30 anni di insicurezza incontrollata

Quando i "cappelli neri", in qualità di sanitari della giungla del cyberspazio, hanno particolare successo nel loro oscuro mestiere, i media gialli esultano. Di conseguenza, il mondo inizia a prendere più sul serio la sicurezza informatica. Ma sfortunatamente, non subito. Pertanto, nonostante il crescente numero di incidenti informatici disastrosi, il mondo non è ancora pronto a misure preventive attive. Tuttavia, si prevede che nel prossimo futuro, grazie ai "cappelli neri", il mondo inizierà a prendere sul serio la sicurezza informatica.

30 anni di insicurezza incontrollata

Seriamente come per gli incendi... Un tempo le città erano molto vulnerabili a incendi catastrofici. Tuttavia, nonostante il potenziale pericolo, non sono state adottate misure preventive, nemmeno dopo il gigantesco incendio di Chicago, nel 1871, che ha portato via centinaia di vite e lasciato senza tetto centinaia di migliaia di persone. Le misure preventive sono state intraprese solo dopo che una simile catastrofe si è ripetuta, tre anni dopo. Lo stesso vale per la cybersicurezza: il mondo non affronterà questo problema se non ci saranno incidenti catastrofici. Ma anche se tali incidenti si verificheranno, il mondo non affronterà immediatamente questa problematica. [7] Perciò anche il detto: «Finché il bug non scoppia, l'uomo non si rimetterà in carreggiata», non è del tutto valido. Nel 2018 abbiamo quindi celebrato il 30º anniversario di una continua vulnerabilità.


Divagazione lirica

L'inizio di questo articolo, che ho scritto inizialmente per la rivista "System Administrator", si è rivelato in un certo senso profetico. L'uscita della rivista con questo articolo è avvenuta letteralmente giorno per giorno con il tragico incendio nel centro commerciale "Winter Cherry" di Kemerovo (2018, verso la fine di marzo).
30 anni di insicurezza incontrollata

Attivare Internet in 30 minuti

Già nel 1988, il leggendario gruppo di hacker L0pht, presentandosi nella sua formazione completa davanti a un'assemblea dei più influenti funzionari occidentali, dichiarò: «Il vostro equipaggiamento informatico è vulnerabile agli attacchi informatici da Internet. Sia il software che l'hardware, così come le telecomunicazioni. Ai fornitori non importa affatto questa situazione. Perché nella legislazione attuale non è prevista alcuna responsabilità per un approccio negligente alla sicurezza informatica del software e dell'hardware prodotto. La responsabilità per eventuali guasti potenziali (sia quelli accidentali che quelli causati dall'interferenza di criminali informatici) ricade esclusivamente sull'utente dell'equipaggiamento. Quanto al governo federale, non ha né le competenze né la volontà di risolvere questo problema. Quindi se cercate sicurezza informatica, l'Internet non è il posto dove trovarla. È possibile distruggere completamente Internet, e quindi prendere il controllo totale dell'equipaggiamento ad esso collegato, ed è qualcosa che può fare ciascuno dei sette uomini seduti davanti a voi. Da solo. 30 minuti di coordinata pressione dei tasti – e il gioco è fatto». [7]

30 anni di insicurezza incontrollata

I funzionari hanno annuito in modo significativo, facendo capire di comprendere la gravità della situazione, ma non hanno intrapreso alcuna azione. Oggi, esattamente 30 anni dopo il leggendario intervento dei L0pht, il mondo continua a essere in uno stato di "incontrollata vulnerabilità". L'hacking di attrezzature computerizzate collegate a Internet è così facile che Internet, originariamente un regno di scienziati e appassionati idealisti, è stato gradualmente occupato dai professionisti più pragmatici: truffatori, impostori, spie e terroristi. Tutti loro sfruttano le vulnerabilità delle attrezzature computerizzate per ottenere guadagni finanziari o di altro tipo. [7]

