ProHoster > Блог > Administrasi > mengeti 30 taun saka rampant insecurity

mengeti 30 taun saka rampant insecurity

Nalika "topi ireng" - minangka panguwasa ing alas alam maya - dadi luwih sukses ing karya sing reged, media kuning squeal kanthi bungah. Akibaté, jagad iki wiwit katon luwih serius babagan keamanan siber. Nanging sayangé ora langsung. Mula, sanajan kedadeyan cyber catastrophic saya tambah akeh, jagad iki durung mateng kanggo langkah-langkah proaktif sing aktif. Nanging, samesthine ing mangsa ngarep, amarga "topi ireng", jagad bakal mulai serius babagan cybersecurity. [7]

mengeti 30 taun saka rampant insecurity

Kaya serius kaya kobongan ... Kutha-kutha biyen rentan banget kanggo kebakaran bencana. Nanging, senadyan bebaya potensial, langkah-langkah perlindungan proaktif ora ditindakake - sanajan sawise kobongan raksasa ing Chicago ing taun 1871, sing nyebabake atusan nyawa lan ngungsi atusan ewu wong. Langkah-langkah proteksi proaktif ditindakake mung sawise bencana sing padha kedadeyan maneh, telung taun sabanjure. Iku padha karo cybersecurity - donya ora bakal ngrampungake masalah iki kajaba ana kedadean catastrophic. Nanging sanajan kedadeyan kaya ngono, jagad ora bakal ngrampungake masalah kasebut langsung. [7] Mula, sanajan ujar: "Nganti ana bug, wong ora bakal ditambal," ora bisa ditindakake. Pramila ing 2018 kita ngrayakake 30 taun rasa ora aman.


Pengurangan lyrical

Wiwitane artikel iki, sing asline daktulis kanggo majalah Administrator Sistem, ternyata dadi sunnat. Terbitan majalah karo artikel iki banjur metu secara harfiah saben dina karo geni tragis ing pusat blanja Kemerovo "Winter Cherry" (2018, 20 Maret).
mengeti 30 taun saka rampant insecurity

Instal Internet ing 30 menit

Mbalik ing taun 1988, galaksi peretas legendaris L0pht, ngandika kanthi lengkap sadurunge rapat para pejabat Barat sing paling berpengaruh, nyatakake: "Peralatan komputer sampeyan rentan marang serangan cyber saka Internet. Lan piranti lunak, lan hardware, lan telekomunikasi. Bakul-bakul dheweke ora kuwatir babagan kahanan iki. Amarga undang-undang modern ora menehi tanggung jawab kanggo pendekatan sing ora sopan kanggo njamin keamanan siber piranti lunak lan hardware sing diprodhuksi. Tanggung jawab kanggo kegagalan potensial (apa sing spontan utawa disebabake dening intervensi cybercriminals) mung ana ing pangguna piranti kasebut. Kanggo pamrentah federal, ora duwe katrampilan utawa kepinginan kanggo ngatasi masalah iki. Mula, yen sampeyan nggoleki keamanan siber, mula Internet dudu papan kanggo nemokake. Saben wong pitu sing lungguh ing ngarep sampeyan bisa ngilangi Internet lan, kanthi mangkono, entuk kontrol lengkap babagan peralatan sing disambungake. Dening dhewe. 30 menit saka keystrokes koreografi lan wis rampung. [7]

mengeti 30 taun saka rampant insecurity

Para pejabat manthuk-manthuk kanthi teges, mratelakake yen dheweke ngerti seriuse kahanan kasebut, nanging ora nindakake apa-apa. Dina iki, persis 30 taun sawise kinerja legendaris L0pht, donya isih diganggu dening "rampant insecurity." Hacking komputerisasi, peralatan sing nyambung menyang Internet gampang banget, mula Internet, wiwitane minangka kerajaan ilmuwan lan penggemar idealis, mboko sithik dikuwasani dening para profesional sing paling pragmatis: scammers, penipu, mata-mata, teroris. Kabeh mau ngeksploitasi kerentanan peralatan komputerisasi kanggo keuntungan finansial utawa liyane. [7]

