サイバースペースの野生の森の秩序ある「黒い帽子」がその汚い仕事で特に成功していることが判明すると、黄色のメディアは歓喜の声を上げます。 その結果、世界はサイバーセキュリティをより真剣に検討し始めています。 しかし、残念ながらすぐにはそうではありません。 したがって、壊滅的なサイバーインシデントの数が増加しているにもかかわらず、世界はまだ積極的な事前対策を講じる機が熟していません。 しかし、近い将来、「ブラックハット」のおかげで、世界がサイバーセキュリティを真剣に受け止め始めることが予想されます。 [7]

火災と同じくらい深刻です...かつて都市は壊滅的な火災に対して非常に脆弱でした。 しかし、潜在的な危険にもかかわらず、何百人もの命が奪われ、数十万人が避難した1871年のシカゴの大火災の後でも、積極的な保護措置は講じられませんでした。 積極的な保護措置が講じられたのは、7年後に同様の災害が再び発生した後だった。 サイバーセキュリティについても同様です。壊滅的な事件が起こらない限り、世界はこの問題を解決しません。 しかし、たとえこのような事件が起こっても、世の中がすぐにこの問題を解決するわけではありません。 [2018] したがって、「バグが発生するまではパッチは当てられない」という格言も完全には機能しません。 30 年に、蔓延する治安不安の XNUMX 年を祝ったのはそのためです。

叙情的な余談

この記事の冒頭は、私がもともと System Administrator 誌用に書いたものですが、ある意味で予言的であることが判明しました。 この記事が掲載された雑誌の発行 出てきた 文字通り連日、ケメロヴォ・ショッピングセンター「ウィンター・チェリー」で起きた悲劇的な火災（2018年20月XNUMX日）。

30 分でインターネットをインストール

1988 年に遡ると、伝説的なハッカー銀河 L0pht は、西側の最も影響力のある当局者の会議の前で力強く演説し、次のように宣言しました。 そしてソフトウェア、ハードウェア、そして通信。 ベンダーはこの状況をまったく懸念していません。 なぜなら、現代の法律では、製造されたソフトウェアやハードウェアのサイバーセキュリティを確保するための過失に対する責任は規定されていないからです。 潜在的な障害 (自然発生的であるか、サイバー犯罪者の介入によって引き起こされたものであるかにかかわらず) に対する責任は、機器のユーザーのみにあります。 連邦政府には、この問題を解決する能力も意欲もありません。 したがって、サイバーセキュリティを探している場合、インターネットはそれを見つける場所ではありません。 あなたの前に座っている 30 人はそれぞれ、インターネットを完全に破壊することができ、それに応じて、インターネットに接続されている機器を完全に制御することができます。 自分で。 振り付けされたキーストロークを 7 分間行えば完了です。」 [XNUMX]

当局者らは意味深にうなずき、事態の深刻さは理解しているが何もしなかったことを明らかにした。 L30pht の伝説的なパフォーマンスからちょうど 0 年が経った今日、世界は依然として「蔓延する不安」に悩まされています。 コンピュータ化され、インターネットに接続された機器をハッキングするのは非常に簡単なので、当初は理想主義的な科学者や愛好家の王国だったインターネットは、徐々に最も現実的な専門家、つまり詐欺師、詐欺師、スパイ、テロリストによって占領されてしまいました。 これらはすべて、コンピュータ化された機器の脆弱性を悪用して、金銭的またはその他の利益を狙っています。 [7]

ベンダーはサイバーセキュリティを軽視している

もちろん、ベンダーは特定された脆弱性の一部を修正しようとすることがありますが、非常に消極的です。 なぜなら、彼らの利益はハッカーからの保護からではなく、消費者に提供する新しい機能から来ているからです。 ベンダーは短期的な利益のみに焦点を当てているため、仮想の問題ではなく実際の問題を解決することだけに資金を投資します。 彼らの多くにとって、サイバーセキュリティは仮説上のものです。 [7]

サイバーセキュリティは目に見えず、無形のものです。 それは問題が起こったときに初めて具体的になります。 彼らがそれを大切に扱い（その提供に多額の費用を費やし）、それに問題がなければ、最終消費者はそれに過剰なお金を払いたくないでしょう。 さらに、財務コストの増加に加えて、保護手段の実装には追加の開発時間が必要となり、機器の機能を制限する必要があり、生産性の低下につながります。 [8]