I fornitori trascurano la cybersicurezza

I fornitori a volte cercano di correggere alcune delle vulnerabilità identificate, ma lo fanno molto riluttantemente. Poiché non è la protezione dagli hacker a portare loro profitto, ma piuttosto le nuove funzionalità che offrono ai consumatori. Focalizzati esclusivamente sul profitto a breve termine, i fornitori investono solo nella risoluzione di problemi reali, non ipotetici. La cybersecurity, per molti di loro, è vista come una questione ipotetica. [7]

La cybersecurity è qualcosa di invisibile, intangibile. Diventa tangibile solo quando si presentano problemi. Se è stata curata bene (sono stati spesi molti soldi per garantirla) e non ci sono problemi, il consumatore finale non vorrà pagare di più per essa. Inoltre, oltre ad aumentare i costi finanziari, l'implementazione di misure di sicurezza richiede tempo aggiuntivo per lo sviluppo, limita le capacità dell'hardware e porta a una riduzione delle sue prestazioni. [8]

È difficile convincere anche i propri marketer della validità dei costi elencati, per non parlare dei consumatori finali. E poiché i fornitori moderni sono interessati solo al profitto a breve termine dalle vendite, non sono affatto inclini a prendersi la responsabilità della sicurezza informatica delle loro creazioni. [1] D'altra parte, fornitori più responsabili, che si sono comunque occupati della sicurezza informatica del proprio hardware, si scontrano con il fatto che i consumatori aziendali preferiscono alternative più economiche e semplici da usare. È evidente, quindi, che anche la sicurezza informatica preoccupa poco i consumatori aziendali. [8]

Alla luce di quanto detto, non sorprende che i fornitori tendano a trascurare la sicurezza informatica e adottino la seguente filosofia: "Continua a costruire, continua a vendere e, se necessario, fai delle patch. Il sistema è caduto? I dati sono stati danneggiati? È stato rubato un database con i numeri di carte di credito? Sono state scoperte vulnerabilità irrisolvibili nell'hardware? Nessun problema!" D'altra parte, i consumatori devono seguire il principio: "Ho fatto le patch e spero in bene." [7]
30 anni di insicurezza incontrollata

Come avviene: esempi dal mondo naturale

Un esempio lampante della negligenza verso la cybersicurezza nello sviluppo è il programma di incentivazione aziendale di Microsoft: «Se non rispetti le scadenze, verrai penalizzato. Se non presenterai in tempo il rilascio della tua innovazione, non verrà implementata. Se non viene implementata, non riceverai azioni della società (una fetta degli utili di Microsoft)». A partire dal 1993, Microsoft ha iniziato a legare attivamente i suoi prodotti a Internet. Poiché questa iniziativa si inseriva nello stesso programma motivazionale, le funzionalità si espandevano più rapidamente di quanto la sicurezza potesse tenere il passo. A gioia dei pragmatisti in cerca di vulnerabilità... [7]

Un altro esempio è la situazione con computer e laptop: non vengono forniti con antivirus preinstallato; non è previsto neanche l'impostazione di password sicure. Si presume che sarà l'utente finale a installare l'antivirus e a configurare le impostazioni di sicurezza. [1]

Un altro esempio, più estremo: la situazione della cybersicurezza delle attrezzature commerciali (registratori di cassa, terminali POS per centri commerciali, ecc.). È consuetudine che i fornitori di attrezzature commerciali vendano solo ciò che si venderebbe, non ciò che è sicuro. [2] Se i fornitori di attrezzature commerciali si preoccupano di qualcosa riguardo alla cybersicurezza, è per garantire che in caso di un incidente controverso, la responsabilità ricada su altri. [3]