Vendor nglirwakake keamanan siber

Vendor kadhangkala, mesthi, nyoba kanggo ndandani sawetara saka vulnerabilities dikenali, nanging padha nindakake banget wegah. Amarga bathi kasebut ora saka proteksi saka peretas, nanging saka fungsi anyar sing diwenehake kanggo konsumen. Dadi fokus mung ing bathi jangka pendek, vendor nandur modal dhuwit mung kanggo ngrampungake masalah nyata, dudu hipotetis. Cybersecurity, ing mripate akeh wong, minangka perkara hipotetis. [7]

Cybersecurity minangka barang sing ora katon lan ora katon. Dadi nyata mung nalika ana masalah. Yen padha njupuk care saka iku (padha ngginakaken akèh dhuwit ing panentu sawijining), lan ora ana masalah karo, konsumen pungkasan ora pengin overpay kanggo. Kajaba iku, saliyane nambah biaya finansial, implementasine langkah-langkah protèktif mbutuhake wektu pangembangan tambahan, mbutuhake mbatesi kemampuan peralatan, lan nyebabake nyuda produktivitas. [8]

Iku angel kanggo gawe uwong yakin malah pemasar kita dhewe babagan kelayakan biaya sing kadhaptar, apamaneh konsumen pungkasan. Lan amarga vendor modern mung kasengsem ing bathi dodolan jangka pendek, mula dheweke ora duwe tanggung jawab kanggo njamin keamanan siber sing digawe. [1] Ing sisih liya, vendor sing luwih ati-ati sing wis ngurus keamanan siber peralatan kasebut ngadhepi kasunyatan manawa konsumen perusahaan luwih milih alternatif sing luwih murah lan luwih gampang digunakake. Iku. Cetha manawa konsumen perusahaan uga ora peduli babagan cybersecurity. [8]

Minangka kasebut ing ndhuwur, ora nggumunake manawa para vendor cenderung nglirwakake keamanan siber, lan netepi filosofi ing ngisor iki: "Terus mbangun, terus adol lan tembelan yen perlu. Apa sistem nabrak? Informasi ilang? Database karo nomer kertu kredit dicolong? Apa ana kerentanan fatal sing diidentifikasi ing peralatan sampeyan? Ora masalah!" Konsumen, sabanjure, kudu ngetutake prinsip: "Patch lan ndedonga." [7] mengeti 30 taun saka rampant insecurity

Carane iki kedaden: conto saka alam bébas

Conto sing nyenengake babagan keamanan siber sajrone pembangunan yaiku program insentif perusahaan Microsoft: "Yen sampeyan ora kejawab tenggat wektu, sampeyan bakal didenda. Yen sampeyan ora duwe wektu kanggo ngirim release saka inovasi ing wektu, iku ora bakal dileksanakake. Yen ora dileksanakake, sampeyan ora bakal nampa saham perusahaan (sepotong pai saka bathi Microsoft). Wiwit taun 1993, Microsoft wiwit aktif ngubungake produke menyang Internet. Wiwit inisiatif iki dilakokno ing baris karo program motivasi padha, fungsi ditambahi luwih cepet saka pertahanan bisa tetep karo. Kanggo nyenengake para pemburu kerentanan pragmatis ... [7]

Conto liyane yaiku kahanan karo komputer lan laptop: padha ora teka karo antivirus sing wis diinstal; lan uga ora nyedhiyakake prasetel sandhi sing kuwat. Dianggep manawa pangguna pungkasan bakal nginstal antivirus lan nyetel paramèter konfigurasi keamanan. [1]

Conto liyane sing luwih ekstrem: kahanan karo keamanan siber peralatan ritel (kasir, terminal PoS kanggo pusat perbelanjaan, lsp). Kedaden sing vendor saka peralatan komersial ngedol mung apa sing didol, lan ora apa aman. [2] Yen ana siji bab sing vendor peralatan komersial care babagan babagan cybersecurity, iku mesthekake yen ana kedadean kontroversial, tanggung jawab tumiba ing wong liya. [3]