最終消費者は言うまでもなく、記載されたコストの実現可能性について自社のマーケティング担当者さえも納得させるのは困難です。 そして、現代のベンダーは短期的な販売利益のみに興味があるため、自社の製品のサイバーセキュリティを確保する責任を負うつもりはまったくありません。 [1] 一方、機器のサイバーセキュリティに配慮している慎重なベンダーは、企業消費者がより安価で使いやすい代替品を好むという事実に直面しています。 それ。 企業消費者もサイバーセキュリティをあまり気にしていないことは明らかです。 [8]

上記を考慮すると、ベンダーがサイバーセキュリティを軽視し、次の哲学に固執する傾向があるのは驚くべきことではありません。「構築し続け、販売し続け、必要に応じてパッチを適用する。 システムがクラッシュしましたか? 情報を紛失しましたか? クレジット カード番号のデータベースが盗まれましたか? あなたの機器には致命的な脆弱性が確認されていますか? 問題ない！" 一方、消費者は「パッチを当てて祈る」という原則に従う必要があります。 [7]

これがどのように起こるか: 野生の例

開発中にサイバーセキュリティが軽視された顕著な例は、Microsoft の企業インセンティブ プログラムです。 イノベーションのリリースを期限までに提出する時間がない場合、そのイノベーションは実装されません。 これが実施されなければ、会社の株式 (マイクロソフトの利益のパイの一部) を受け取ることができなくなります。」 1993 年以来、Microsoft は自社製品をインターネットに積極的にリンクし始めました。 この取り組みは同じ動機付けプログラムに沿って機能したため、防御側が追いつくよりも早く機能が拡張されました。 現実的な脆弱性ハンターにとっては嬉しいことですが... [7]

もう 1 つの例は、コンピュータやラップトップの状況です。これらには、ウイルス対策ソフトウェアがプリインストールされていません。 また、強力なパスワードのプリセットも提供されていません。 エンド ユーザーがウイルス対策ソフトウェアをインストールし、セキュリティ構成パラメータを設定することを想定しています。 [XNUMX]

もう 2 つのより極端な例は、小売機器 (レジ、ショッピング センターの PoS 端末など) のサイバーセキュリティの状況です。 たまたま、業務用機器のベンダーは、安全なものではなく、販売されているものだけを販売しています。 [3] 商用機器ベンダーがサイバーセキュリティに関して気を配っていることが XNUMX つあるとすれば、それは、物議を醸すインシデントが発生した場合に、その責任が他のベンダーに負うことを確実にすることです。 [XNUMX]

このような出来事の進展を示す例としては、銀行カードの EMV 標準の普及が挙げられます。これは、銀行のマーケティング担当者の有能な仕事のおかげで、技術的に洗練されていない一般の人々の目には、「時代遅れ」のより安全な代替品として映っています。磁気カード。 同時に、EMV規格の開発を担当した銀行業界の主な動機は、（カード会社の過失によって発生した）不正事件の責任を店舗から消費者に移すことであった。 以前 (磁気カードで支払いが行われていたとき) は、デビット/クレジットの不一致に対する財務責任は店舗にありました。 [3] したがって、 支払いを処理する銀行は、販売者 (リモート バンキング システムを使用する) または支払いカードを発行する銀行に責任を移します。 後者の 2 つは、順番に責任をカード所有者に移します。 [XNUMX]

ベンダーがサイバーセキュリティを妨害している

インターネットに接続されたデバイスの爆発的な増加により、デジタル攻撃対象領域が容赦なく拡大するにつれ、企業ネットワークに何が接続されているかを追跡することがますます困難になっています。 同時に、ベンダーは、インターネットに接続されているすべての機器の安全性に関する懸念をエンド ユーザーに移し、「溺れている人の救助は溺れている人自身の仕事である」と主張します [1]。

ベンダーは自社の製品のサイバーセキュリティを考慮していないだけでなく、場合によってはその提供を妨害することもあります。 たとえば、2009 年に Conficker ネットワーク ワームがベス イスラエル メディカル センターに侵入し、医療機器の一部に感染したとき、このメディカル センターの技術責任者は、今後同様の事件が発生するのを防ぐために、ネットワーク ワームを無効にすることを決定しました。ネットワークを介してワームの影響を受けた機器の運用支援機能を提供します。 しかし、「法規制により機器の更新ができない」という現実に直面した。 ネットワーク機能を無効にするためにベンダーと交渉するのにはかなりの労力がかかりました。 [4]