Un esempio lampante di questa evoluzione è la diffusione dello standard EMV per le carte bancarie, che grazie al lavoro strategico dei marketer bancari appare agli occhi del pubblico senza particolari conoscenze tecniche come un'alternativa più sicura rispetto alle 'vecchie' carte magnetiche. Tuttavia, la motivazione principale dell'industria bancaria, che ha sviluppato lo standard EMV, era trasferire la responsabilità per incidenti fraudolenti (che si verificano a causa di truffatori) dai negozi ai clienti. In precedenza (quando i pagamenti venivano effettuati con carte magnetiche), la responsabilità finanziaria per le discrepanze tra addebiti e accrediti ricadeva sui negozi. [3] Pertanto, le banche che elaborano i pagamenti spostano la responsabilità o sui venditori (che utilizzano i loro sistemi bancari online) o sulle banche emittenti delle carte; quest'ultime, a loro volta, trasferiscono la responsabilità al titolare della carta. [2]

I fornitori ostacolano la sicurezza informatica

Con l'espansione incessante della superficie degli attacchi digitali, grazie all'esplosivo aumento dei dispositivi connessi a Internet, diventa sempre più difficile tenere traccia di ciò che è connesso alla rete aziendale. Le preoccupazioni per la sicurezza di tutto l'hardware connesso a Internet vengono trasferite all'utente finale [1]: «Salvare i naufraghi è compito dei naufraghi stessi».

Non solo i fornitori non si prendono cura della cybersicurezza delle loro creazioni, ma in alcuni casi ostacolano anche la sua attuazione. Ad esempio, quando nel 2009 il worm Conficker è penetrato nel centro medico «Beth Israel» e ha infettato parte delle apparecchiature mediche, il direttore tecnico di quel centro ha deciso di disattivare la funzionalità di rete sull'hardware colpito per prevenire incidenti simili in futuro. Tuttavia, ha dovuto affrontare la situazione in cui «l'attrezzatura non poteva essere aggiornata a causa di vincoli normativi». Gli sono state necessarie elevate incertezze per concordare con il fornitore la disattivazione delle funzioni di rete. [4]

La ciber-insicurezza fondamentale di Internet

David Clark, il leggendario professore del MIT noto per la sua geniale intuizione con il soprannome di «Albus Dumbledore», ricorda bene quel giorno in cui si è svelato al mondo il lato oscuro di Internet. Clark presiedeva a una conferenza sulle telecomunicazioni nel novembre del 1988 quando arrivò la notizia che era appena scivolato nei cavi di rete il primo worm informatico della storia. Questo momento rimase impresso nella memoria di Clark perché il relatore presente alla sua conferenza, un dipendente di una delle principali aziende di telecomunicazioni, fu citato come responsabile della diffusione di quel worm. Quel relatore, in un momento di fervore emotivo, lasciò cadere inavvertitamente: «Ecco a te! Pensavo di aver chiuso quella vulnerabilità»; per queste sue parole ne subì le conseguenze. [5]

30 anni di insicurezza incontrollata

Tuttavia, più tardi è emerso che la vulnerabilità attraverso cui si è diffunto il citato worm non è attribuibile a una singola persona. E, a rigor di termini, non era nemmeno una vulnerabilità, ma una caratteristica fondamentale di Internet: i fondatori di Internet, nello sviluppare la loro creazione, si sono concentrati esclusivamente sulla velocità di trasmissione dei dati e sulla resilienza. Non si sono posti il problema della sicurezza informatica. [5]

Oggi, a distanza di decenni dalla fondazione di Internet, – quando sono già stati spesi centinaia di miliardi di dollari in tentativi infruttuosi di garantire la sicurezza informatica, – Internet non è diventato meno vulnerabile. I problemi relativi alla sua sicurezza informatica si aggravano di anno in anno. Tuttavia, abbiamo il diritto di condannare i padri fondatori di Internet per questo? Infatti, per esempio, nessuno condannerebbe i costruttori delle autostrade veloci per gli incidenti che avvengono sulle "loro strade"; e nessuno condannerebbe gli urbanisti per i furti che avvengono "nelle loro città". [5]

Come è nata la subcultura hacker

La subcultura hacker è nata all'inizio degli anni '60 nel "Club di modellazione tecnica delle ferrovie" (attivo all'interno del MIT). Gli appassionati del club progettarono e assemblarono un modello di ferrovia così grande da riempire l'intera stanza. I membri del club si divisero spontaneamente in due gruppi: pacifisti e sistemisti. [6]