Conto indikatif saka perkembangan acara iki: popularisasi standar EMV kanggo kertu bank, sing, amarga karya sing kompeten para pemasar bank, katon ing mata masyarakat sing ora canggih sacara teknis minangka alternatif sing luwih aman kanggo "ketinggalan jaman" kertu magnetik. Ing wektu sing padha, motivasi utama industri perbankan, sing tanggung jawab kanggo ngembangake standar EMV, yaiku kanggo mindhah tanggung jawab kanggo kedadeyan penipuan (kedadeyan amarga kesalahan carders) - saka toko menyang konsumen. Dene sadurunge (nalika pembayaran digawe nganggo kertu magnetik), tanggung jawab finansial ana ing toko kanggo bedane debit / kredit. [3] Mangkono bank-bank sing proses pembayaran ngganti tanggung jawab kanggo pedagang (sing nggunakake sistem perbankan remot) utawa bank-bank sing ngetokake kertu pembayaran; loro pungkasan, ing siji, ngalih tanggung jawab kanggo cardholder. [2]

Vendor ngalangi keamanan siber

Minangka lumahing serangan digital inexorably ngembangaken-thanks kanggo bledosan saka Internet-disambungake piranti-nglacak apa sing disambungake menyang jaringan perusahaan dadi saya angel. Ing wektu sing padha, para panyedhiya ngalihake keprihatinan babagan keamanan kabeh peralatan sing disambungake menyang Internet menyang pangguna pungkasan [1]: "Nylametake wong sing klelep yaiku pakaryane wong sing tenggelam."

Ora mung vendor ora peduli babagan keamanan siber sing digawe, nanging ing sawetara kasus, dheweke uga ngganggu penyediaane. Contone, nalika taun 2009 cacing jaringan Conficker bocor menyang Pusat Medis Beth Israel lan nginfèksi bagean peralatan medis ing kana, direktur teknis pusat medis iki, kanggo nyegah kedadeyan sing padha ing mangsa ngarep, mutusake kanggo mateni fungsi support operasi ing peralatan kena pengaruh dening worm karo jaringan. Nanging, dheweke ngadhepi kasunyatan manawa "peralatan kasebut ora bisa dianyari amarga watesan peraturan." Sampeyan njupuk akeh gaweyan kanggo rembugan karo vendor kanggo mateni fungsi jaringan. [4]

Fundamental Cyber-Insecurity saka Internet

David Clarke, profesor MIT legendaris sing jenius dheweke entuk julukan "Albus Dumbledore," ngelingi dina sisih peteng saka Internet dicethakaké menyang donya. Clark dadi ketua konferensi telekomunikasi ing November 1988 nalika ana kabar yen cacing komputer pisanan ing sajarah wis nyusup liwat kabel jaringan. Clark ngelingi wektu iki amarga speaker sing ana ing konferensi kasebut (pegawe salah sawijining perusahaan telekomunikasi terkemuka) sing tanggung jawab kanggo nyebarake cacing iki. Pembicara iki, kanthi emosi sing panas, kanthi ora sengaja kandha: "Iki!" Aku kaya wis nutup kerentanan iki, "dheweke mbayar tembung kasebut. [5]

mengeti 30 taun saka rampant insecurity

Nanging, mengko ternyata kerentanan sing nyebarake cacing kasebut dudu manfaate wong liya. Lan iki, kanthi tegas, ora malah dadi kerentanan, nanging minangka fitur dhasar Internet: para pendiri Internet, nalika ngembangake gagasan, fokus khusus ing kacepetan transfer data lan toleransi kesalahan. Dheweke ora nemtokake tugas kanggo njamin keamanan siber. [5]

Saiki, pirang-pirang dekade sawise Internet diadegake - kanthi atusan milyar dolar wis digunakake kanggo nyoba keamanan siber sing ora ana gunane - Internet ora kalah rentan. Masalah cybersecurity mung saya elek saben taun. Nanging, apa kita duwe hak kanggo ngukum para pendiri Internet babagan iki? Sawise kabeh, contone, ora ana sing bakal ngukum wong sing nggawe jalan tol amarga kasunyatane yen kacilakan kedadeyan ing "dalan"; lan ora ana sing bakal ngukum para perencana kutha amarga kasunyatane rampokan kedadeyan ing "kuthane". [5]