インターネットの根本的なサイバーセキュリティ上の不安

その天才性から「アルバス・ダンブルドア」というあだ名が付けられた伝説的な MIT 教授、デビッド・クラークは、インターネットの暗い側面が世界に明らかになった日のことを覚えています。 1988 年 5 月、史上初のコンピューター ワームがネットワーク ワイヤをすり抜けたというニュースが流れたとき、クラーク氏は電気通信カンファレンスの議長を務めていました。 クラーク氏はこのときのことを思い出しました。なぜなら、彼の会議に出席していた講演者 (大手通信会社の XNUMX 社の従業員) が、このワームの蔓延の責任を問われていたからです。 この講演者は、感情の高ぶりで、思わずこう言いました。「どうぞ！」 この脆弱性は解決できたようです」と彼はこの言葉の代償を払った。 [XNUMX]

しかし、後に、言及されたワームが蔓延した脆弱性は、個人の利益ではないことが判明しました。 そして、厳密に言えば、これは脆弱性ですらなく、インターネットの基本的な機能でした。インターネットの創始者は、自らの発案で開発する際に、データ転送速度と耐障害性のみに重点を置いていました。 彼らはサイバーセキュリティを確保するという任務を自分たちに課したわけではありません。 [5]

インターネットの創設から数十年が経った今日、すでに数千億ドルがサイバーセキュリティの無駄な試みに費やされており、インターネットも同様に脆弱です。 サイバーセキュリティの問題は年々悪化するばかりです。 しかし、このことでインターネットの創始者を非難する権利は私たちにあるのでしょうか? 結局のところ、たとえば、事故が「彼らの道路」で起こっているという事実を理由に高速道路の建設者を非難する人は誰もいないでしょう。 そして、「自分たちの都市」で強盗が起こっているという事実を理由に都市計画者を非難する人はいないだろう。 [5]

ハッカーのサブカルチャーはどのようにして生まれたのか

ハッカーのサブカルチャーは、1960 年代初頭の「鉄道技術モデリング クラブ」（マサチューセッツ工科大学の壁内で活動）で始まりました。 クラブの愛好家たちは、部屋全体を埋め尽くすほど巨大な鉄道模型を設計して組み立てました。 クラブ会員は自発的に、平和構築者とシステム専門家という 6 つのグループに分かれました。 [XNUMX]

6 つ目はモデルの地上部分を使用し、XNUMX つ目は地下を使用しました。 最初のものは、電車や都市のモデルを収集して装飾しました。彼らは、全世界をミニチュアでモデル化しました。 後者は、このすべての和平交渉のための技術サポートに取り組みました。モデルの地下部分に配置された複雑なワイヤー、リレー、座標スイッチなど、「地上」部分を制御しエネルギーを供給するすべてのものでした。 [XNUMX]

交通問題が発生し、誰かがそれを解決するための新しく独創的な解決策を思いついたとき、その解決策は「ハック」と呼ばれました。 クラブ会員にとって、新しいハックを探すことは人生の本質的な意味となっています。 だからこそ彼らは自分たちを「ハッカー」と呼び始めたのです。 [6]

第一世代のハッカーは、シミュレーション鉄道クラブで習得したスキルを、パンチカードにコンピューター プログラムを書くことで実装しました。 その後、1969 年に ARPANET (インターネットの前身) がキャンパスに到着すると、ハッカーがその最も活発で熟練したユーザーになりました。 [6]

数十年が経った今、現代のインターネットは鉄道模型のまさに「地下」部分に似ています。 それは、その創設者が同じハッカーであり、「鉄道シミュレーション クラブ」の生徒だったからです。 現在、シミュレートされたミニチュアではなく実際の都市を運営しているのはハッカーだけです。 [6]