I primi lavoravano sulla parte sopraelevata del modello, i secondi sulla parte sotterranea. I primi assemblavano e dipingevano modelli di treni e città, creando un intero mondo in miniatura. I secondi si occupavano della parte tecnica di tutta questa pacificazione: un intrico di cavi, relè e switch di coordinate situati nella parte sotterranea del modello, tutto ciò che controllava la parte "sopraelevata" e la alimentava. [6]

Quando si verificava un problema di traffico e qualcuno inventava una nuova soluzione ingegnosa per risolverlo, quella soluzione veniva chiamata "hack". Per i membri del club, la ricerca di nuovi hack divenne un valore intrinseco nella vita. È per questo che iniziarono a definirsi "hacker". [6]

La prima generazione di hacker applicava le competenze acquisite al "Club di modellazione ferroviaria" mentre scriveva programmi informatici su schede perforate. Poi, quando nel 1969 ARPANET (il predecessore di Internet) arrivò nel campus universitario, i suoi utenti più attivi e qualificati erano proprio gli hacker. [6]

Ora, decenni dopo, l'Internet moderno ricorda quella parte "sotterranea" del modello ferroviario. Perché i suoi fondatori erano questi stessi hacker, allievi del "Club di modellazione ferroviaria". Solo che ora gli hacker, invece di miniature modellate, manovrano città reali. [6]
30 anni di insicurezza incontrollata

Come è nata la routing BGP

Verso la fine degli anni '80, a seguito dell'esplosione di dispositivi connessi a Internet, la rete si avvicinò a un rigoroso limite matematico, integrato in uno dei protocolli fondamentali di Internet. Di conseguenza, ogni conversazione tra gli ingegneri dell'epoca finiva per concentrarsi su questa problematica. Non fecero eccezione due amici: Yakov Rekhter (ingegnere di IBM) e Kirk Lockhart (fondatore di Cisco). Incontrandosi casualmente a pranzo, iniziarono a discutere misure per mantenere l'efficacia di Internet. Le idee che sorgessero venivano annotate su ciò che trovavano a disposizione, come un tovagliolo macchiato di ketchup. Poi un secondo. Poi un terzo. "Il protocollo su tre tovaglioli", come scherzavano i suoi inventori, noto ufficialmente come BGP (Border Gateway Protocol; protocollo di instradamento tra confini), rivoluzionò presto Internet. [8]
30 anni di insicurezza incontrollata

Per Rchter e Lockheed, BGP era semplicemente un hack informale, sviluppato nello spirito del già citato 'Club dei Modelli di Treni', una soluzione temporanea destinata a essere sostituita a breve. Gli amici svilupparono BGP nel 1989. Eppure oggi, dopo 30 anni, la maggior parte del traffico Internet continua a essere instradato tramite un 'protocollo su tre tovaglioli', nonostante sempre più preoccupanti segnali di problemi critici di cybersicurezza. L'hack temporaneo è diventato uno dei protocolli fondamentali di Internet, e i suoi sviluppatori hanno sperimentato di persona che 'non c'è nulla di più permanente delle soluzioni temporanee'. [8]

Le reti in tutto il mondo hanno adottato BGP. I potenti fornitori, i clienti facoltosi e le aziende di telecomunicazioni hanno rapidamente apprezzato e si sono abituati a BGP. Pertanto, nonostante i sempre più preoccupanti segnali riguardanti l'insicurezza di questo protocollo, la comunità IT non mostra entusiasmo per l'adozione di nuovi hardware più sicuri. [8]