Carane subkultur hacker lair

Subkultur peretas diwiwiti ing awal 1960-an, ing "Klub Pemodelan Teknik Kereta Api" (operasi ing tembok Institut Teknologi Massachusetts). Penggemar klub ngrancang lan ngrakit model sepur, sing gedhe banget nganti ngebaki kabeh ruangan. Anggota klub spontan dipérang dadi rong klompok: peacemakers lan spesialis sistem. [6]

Pisanan makarya karo bagean ndhuwur-lemah saka model, kaloro - karo lemah. Sing pisanan nglumpukake lan dekorasi model sepur lan kutha: padha nggawe model miniatur ing saindenging jagad. Sing terakhir nggarap dhukungan teknis kanggo kabeh perdamaian iki: kerumitan kabel, relay lan saklar koordinat sing ana ing bagean ngisor model - kabeh sing ngontrol bagean "ndhuwur" lan menehi energi. [6]

Nalika ana masalah lalu lintas lan wong teka karo solusi anyar lan akale kanggo ndandani iku, solusi kasebut disebut "hack." Kanggo anggota klub, nggoleki hacks anyar wis dadi makna intrinsik urip. Mulane dheweke wiwit nyebut awake dhewe "peretas." [6]

Generasi pertama peretas ngetrapake katrampilan sing dipikolehi ing Klub Kereta Api Simulasi kanthi nulis program komputer ing kertu sing ditindhes. Banjur, nalika ARPANET (pendahulu saka Internet) teka ing kampus ing taun 1969, peretas dadi pangguna paling aktif lan trampil. [6]

Saiki, pirang-pirang dekade sabanjure, Internet modern meh padha karo bagean "bawah lemah" saka model kereta api. Amarga ngedegaken iki padha peretas, siswa saka "Railroad Simulasi Club". Mung peretas saiki sing ngoperasikake kutha nyata tinimbang miniatur simulasi. [6] mengeti 30 taun saka rampant insecurity

Carane BGP nuntun teka

Ing pungkasan taun 80-an, minangka asil saka tambah longsor ing jumlah piranti sing disambungake menyang Internet, Internet nyedhaki watesan matematika hard dibangun ing salah siji saka protokol Internet dhasar. Mulane, obrolan apa wae antarane insinyur wektu iku pungkasane dadi diskusi babagan masalah iki. Loro kanca ora istiméwa: Jacob Rechter (insinyur saka IBM) lan Kirk Lockheed (pendiri Cisco). Sawise ketemu kanthi kasempatan ing meja nedha bengi, dheweke wiwit ngrembug babagan langkah-langkah kanggo njaga fungsi Internet. Kanca-kanca nyathet gagasan-gagasan sing muncul babagan apa wae sing ana ing tangan - serbet sing diwarnai karo kecap. Banjur sing kapindho. Banjur katelu. "Protokol telung serbet," kaya sing diarani para penemu kanthi guyonan-dikenal ing kalangan resmi minangka BGP (Border Gateway Protocol) - cepet-cepet ngrevolusi Internet. [8] mengeti 30 taun saka rampant insecurity

Kanggo Rechter lan Lockheed, BGP mung minangka hack sembrono, dikembangake kanthi semangat Model Railroad Club kasebut, solusi sementara sing bakal diganti. Kanca-kanca ngembangake BGP ing taun 1989. Nanging, saiki, 30 taun sabanjure, mayoritas lalu lintas Internet isih dialihake nggunakake "protokol telung serbet" - sanajan ana telpon sing nguwatirake babagan masalah kritis babagan keamanan siber. Peretasan sementara dadi salah sawijining protokol Internet dhasar, lan para pangembang sinau saka pengalaman dhewe yen "ora ana sing luwih permanen tinimbang solusi sementara." [8]

Jaringan ing saindenging jagad wis ngalih menyang BGP. Vendor sing duwe pengaruh, klien sugih lan perusahaan telekomunikasi kanthi cepet jatuh cinta karo BGP lan dadi biasa. Mulane, sanajan luwih akeh lonceng weker babagan ora aman saka protokol iki, masarakat IT isih ora nuduhake semangat kanggo transisi menyang peralatan anyar sing luwih aman. [8]