BGP ルーティングの誕生の経緯

80 年代の終わりまでに、インターネットに接続されるデバイスの数が雪崩のように増加した結果、インターネットは基本的なインターネット プロトコルの 8 つに組み込まれている数学的な厳しい限界に近づきました。 したがって、当時の技術者間の会話は最終的にこの問題に関する議論になりました。 XNUMX 人の友人も例外ではありませんでした。ジェイコブ・レヒター (IBM のエンジニア) とカーク・ロッキード (シスコの創設者) です。 夕食の席で偶然会った彼らは、インターネットの機能を維持するための方策について話し合い始めました。 友人たちは、ケチャップのついたナプキンなど、手元にあるものに思いついたアイデアを書き留めました。 それから XNUMX つ目。 それからXNUMX番目。 発明者らが冗談めかして呼んだ「スリー ナプキン プロトコル」 (公式界隈では BGP (ボーダー ゲートウェイ プロトコル) として知られている) は、すぐにインターネットに革命をもたらしました。 [XNUMX]

レヒター社とロッキード社にとって、BGP は単なるカジュアルなハッキングであり、前述の鉄道模型クラブの精神に基づいて開発されたもので、すぐに置き換えられる一時的なソリューションでした。 仲間たちは 1989 年に BGP を開発しました。 しかし、30 年が経過した現在でも、サイバーセキュリティに関する重大な問題について憂慮すべき声が高まっているにもかかわらず、インターネット トラフィックの大部分は依然として「スリー ナプキン プロトコル」を使用してルーティングされています。 一時的なハッキングは基本的なインターネット プロトコルの 8 つとなり、その開発者は自身の経験から「一時的な解決策ほど永続的なものはない」ことを学びました。 [XNUMX]

世界中のネットワークが BGP に切り替わりました。 影響力のあるベンダー、裕福な顧客、通信会社はすぐに BGP に夢中になり、慣れてきました。 したがって、このプロトコルの安全性の低さについての警鐘がますます高まっているにもかかわらず、IT 関係者は依然として、より安全な新しい機器への移行に熱意を示していません。 [8]

サイバー的に安全でない BGP ルーティング

BGP ルーティングがこれほど優れているのはなぜですか?また、IT コミュニティが急いで BGP ルーティングを放棄しないのはなぜですか? BGP は、ルーターが、交差する通信回線からなる巨大なネットワークを介して送信される膨大なデータ ストリームをどこにルーティングするかを決定するのに役立ちます。 BGP は、ネットワークが常に変化し、人気のあるルートでトラフィック渋滞が発生することが多い場合でも、ルーターが適切なパスを選択するのに役立ちます。 問題は、インターネットにはグローバル ルーティング マップがないことです。 BGP を使用するルーターは、サイバースペース内の近隣から受信した情報に基づいて、どちらかのパスを選択するかどうかを決定し、ルーターは近隣から情報を収集します。 ただし、この情報は簡単に改ざんできるため、BGP ルーティングは MiTM 攻撃に対して非常に脆弱です。 [8]

したがって、次のような疑問が定期的に生じます。「なぜデンバーの 8 台のコンピュータ間のトラフィックは、アイスランドを経由する大回りをしたのか?」、「なぜかつて国防総省の機密データが北京を経由して転送されたのか?」 このような質問に対する技術的な答えはありますが、結局のところ、BGP は信頼に基づいて機能するという事実、つまり、隣接ルーターから受信した推奨事項に対する信頼に帰着します。 BGP プロトコルの信頼性のおかげで、謎のトラフィック支配者は、望むなら他の人のデータ フローを自分のドメインに誘い込むことができます。 [XNUMX]

生きた例は、アメリカ国防総省に対する中国の BGP 攻撃です。 2010 年 16 月、国営通信大手チャイナ テレコムは、米国の 8 台を含む数万台のルーターに、より良いルートがあることを伝える BGP メッセージを世界中に送信しました。 China Telecom からの BGP メッセージの正当性を検証できるシステムがなかったため、世界中のルーターが北京経由でデータを送信し始めました。 国防総省および米国国防総省の他のサイトからのトラフィックが含まれます。 トラフィックの再ルーティングが容易であることと、この種の攻撃に対する効果的な保護が欠如していることも、BGP ルーティングの安全性が低いことを示しています。 [XNUMX]