Cyber-insicurezza del routing BGP

Qual è il motivo del grande apprezzamento per il routing BGP e perché la comunità IT non sembra intenzionata a rinunciarvi? Il BGP consente ai router di prendere decisioni su dove indirizzare enormi flussi di dati che attraversano una vasta rete di linee di connessione intersecanti. Il BGP aiuta i router a selezionare i percorsi più adeguati, nonostante la rete sia in continua evoluzione e spesso si formino congestioni nei percorsi più popolari. Il problema è che non esiste una mappa globale di routing su Internet. I router che utilizzano il BGP prendono decisioni riguardo alla scelta di un percorso basandosi sulle informazioni ricevute dai vicini nello spazio cibernetico, i quali a loro volta raccolgono informazioni dai loro vicini, e così via. Tuttavia, queste informazioni sono facilmente falsificabili, rendendo quindi il routing BGP piuttosto vulnerabile agli attacchi MiTM. [8]

Pertanto, sorgono frequentemente domande come: «Perché il traffico tra due computer a Denver ha fatto un enorme giro tramite l'Islanda?», «Perché un giorno i dati riservati del Pentagono sono stati trasmessi attraverso Pechino?». Queste domande hanno risposte tecniche, ma tutte si riducono al fatto che il funzionamento del protocollo BGP si basa sulla fiducia: sulla fiducia nei consigli ricevuti dai router vicini. A causa della natura fiduciosa del protocollo BGP, i misteriosi signori del traffico possono, se lo desiderano, deviare i flussi di dati altrui nelle loro proprietà. [8]

Un esempio reale è l'attacco BGP della Cina al Pentagono americano. Nell'aprile 2010, il colosso delle telecomunicazioni statale, China Telecom, inviò a decine di migliaia di router in tutto il mondo, inclusi 16.000 negli Stati Uniti, un messaggio BGP con indicazioni sui migliori percorsi. In assenza di un sistema che potesse convalidare la veridicità del messaggio BGP di China Telecom, i router di tutto il mondo iniziarono a inviare dati in transito attraverso Pechino. Tra questi, ci sono stati anche il traffico del Pentagono e di altri siti del Dipartimento della Difesa americano. La facilità con cui è stato deviato il traffico e l'assenza di protezioni efficaci contro questo tipo di attacchi rappresentano un ulteriore campanello d'allarme sulla sicurezza della routinizzazione BGP. [8]

Il protocollo BGP è teoricamente vulnerabile anche a cyber attacchi ancora più pericolosi. Nel caso in cui i conflitti internazionali si intensifichino nello spazio cibernetico, China Telecom o un altro gigante delle telecomunicazioni potrebbe tentare di rivendicare come proprie porzioni di Internet che in realtà non gli appartengono. Una mossa del genere confonderebbe i router, costringendoli a oscillare tra richieste concorrenti per gli stessi blocchi di indirizzi Internet. Senza la capacità di distinguere una richiesta legittima da quelle false, i router inizierebbero a comportarsi in modo caotico. Di conseguenza, ci troveremmo di fronte all'equivalente su Internet di una guerra nucleare: un'aperta manifestazione su larga scala di ostilità. Uno scenario di questo tipo sembra irrealistico in tempi di relativa pace, ma tecnicamente è del tutto possibile. [8]

Un vano tentativo di passare da BGP a BGPSEC

Nello sviluppo del BGP, la sicurezza informatica non è stata presa in considerazione, poiché le violazioni erano rare e i danni causati erano trascurabili. Gli sviluppatori del protocollo BGP, provenienti da aziende di telecomunicazioni e interessati a vendere le proprie apparecchiature di rete, avevano una questione più urgente da affrontare: evitare malfunzionamenti imprevisti di Internet. Poiché le interruzioni del servizio di Internet avrebbero potuto allontanare gli utenti e, di conseguenza, ridurre le vendite dell'apparecchiatura di rete. [8]

Dopo l'incidente del trasferimento del traffico militare americano attraverso Pechino nell'aprile 2010, i lavori per garantire la sicurezza informatica nel routing BGP sono certamente accelerati. Tuttavia, i fornitori di telecomunicazioni non sembrano mostrare grande entusiasmo nel sostenere i costi associati alla transizione al nuovo protocollo di routing sicuro BGPSEC, proposto come sostituto del BGP non sicuro. I fornitori continuano a considerare il BGP assolutamente accettabile, nonostante innumerevoli incidenti di intercettazione del traffico. [8]