Nuntun BGP Cyber-ora aman

Napa rute BGP apik banget lan kenapa komunitas IT ora cepet-cepet ninggalake? BGP mbantu para router nggawe keputusan babagan ngendi kanggo ngarahake aliran data sing gedhe banget sing dikirim ing jaringan komunikasi intersecting sing gedhe. BGP mbantu router milih dalan sing cocog sanajan jaringan saya ganti lan rute populer asring ngalami macet. Masalahe yaiku Internet ora duwe peta rute global. Router sing nggunakake BGP nggawe keputusan babagan milih dalan siji utawa liyane adhedhasar informasi sing ditampa saka tanggi ing jagad maya, sing banjur ngumpulake informasi saka tanggane, lsp. Nanging, informasi iki bisa gampang dipalsukan, tegese rute BGP rentan banget kanggo serangan MiTM. [8]

Mulane, pitakonan kaya ing ngisor iki kerep muncul: "Napa lalu lintas ing antarane rong komputer ing Denver njupuk dalan gedhe liwat Islandia?", "Napa data Pentagon sing diklasifikasikake wis ditransfer nalika transit liwat Beijing?" Ana jawaban teknis kanggo pitakonan kaya iki, nanging kabeh padha teka ing kasunyatan sing BGP dianggo adhedhasar kapercayan: dipercaya ing Rekomendasi ditampa saka router tetanggan. Thanks kanggo sifat percoyo saka protokol BGP, overlord lalu lintas misterius bisa nggodho data wong liya mili menyang domain yen padha pengin. [8]

Conto urip yaiku serangan BGP China ing Pentagon Amerika. Ing April 2010, raksasa telekomunikasi negara China Telecom ngirim puluhan ewu router ing saindenging jagad, kalebu 16 ing Amerika Serikat, pesen BGP sing ngandhani yen dheweke duwe rute sing luwih apik. Tanpa sistem sing bisa verifikasi validitas pesen BGP saka China Telecom, router ing saindhenging donya wiwit ngirim data ing transit liwat Beijing. Kalebu lalu lintas saka Pentagon lan situs liyane saka Departemen Pertahanan AS. Ease karo lalu lintas rerouted lan lack saka pangayoman efektif marang jinis serangan iki tandha liyane insecurity saka BGP nuntun. [8]

Protokol BGP sacara teoritis rentan marang serangan cyber sing luwih mbebayani. Yen konflik internasional saya tambah akeh ing jagad maya, China Telecom, utawa sawetara raksasa telekomunikasi liyane, bisa nyoba ngaku kepemilikan bagean Internet sing dudu duweke. Gerakan kasebut bakal mbingungake router, sing kudu mumbul ing antarane tawaran sing saingan kanggo blok alamat Internet sing padha. Tanpa kemampuan kanggo mbedakake aplikasi sing sah saka sing palsu, router bakal mulai tumindak kanthi ora bener. Akibaté, kita bakal ngadhepi perang nuklir sing padha karo Internet - tampilan permusuhan kanthi skala gedhe. Pangembangan kasebut ing jaman tentrem relatif katon ora nyata, nanging sacara teknis cukup bisa ditindakake. [8]

A usaha sia-sia kanggo pindhah saka BGP kanggo BGPSEC

Cybersecurity ora dianggep nalika BGP dikembangake, amarga ing wektu iku hacks langka lan karusakan saka wong-wong mau bisa diabaikan. Pangembang BGP, amarga padha kerja ing perusahaan telekomunikasi lan kasengsem kanggo ngedol peralatan jaringan, duwe tugas sing luwih penting: supaya Internet ora rusak spontan. Amarga interupsi ing Internet bisa ngasingake pangguna, lan kanthi mangkono nyuda penjualan peralatan jaringan. [8]