BGP プロトコルは理論的には、さらに危険なサイバー攻撃に対して脆弱です。 国際紛争がサイバー空間で本格的に激化した場合、チャイナテレコムや他の通信大手が、実際には自社に属していないインターネット部分の所有権を主張しようとする可能性がある。 このような動きはルーターを混乱させ、インターネット アドレスの同じブロックに対する競合する入札間を行き来する必要があるでしょう。 正規のアプリケーションと偽のアプリケーションを区別する機能がなければ、ルーターは異常な動作を開始します。 その結果、私たちはインターネットで核戦争に相当する、公然と大規模な敵意の表明に直面することになります。 比較的平和な時代にそのような発展は非現実的に思えますが、技術的には十分に実現可能です。 [8]

BGP から BGPSEC に移行しようとする無駄な試み

BGP が開発されたとき、サイバーセキュリティは考慮されていませんでした。当時はハッキングはまれであり、ハッキングによる被害はごくわずかだったからです。 BGP の開発者は、電気通信会社に勤務しており、ネットワーク機器の販売に興味があったため、インターネットの自然故障を回避するという、より差し迫った課題を抱えていました。 インターネットが中断されるとユーザーが離れ、ネットワーク機器の売上が減少する可能性があるためです。 [8]

2010 年 8 月に北京を通過する米軍トラフィックの送信事件の後、BGP ルーティングのサイバーセキュリティを確保するための作業のペースは確実に加速しました。 しかし、通信ベンダーは、安全でない BGP の代替として提案された新しい安全なルーティング プロトコル BGPSEC への移行に関連するコストを負担することにほとんど積極的ではありません。 トラフィック傍受が無数にあったにもかかわらず、ベンダーは依然として BGP を十分に許容できると考えています。 [XNUMX]

1988 年 (BGP の 0 年前) に別の主要なネットワーク プロトコルを発明し、「インターネットの母」と呼ばれたラディア パールマンは、MIT で予言的な博士論文を取得しました。 パールマン氏は、サイバースペース内の隣人の誠実さに依存するルーティング プロトコルは根本的に安全ではないと予測しました。 パールマンは、偽造の可能性を制限するのに役立つ暗号の使用を提唱しました。 しかし、BGP の実装はすでに本格化しており、影響力のある IT コミュニティはそれに慣れており、何も変更することを望んでいませんでした。 したがって、パールマン、クラーク、その他の世界の著名な専門家による論理的な警告の後でも、暗号的に安全な BGP ルーティングの相対シェアはまったく増加しておらず、依然として 8% です。 [XNUMX]

BGP ルーティングだけがハッキングではありません

そして、「一時的な解決策ほど永続的なものはない」という考えを裏付けるハッキングは BGP ルーティングだけではありません。 私たちをファンタジーの世界に浸らせてくれるインターネットは、レーシングカーのようにエレガントに見えることがあります。 しかし実際には、ハッキングが重なり合ったために、インターネットはフェラーリというよりフランケンシュタインに似ています。 なぜなら、これらのハッキング（より正式にはパッチと呼ばれます）は、信頼できるテクノロジーに置き換えられることは決してないからです。 このアプローチの結果は悲惨です。毎日、毎時間、サイバー犯罪者が脆弱なシステムをハッキングし、サイバー犯罪の範囲が以前は想像もできなかった規模に拡大しています。 [8]

サイバー犯罪者によって悪用される欠陥の多くは長い間知られており、一時的なハッキングやパッ​​チによって新たな問題を解決しようとする IT コミュニティの傾向によってのみ保存されてきました。 このため、時代遅れのテクノロジーが長期間にわたって重なり合い、人々の生活を困難にし、危険にさらすことがあります。 もしあなたの銀行がわらと泥の基礎の上に金庫を建てていると知ったらどう思いますか? 彼があなたの貯金を守ってくれると信じますか? [8]

ライナス・トーバルズの屈託のない態度

インターネットが最初の 100 台のコンピュータに普及するまでには何年もかかりました。 現在、毎秒 9 台の新しいコンピューターやその他のデバイスが接続されています。 インターネットに接続されたデバイスが爆発的に増加するにつれて、サイバーセキュリティの問題の緊急性も高まっています。 しかし、これらの問題の解決に最も大きな影響を与えることができるのは、サイバーセキュリティを軽視している人です。 この男は、天才、いじめっ子、精神的指導者、慈悲深い独裁者などと呼ばれてきました。 ライナス・トーバルズ。 インターネットに接続されているデバイスの大部分は、オペレーティング システムである Linux を実行しています。 高速、柔軟、無料 - Linux は時間の経過とともにますます人気が高まっています。 同時に、非常に安定した動作をします。 また、何年もの間、再起動せずに動作することができます。 これが、Linux が主要なオペレーティング システムとしての名誉を与えられている理由です。 現在私たちが利用できるほぼすべてのコンピューター機器 (サーバー、医療機器、フライト コンピューター、小型ドローン、軍用機など) は Linux を実行しています。 [XNUMX]