Radia Perlman, conosciuta come 'madre di Internet' per l'invenzione, nel 1988 (un anno prima dell'introduzione del BGP), di un altro importante protocollo di rete, ha conseguito un dottorato presso il MIT che si è rivelato profetico. Perlman ha previsto che un protocollo di routing che dipende dall'onestà dei vicini nel cyberspazio fosse intrinsecamente insicuro. Ha sostenuto l'uso della crittografia per limitare le possibilità di falsificazione. Tuttavia, l'implementazione del BGP era già in pieno svolgimento, e l'influentante comunità IT si era abituata ad esso, non volendo apportare cambiamenti. Pertanto, nonostante le avvertenze argomentate da Perlman, Clark e alcuni altri esperti di fama mondiale, la quota relativa del routing BGP protetto dalla crittografia non è aumentata affatto e rimane al 0%. [8]

Il routing BGP non è affatto l'unico 'hack'

E infatti, la predisposizione BGP non è l'unico trucco che conferma l'idea che "non c'è niente di più permanente delle soluzioni temporanee". A volte, Internet, che ci immerge in mondi fantastici, appare tanto elegante quanto una macchina da corsa. Tuttavia, a causa dei trucchi accumulati l'uno sull'altro, Internet somiglia più a un Frankenstein che a una Ferrari. Perché questi trucchi (che vengono chiamati patch in modo più ufficiale) non vengono mai sostituiti da tecnologie affidabili. Le conseguenze di questo approccio sono disastrose: ogni giorno, ogni ora, i criminali informatici attaccano sistemi vulnerabili, espandendo la scala della criminalità informatica a livelli un tempo impensabili. [8]

Molte vulnerabilità sfruttate dai criminali informatici sono note da tempo e sono rimaste tali grazie alla tendenza della comunità IT a risolvere i problemi con soluzioni temporanee, hack o patch. A volte, a causa di questo, tecnologie obsolete si accumulano l'una sull'altra per lungo tempo, complicando la vita delle persone e mettendo a rischio la loro sicurezza. Cosa pensereste se scopriste che la vostra banca costruisce il suo sistema di sicurezza su una base di paglia e fango? Vi fidereste di affidarle i vostri risparmi? [8]
30 anni di insicurezza incontrollata

L'approccio spensierato di Linus Torvalds

Sono trascorsi anni prima che Internet collegasse i suoi primi cento computer. Oggi, ogni secondo, si connettono 100 nuovi computer e altri dispositivi. Con l'aumento esponenziale dei dispositivi connessi, crescono anche le problematiche legate alla sicurezza informatica. Eppure, la persona che potrebbe avere il maggiore impatto nella soluzione di questi problemi tende a trascurare la sicurezza informatica. Questa persona è chiamata genio, vandalo, leader spirituale e benevolo dittatore: Linus Torvalds. La stragrande maggioranza dei dispositivi connessi a Internet opera grazie al suo sistema operativo, Linux. Veloce, flessibile, libero, Linux sta diventando sempre più popolare nel tempo, comportandosi inoltre in modo molto stabile. Può funzionare per anni senza dover essere riavviato. Ecco perché Linux ha il privilegio di essere il sistema operativo dominante. Praticamente tutto l'hardware computerizzato disponibile oggi funziona utilizzando Linux: server, apparecchiature mediche, computer di bordo, droni microscopici, aerei militari e molto altro. [9]

Linux prospera principalmente perché Torvalds si concentra sulle prestazioni e sulla resilienza. Tuttavia, questa attenzione viene data a scapito della sicurezza informatica. Anche quando il cyberspazio e il mondo fisico reale si intrecciano e la sicurezza informatica diventa una questione di portata globale, Torvalds continua a opporsi all'adozione di innovazioni sicure nel suo sistema operativo. [9]