Sawise kedadeyan transmisi lalu lintas militer Amerika liwat Beijing ing April 2010, langkah kerja kanggo njamin keamanan siber rute BGP mesthi saya cepet. Nanging, vendor telekomunikasi wis nuduhake sethitik semangat kanggo prewangan biaya gadhah migrasi menyang protokol nuntun aman anyar BGPSEC, ngajokaken minangka panggantos kanggo BGP insecure. Vendor isih nganggep BGP cukup ditrima, sanajan ana kedadeyan intersepsi lalu lintas sing ora kaetung. [8]

Radia Perlman, dijuluki "Ibu Internet" amarga nyipta protokol jaringan utama liyane ing 1988 (setaun sadurunge BGP), entuk disertasi doktoral sunnat ing MIT. Perlman prédhiksi manawa protokol routing sing gumantung marang kejujuran tanggi ing jagad maya dhasar ora aman. Perlman nyengkuyung panggunaan kriptografi, sing bakal mbantu mbatesi kemungkinan pemalsuan. Nanging, implementasine BGP wis ana, komunitas IT sing duwe pengaruh wis biasa, lan ora pengin ngganti apa-apa. Mulane, sawise bebaya alesan saka Perlman, Clark lan sawetara ahli donya penting liyane, nuduhake relatif saka routing BGP cryptographically aman durung tambah ing kabeh, lan isih 0%. [8]

BGP nuntun ora mung hack

Lan rute BGP ora mung hack sing negesake ide yen "ora ana sing luwih permanen tinimbang solusi sementara." Kadhangkala Internet, nyemplungake kita ing jagad fantasi, katon elegan kaya mobil balap. Nanging, ing kasunyatan, amarga hacks numpuk ing ndhuwur saben liyane, Internet luwih kaya Frankenstein tinimbang Ferrari. Amarga hacks iki (luwih resmi disebut patch) ora tau diganti dening teknologi dipercaya. Konsekuensi saka pendekatan iki nggegirisi: saben dina lan saben jam, cybercriminal hack menyang sistem sing rawan, ngembangake ruang lingkup cybercrime menyang proporsi sing ora bisa dibayangake sadurunge. [8]

Akeh cacat sing dimanfaatake dening penjahat cyber wis dikenal suwe, lan wis dilestarekake mung amarga kecenderungan komunitas IT kanggo ngatasi masalah sing muncul - kanthi hack / patch sementara. Kadhangkala, amarga iki, teknologi sing wis kadaluwarsa numpuk ing ndhuwur saben liyane kanggo wektu sing suwe, nggawe urip wong angel lan ndadekake bebaya. Apa sing bakal sampeyan pikirake yen sampeyan ngerti yen bank sampeyan nggawe kubah ing pondasi jerami lan lendhut? Apa sampeyan bakal ngandel yen dheweke nyimpen tabungan sampeyan? [8] mengeti 30 taun saka rampant insecurity

Sikap ora peduli Linus Torvalds

Butuh pirang-pirang taun sadurunge Internet tekan satus komputer pisanan. Saiki, 100 komputer anyar lan piranti liyane disambungake saben detik. Nalika piranti sing nyambung menyang Internet njeblug, semono uga masalah keamanan siber. Nanging, wong sing bisa duwe pengaruh paling gedhe kanggo ngrampungake masalah kasebut yaiku wong sing nganggep cybersecurity kanthi disdain. Wong iki wis disebut jenius, bully, pimpinan spiritual lan diktator benevolent. Linus Torvalds. Umume piranti sing disambungake menyang Internet nganggo sistem operasi, Linux. Cepet, fleksibel, gratis - Linux saya suwe saya populer. Ing wektu sing padha, tumindak banget stabil. Lan bisa digunakake tanpa reboot nganti pirang-pirang taun. Mulane Linux nduweni pakurmatan minangka sistem operasi sing dominan. Meh kabeh peralatan komputerisasi sing kasedhiya kanggo kita saiki nganggo Linux: server, peralatan medis, komputer penerbangan, drone cilik, pesawat militer lan liya-liyane. [9]

Linux sukses amarga Torvalds nandheske kinerja lan toleransi kesalahan. Nanging, dheweke negesake babagan keamanan siber. Sanajan jagad maya lan jagad fisik sing sejatine intertwine lan keamanan siber dadi masalah global, Torvalds tetep nolak ngenalake inovasi sing aman menyang sistem operasi. [9]