Linux が成功したのは主に Torvalds がパフォーマンスと耐障害性を重視したためです。 しかし、同氏はサイバーセキュリティを犠牲にしてこれを重視している。 サイバー空間と現実の物理世界が絡み合い、サイバーセキュリティが世界的な問題となっているにもかかわらず、トーバルズ氏は自社のオペレーティング システムに安全なイノベーションを導入することに抵抗し続けています。 [9]

そのため、多くの Linux ファンの間でも、このオペレーティング システムの脆弱性に対する懸念が高まっています。 特に、Linux の最も親密な部分であるカーネルは、Torvalds が個人的に取り組んでいます。 Linux ファンは、Torvalds 氏がサイバーセキュリティの問題を真剣に考えていないことを理解しています。 さらに、トーバルズ氏は、この気楽な姿勢を共有する開発者たちに囲まれています。 トーバルズ氏の側近の誰かが安全なイノベーションの導入について話し始めると、彼はすぐに嫌悪感を抱く。 トーバルズ氏は、そのような革新者の一グループを「自慰行為をする猿」と呼んで解雇した。 トーバルズ氏は、セキュリティを重視する別の開発者グループに別れを告げるとき、こう言いました。 そのおかげで世界はより良い場所になるでしょう。」 セキュリティ機能の追加に関しては、トーバルズ氏は常に反対していました。 [9] トーバルズはこの点に関して完全な哲学を持っていますが、これには一片の常識も含まれています。

「絶対的な安全は達成できません。 したがって、速度、柔軟性、使いやすさなどの他の優先事項との関連でのみ考慮する必要があります。 身を守ることに専念する人は頭がおかしい。 彼らの思考は限られており、白黒はっきりしています。 セキュリティ自体は役に立ちません。 本質は常に別の場所にあります。 したがって、たとえ本当に安全性を確保したくても、絶対的な安全性を確保することはできません。 もちろん、トーバルズ氏よりも安全性を重視する人もいます。 しかし、彼らは単に自分たちの興味のあることに取り組んでおり、それらの利益を区切る狭い相対的な枠組みの中でセキュリティを提供しているだけです。 もうない。 したがって、それらは絶対的な安全性の向上には決して貢献しません。」 [9]

補足: オープンソースは火薬庫のようなものです [10]

オープンソース コードにより、ソフトウェア開発コストが数十億ドル節約され、重複した作業が不要になりました。オープンソースを使用すると、プログラマーは制限や支払いなしで最新のイノベーションを使用する機会が得られます。 オープンソースはあらゆる場所で使用されています。 専門的な問題を一から解決するためにソフトウェア開発者を雇ったとしても、この開発者はおそらく何らかのオープンソース ライブラリを使用するでしょう。 そしておそらく複数です。 したがって、オープンソース要素はほぼどこにでも存在します。 同時に、静的なソフトウェアはなく、コードは常に変化していることを理解する必要があります。 したがって、「設定したら忘れる」という原則はコードには決して機能しません。 オープンソース コードを含める: 遅かれ早かれ、更新されたバージョンが必要になります。

2016 年、私たちはこの状況の影響を目の当たりにしました。28 歳の開発者が、以前に公開していたオープンソース コードを削除することで、インターネットを一時的に「破壊」しました。 この話は、私たちのサイバーインフラが非常に脆弱であることを指摘しています。 オープンソース プロジェクトをサポートしている人の中には、その維持が非常に重要であるため、もしバスに轢かれたらインターネットが壊れてしまうほどです。

保守が難しいコードには、最も深刻なサイバーセキュリティの脆弱性が潜んでいます。 一部の企業は、保守が難しいコードのせいで自社がどれほど脆弱であるかさえ認識していません。 このようなコードに関連する脆弱性は、非常にゆっくりと実際の問題に発展する可能性があります。つまり、システムは、腐敗の過程で目に見える障害を示さずに、ゆっくりと腐敗していきます。 そして、それらが失敗した場合、その結果は致命的になります。

