hat. 2014.
3. SJ Murdoch. Chip e PIN sono rotti // Atti del simposio IEEE sulla sicurezza e la privacy. 2010, pagg. 433-446.
4. Davide Talbot. I virus informatici sono "dilaganti" sui dispositivi medici negli ospedali // MIT Technology Review (digitale). 2012.
5. Craig Timberg. Al netto dell'insicurezza: un flusso nella progettazione // Il Washington Post. 2015.
6. Michele Lista. Era un hacker adolescente che spendeva i suoi milioni in automobili, vestiti e orologi, finché l'FBI non se ne accorse // Vita a Toronto. 2018.
7. Craig Timberg. Al netto dell’insicurezza: un disastro annunciato – e ignorato // Il Washington Post. 2015.
8. Craig Timberg. La lunga vita di una soluzione rapida: il protocollo Internet del 1989 lascia i dati vulnerabili ai dirottatori // Il Washington Post. 2015.
9. Craig Timberg. Al netto dell'insicurezza: il nocciolo dell'argomento // Il Washington Post. 2015.
10. Giosuè Gans. Il codice open source potrebbe finalmente far avverare le nostre paure per l'anno 2? // Harvard Business Review (digitale). 2017.
11. Arrestato dall'Fsb il top manager di Kaspersky // CNews. 2017. URL.
12. Maria Kolomychenko. Servizio di cyber intelligence: Sberbank ha proposto di creare un quartier generale per combattere gli hacker // RBC. 2017.

Fonte: habr.com