Mula, sanajan akeh penggemar Linux, ana prihatin babagan kerentanan sistem operasi iki. Utamane, bagean paling intim saka Linux, kernel, sing digunakake dening Torvalds kanthi pribadi. Penggemar Linux weruh manawa Torvalds ora nganggep serius babagan keamanan siber. Kajaba iku, Torvalds wis ngubengi awake dhewe karo pangembang sing nuduhake sikap ora peduli iki. Yen wong saka bunder utama Torvalds wiwit ngomong babagan ngenalake inovasi sing aman, dheweke langsung anathematized. Torvalds nolak siji klompok inovator kasebut, nyebutake "kethek masturbasi". Nalika Torvalds pamitan karo klompok pangembang liyane sing sadar keamanan, dheweke kandha, "Apa sampeyan bakal mateni awake dhewe. Donya bakal dadi papan sing luwih apik amarga iku." Nalika nambah fitur keamanan, Torvalds tansah nglawan. [9] Torvalds malah nduwèni filosofi kabèh ing bab iki, sing ora tanpa butir akal sehat:

"Keamanan mutlak ora bisa ditindakake. Mulane, iku kudu tansah dianggep mung ing hubungan kanggo prioritas liyane: kacepetan, keluwesan lan ease saka nggunakake. Wong-wong sing ngabdi marang awake dhewe kanggo nyedhiyakake perlindungan iku edan. Pamikire winates, ireng lan putih. Keamanan dhewe ora ana gunane. Intine tansah ana ing papan liya. Mulane, sampeyan ora bisa njamin keamanan mutlak, sanajan sampeyan pengin. Mesthi, ana wong sing menehi manungsa waé luwih kanggo safety saka Torvalds. Nanging, wong-wong iki mung ngupayakake apa sing dikarepake lan nyedhiyakake keamanan ing kerangka relatif sempit sing nggambarake kapentingan kasebut. Ora maneh. Dadi ora ana kontribusi kanggo nambah keamanan mutlak. [9]

Sidebar: OpenSource kaya keg bubuk [10]

Kode OpenSource wis ngirit milyaran biaya pangembangan piranti lunak, ngilangi kabutuhan upaya duplikat: karo OpenSource, programer duwe kesempatan kanggo nggunakake inovasi saiki tanpa watesan utawa pembayaran. OpenSource digunakake ing endi wae. Sanajan sampeyan nyewa pangembang piranti lunak kanggo ngrampungake masalah khusus sampeyan wiwit wiwitan, pangembang iki bakal nggunakake sawetara jinis perpustakaan OpenSource. Lan mbokmenawa luwih saka siji. Mangkono, unsur OpenSource ana meh ing endi wae. Ing wektu sing padha, kudu dingerteni manawa ora ana piranti lunak sing statis, kode kasebut terus ganti. Mulane, prinsip "nyetel lan lali" ora bisa digunakake kanggo kode. Kalebu kode OpenSource: cepet utawa mengko versi sing dianyari bakal dibutuhake.

Ing 2016, kita weruh akibat saka kahanan iki: pangembang 28 taun sedhela "nyuwil" Internet kanthi mbusak kode OpenSource, sing sadurunge wis kasedhiya kanggo publik. Crita iki nuduhake manawa cyberinfrastructure kita rapuh banget. Sawetara wong - sing ndhukung proyek OpenSource - penting banget kanggo njaga supaya yen, Gusti Allah nglarang, dheweke ditabrak bis, Internet bakal rusak.

Kode hard-to-maintain ing ngendi kerentanan cybersecurity paling serius lurk. Sawetara perusahaan malah ora ngerti carane ngrugekke amarga kode hard-to-maintain. Kerentanan sing ana gandhengane karo kode kasebut bisa dadi masalah nyata kanthi alon banget: sistem alon-alon bosok, tanpa nuduhake kegagalan sing katon nalika proses rotting. Lan yen gagal, akibate fatal.