最後に、オープンソース プロジェクトは通常、リーナス トーバルズや記事の冒頭で述べた鉄道模型クラブのハッカーのような愛好家のコミュニティによって開発されるため、保守が難しいコードの問題は従来の方法 (商業および政府のレバー）。 なぜなら、そのようなコミュニティのメンバーは意志が強く、何よりも自分たちの独立性を重視しているからです。

補足: 諜報機関やウイルス対策開発者が私たちを守ってくれるかもしれません?

2013 年、Kaspersky Lab に情報セキュリティ インシデントのカスタム調査を実行する特別部隊が存在したことが知られるようになりました。 最近まで、この部門の責任者は元警察少佐のルスラン・ストヤノフ氏で、彼は以前首都の「K」部門（モスクワ主要内務総局のUSTM）に勤務していた。 カスペルスキーのこの特別部門の従業員は全員、捜査委員会や総局「K」などの法執行機関の出身です。 [十一]

2016年末、FSBはルスラン・ストヤノフを逮捕し、反逆罪で起訴した。 同じ事件で、FSB CIB（情報セキュリティセンター）の高位代表であるセルゲイ・ミハイロフが逮捕されたが、逮捕前はこの国のサイバーセキュリティ全体がミハイロフに拘束されていた。 [十一]

サイドバー: サイバーセキュリティの強化

間もなく、ロシアの起業家はサイバーセキュリティに真剣な注意を払わなければならないだろう。 2017年2016月、情報保護・特殊通信センターの代表ニコライ・ムラショフ氏は、ロシアでは70年にCIIオブジェクト（重要情報インフラ）だけでも26万回以上攻撃されたと述べた。 CII オブジェクトには、政府機関、防衛産業企業、運輸、信用および金融部門、エネルギー、燃料および原子力産業の情報システムが含まれます。 彼らを保護するために、1月2018日、ロシアのウラジーミル・プーチン大統領は「CIIの安全に関する」一連の法律に署名した。 この法律が発効する 12 年 XNUMX 月 XNUMX 日までに、CII 施設の所有者はインフラストラクチャ、特に GosSOPKA への接続をハッカー攻撃から保護するための一連の対策を講じる必要があります。 [XNUMX]

参考文献

1. ジョナサン・ミレット。 IoT: スマートデバイスを保護することの重要性 // 2017。
2. ロス・アンダーソン。 スマートカード決済システムが失敗する仕組み // Black Hat。 2014年。
3. S・J・マードック。 チップと PIN が壊れています // セキュリティとプライバシーに関する IEEE シンポジウムの議事録。 2010. pp. 433-446。
4. デビッド・タルボット。 病院の医療機器でコンピュータウイルスが「蔓延」 // MIT テクノロジー レビュー (デジタル)。 2012年。
5. クレイグ・ティンバーグ。 不安の網: 設計の流れ // ワシントン・ポスト紙。 2015年。
6. マイケル・リスタ。 彼は XNUMX 代のハッカーで、FBI に摘発されるまで、車、衣服、時計に何百万ドルも費やしていました。 // トロントの生活。 2018年。
7. クレイグ・ティンバーグ。 不安の網: 予言されながらも無視された災害 // ワシントン・ポスト紙。 2015年。
8. クレイグ・ティンバーグ。 簡単な「修正」の長寿命: 1989 年のインターネット プロトコルでは、データがハイジャッカーに対して脆弱なままになっています // ワシントン・ポスト紙。 2015年。
9. クレイグ・ティンバーグ。 不安の網: 議論の核心 // ワシントン・ポスト紙。 2015年。
10. ジョシュア・ガンズ。 オープンソース コードは Y2K への懸念をついに現実にする可能性があるでしょうか? // ハーバード ビジネス レビュー (デジタル)。 2017年。
11. カスペルスキーのトップマネージャーがFSBに逮捕される //Cニュース。 2017. URL。
12. マリア・コロミチェンコ。 サイバー諜報機関：ズベルバンクはハッカーと戦うための本部の創設を提案 // 赤血球。 2017年。

出所： habr.com