Pertanto, anche tra i numerosi sostenitori di Linux cresce l'apprensione per le vulnerabilità di questo sistema operativo. In particolare, per la sua parte più critica, il kernel, su cui Torvalds lavora personalmente. I fan di Linux osservano che Torvalds non prende sul serio le questioni di cybersecurity. Anzi, Torvalds si è circondato di sviluppatori che condividono il suo atteggiamento spensierato. Se qualcuno dei collaboratori più stretti di Torvalds inizia a parlare di introdurre innovazioni sicure, viene subito criticato. Un gruppo di tali innovatori è stato licenziato da Torvalds, che li ha definiti "scimmie che si masturbano". Nel salutare un altro gruppo di sviluppatori impegnati nella sicurezza, Torvalds ha detto: "Non avreste voglia di uccidervi? Il mondo sarebbe migliore". Ogni volta che si parla di aggiungere funzioni di sicurezza, Torvalds si è sempre opposto. [9] A tal proposito, Torvalds ha persino una filosofia intera, che non è priva di buonsenso:

«La sicurezza assoluta è irraggiungibile. Pertanto, deve sempre essere considerata solo in relazione ad altre priorità: velocità, flessibilità e facilità d'uso. Le persone che si dedicano completamente a garantire la protezione sono degli squilibrati. La loro mente è limitata, in bianco e nero. La sicurezza, di per sé, è inutile. L'essenza si trova sempre altrove. Quindi non puoi garantire la sicurezza assoluta, anche se lo desideri ardentemente. Certamente, ci sono persone che prestano più attenzione alla sicurezza di quanto faccia Torvalds. Tuttavia, queste persone semplicemente lavorano su ciò che gli interessa, e garantiscono la sicurezza all'interno di limiti ristretti che delineano queste loro interessi. Niente di più. Pertanto, non contribuiscono in alcun modo ad aumentare la sicurezza assoluta». [9]

Rottura: Con OpenSource come su una polveriera [10]

Il codice OpenSource ha risparmiato miliardi in spese di sviluppo software, eliminando la necessità di sforzi duplicati: con OpenSource, i programmatori possono usufruire delle novità più recenti senza restrizioni e costi. L'uso di OpenSource è diffuso ovunque. Anche se hai assunto uno sviluppatore per realizzare una tua specifica esigenza "da zero", è probabile che questo sviluppatore utilizzi qualche libreria OpenSource. E sicuramente non solo una. Di conseguenza, gli elementi OpenSource sono praticamente presenti ovunque. Tuttavia, è importante comprendere che nessun software è statico, il suo codice cambia costantemente. Pertanto, il principio "pubblica e dimentica" non funziona mai per il codice. Questo vale anche per il codice OpenSource: prima o poi, sarà necessaria una versione aggiornata.

Nel 2016 abbiamo visto le conseguenze di questa situazione: un sviluppatore di 28 anni ha temporaneamente "rotto" Internet rimuovendo il suo codice OpenSource, che era stato reso pubblico in precedenza. Questa storia indica che la nostra infrastruttura cibernetica è molto fragile. Alcune persone, su cui si basano i progetti OpenSource, sono così importanti per il suo mantenimento che, se per sfortuna venissero investite da un autobus, Internet potrebbe collassare.

Il codice difficile da mantenere è proprio dove si annidano le più gravi vulnerabilità della cybersecurity. Alcune aziende non si rendono nemmeno conto di quanto siano vulnerabili a causa del codice difficile da mantenere. Le vulnerabilità associate a questo codice possono svilupparsi lentamente in un problema reale: i sistemi marciscono lentamente, senza mostrare fallimenti visibili durante questo processo di decomposizione. E quando alla fine si guastano, le conseguenze possono essere disastrose.

Infine, poiché i progetti OpenSource sono spesso sviluppati da comunità di appassionati, come Linus Torvalds o i hacker del «Club di modellazione ferroviaria» menzionati all'inizio dell'articolo, i problemi di codice difficile da mantenere non possono essere risolti con i metodi tradizionali (utilizzando leve commerciali e governative). Questo perché i membri di tali comunità sono testardi e apprezzano la loro indipendenza sopra ogni cosa.