Pungkasan, amarga proyek OpenSource biasane dikembangake dening komunitas penggemar, kaya Linus Torvalds utawa kaya peretas saka Model Railroad Club sing kasebut ing wiwitan artikel, masalah karo kode sing angel dijaga ora bisa ditanggulangi kanthi cara tradisional (nggunakake komersial lan pemerintah). Amarga anggota komunitas kasebut kanthi sengaja lan ngormati kamardikane ing ndhuwur kabeh.

Sidebar: Mungkin layanan intelijen lan pangembang antivirus bakal nglindhungi kita?

Ing 2013, dikenal manawa Kaspersky Lab duwe unit khusus sing nindakake investigasi khusus babagan kedadeyan keamanan informasi. Nganti saiki, departemen iki dipimpin déning mantan polisi utama, Ruslan Stoyanov, sing sadurunge makarya ing departemen ibukutha "K" (USTM saka Moscow Utama Direktorat Internal Affairs). Kabeh karyawan unit khusus Kaspersky Lab iki asale saka lembaga penegak hukum, kalebu Komite Investigasi lan Direktorat "K". [sewelas]

Ing pungkasan 2016, FSB nyekel Ruslan Stoyanov lan didakwa kanthi pengkhianatan. Ing kasus sing padha, Sergei Mikhailov, wakil peringkat dhuwur saka FSB CIB (pusat keamanan informasi), dipenjara, sing sadurunge penahanan, kabeh cybersecurity negara kasebut diikat. [sewelas]

Sidebar: Cybersecurity Enforced

Ora suwe, para pengusaha Rusia bakal dipeksa menehi perhatian serius marang keamanan siber. Ing Januari 2017, Nikolai Murashov, wakil saka Pusat Perlindungan Informasi lan Komunikasi Khusus, nyatakake yen ing Rusia, obyek CII (infrastruktur informasi kritis) dhewe diserang luwih saka 2016 yuta kaping ing 70. Objek CII kalebu sistem informasi lembaga pemerintah, perusahaan industri pertahanan, transportasi, kredit lan sektor finansial, energi, bahan bakar lan industri nuklir. Kanggo nglindhungi dheweke, ing 26 Juli, Presiden Rusia Vladimir Putin nandatangani paket undang-undang "Ing safety of CII." Ing tanggal 1 Januari 2018, nalika hukum kasebut ditrapake, para pamilik fasilitas CII kudu ngetrapake langkah-langkah kanggo nglindhungi infrastruktur saka serangan peretas, utamane, nyambung menyang GosSOPKA. [12]

Bibliografi

  1. Jonathan Millet. IoT: Pentinge Ngamanake Piranti Cerdas Sampeyan // 2017.
  2. Ross Anderson. Carane sistem pembayaran smartcard gagal // Black Hat. 2014.
  3. SJ Murdoch. Chip lan PIN Broken // Prosiding Simposium IEEE babagan Keamanan lan Privasi. 2010. pp. 433-446.
  4. David Talbot. Virus Komputer "Rampant" ing Piranti Medis ing Rumah Sakit // MIT Technology Review (Digital). 2012.
  5. Craig Timberg. Net saka Insecurity: A Aliran ing Desain // Washington Post. 2015.
  6. Michael Lista. Dheweke dadi peretas remaja sing mbuwang jutaan mobil, sandhangan lan jam tangan-nganti FBI kejiret. // Toronto Life. 2018.
  7. Craig Timberg. Net of Insecurity: Bencana Diramalake - lan Ora Digatekake // Washington Post. 2015.
  8. Craig Timberg. Urip dawa saka 'fix' cepet: Protokol Internet wiwit taun 1989 ndadekake data rentan kanggo pembajak // Washington Post. 2015.
  9. Craig Timberg. Net of Insecurity: Kernel argumen // Washington Post. 2015.
  10. Joshua Gan. Apa Kode Open-Source Bisa Nggawe Wedi Y2K Kita Pungkasane? // Harvard Business Review (Digital). 2017.
  11. Manajer puncak Kaspersky dicekel FSB // CNews. 2017. URL.
  12. Maria Kolomychenko. Layanan intelijen siber: Sberbank ngusulake nggawe markas kanggo nglawan peretas // RBC. 2017.

Source: www.habr.com

Add a comment