Nota: Forse ci proteggeranno i servizi segreti e gli sviluppatori di antivirus?

Nel 2013 è emerso che presso la «Laboratorio Kaspersky» esiste un'unità speciale che conduce indagini su richiesta riguardanti incidenti di sicurezza informatica. Fino a poco tempo fa, questo dipartimento era guidato dall'ex maggiore di polizia, Ruslan Stoyanov, che in precedenza lavorava presso la Direzione ‘K’ (USTM GUVD di Mosca). Tutti i membri di questa unità speciale del «Laboratorio Kaspersky» provengono dalle forze dell'ordine, inclusi il Comitato Investigativo e la Direzione ‘K’. [11]

Alla fine del 2016, il FSB ha arrestato Ruslan Stoyanov e gli ha mosso l'accusa di tradimento. Nello stesso caso è stato arrestato Sergey Mikhaylov, un alto funzionario del CIB FSB (Centro per la Sicurezza Informatica), che fino all'arresto gestiva tutta la cybersicurezza del paese. [11]

Ritaglio: La cybersicurezza in modo coercitivo

Presto, i datori di lavoro russi saranno costretti a prestare attenzione alla cybersecurity. Nel gennaio 2017, Nikolai Murashov, rappresentante del Centro per la protezione delle informazioni e delle comunicazioni speciali, dichiarò che nel 2016 solo gli oggetti della CII (infrastruttura informativa critica) in Russia erano stati attaccati oltre 70 milioni di volte. Gli oggetti CII comprendono i sistemi informativi degli enti governativi, delle industrie della difesa, dei trasporti, del settore finanziario, dell'energia, dell'industria petrolifera e nucleare. Per la loro protezione, il 26 luglio il presidente russo Vladimir Putin ha firmato un pacchetto di leggi sulla "sicurezza della CII". Entro il 1 gennaio 2018, data di entrata in vigore della legge, i proprietari degli oggetti CII devono attuare un insieme di misure per proteggere la propria infrastruttura dagli attacchi hacker, in particolare collegandosi al ГосСОПКА. [12]

Bibliografia

  1. Jonathan Millet. IoT: L'importanza di proteggere i tuoi dispositivi intelligenti // 2017.
  2. Ross Anderson. Come i sistemi di pagamento con smart card falliscono // Black Hat. 2014.
  3. S.J. Murdoch. Chip e PIN sono rotti // Atti del Simposio IEEE sulla Sicurezza e la Privacy. 2010. pp. 433-446.
  4. David Talbot. I virus informatici sono "rampanti" nei dispositivi medici negli ospedali // MIT Technology Review (Digital). 2012.
  5. Craig Timberg. Rete di insicurezza: un flusso nel design // The Washington Post. 2015.
  6. Michael Lista. Era un hacker adolescente che spendeva i suoi milioni in auto, vestiti e orologi, finché l'FBI non lo ha scoperto. // Toronto Life. 2018.
  7. Craig Timberg. Rete d'Insecurezza: Un disastro preannunciato - e ignorato // The Washington Post. 2015.
  8. Craig Timberg. La lunga vita di un 'rimedio' rapido: il protocollo Internet del 1989 rende i dati vulnerabili agli hacker // The Washington Post. 2015.
  9. Craig Timberg. Rete d'Insecurezza: Il nocciolo della questione // The Washington Post. 2015.
  10. Joshua Gans. Il codice open-source potrebbe realizzare finalmente le nostre paure per il Y2K? // Harvard Business Review (Digital). 2017.
  11. Top manager di Kaspersky arrestato dall'FSB // CNews. 2017. URL.
  12. Maria Kolomychenko. Cyber-agency: Sberbank ha proposto di creare un comando per combattere gli hacker // РБК. 2017.

Fonte: habr.com

Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server 🔥 Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server | ProHoster