«Қара қалпақшалар» – киберкеңістіктің жабайы орманының тәртіптілері – өздерінің лас жұмыстарында ерекше табысты болып шыққанда, сары БАҚ қуана шырылдады. Осының нәтижесінде әлем киберқауіпсіздікке байыпты қарай бастады. Бірақ, өкінішке орай, бірден емес. Сондықтан, апатты киберинциденттер санының өсуіне қарамастан, әлем белсенді белсенді шараларға әлі пісіп-жетілмеген. Дегенмен, жақын болашақта «қара қалпақтардың» арқасында әлем киберқауіпсіздікке байыппен қарай бастайды деп күтілуде. [7]

Өрт сияқты ауыр... Қалалар бір кездері алапат өрттерге өте осал болды. Дегенмен, ықтимал қауіпке қарамастан, белсенді қорғаныс шаралары қабылданбады - 1871 жылы Чикагода жүздеген адамның өмірін қиған және жүздеген мың адамдарды көшірген үлкен өрттен кейін де. Алдын ала қорғаныс шаралары үш жылдан кейін осындай апат қайталанғаннан кейін ғана қолға алынды. Киберқауіпсіздікте де солай - апатты оқиғалар болмаса, әлем бұл мәселені шешпейді. Бірақ мұндай оқиғалар орын алса да, әлем бұл мәселені бірден шешпейді. [7] Сондықтан да: «Қате болмайынша, адамға жамау болмайды» деген сөздің өзі дұрыс емес. Сондықтан 2018 жылы біз қауіпсіздіктің кең етек алғанына 30 жыл толды.

Лирикалық шегіну

Бастапқыда System Administrator журналына жазған бұл мақаланың басы белгілі бір мағынада пайғамбарлық болып шықты. Осы мақаламен журналдың шығарылымы шықты Кемероводағы «Зимняя вишня» сауда орталығындағы қайғылы өртпен күн сайын (2018 ж., 20 наурыз).

Интернетті 30 минутта орнатыңыз

Сонау 1988 жылы аты аңызға айналған хакер галактикасы L0pht Батыстың ең ықпалды шенеуніктерінің кездесуі алдында толық құрамда сөйлеп: «Сіздің компьютерленген жабдықыңыз Интернеттен кибершабуылдарға осал. Және бағдарламалық қамтамасыз ету, аппараттық құралдар және телекоммуникациялар. Олардың сатушылары бұл жағдайға мүлдем алаңдамайды. Өйткені қазіргі заманғы заңнамада өндірілген бағдарламалық және техникалық құралдардың киберқауіпсіздігін қамтамасыз етуге салғырттықпен қарау үшін ешқандай жауапкершілік қарастырылмаған. Ықтимал сәтсіздіктерге (стихиялы немесе киберқылмыскерлердің араласуынан туындаған) жауапкершілік тек жабдықты пайдаланушыға жүктеледі. Ал федералды үкіметке келер болсақ, оның бұл мәселені шешуге қабілеті де, ниеті де жоқ. Сондықтан, егер сіз киберқауіпсіздікті іздесеңіз, онда Интернет оны табатын орын емес. Сіздің алдыңызда отырған жеті адамның әрқайсысы Интернетті толығымен бұза алады және сәйкесінше оған қосылған жабдықты толық бақылауға алады. Бір өзім. 30 минут хореографиялық пернелерді басу және ол аяқталды ». [7]

Шенеуніктер мәнді түрде басын изеп, жағдайдың маңыздылығын түсінгенін аңғартты, бірақ ештеңе істемеді. Бүгін, L30pht-тің аты аңызға айналған өнерінен кейін тура 0 жыл өтсе де, әлемді әлі де «қауіпсіздіктің кеңеюі». Компьютерлендірілген, интернетке қосылған жабдықты бұзу оңай болғаны сонша, бастапқыда идеалистік ғалымдар мен энтузиастардың патшалығы болған Интернетті бірте-бірте ең прагматикалық кәсіпқойлар: алаяқтар, алаяқтар, тыңшылар, террористер басып алды. Олардың барлығы қаржылық немесе басқа да пайдалар үшін компьютерленген жабдықтың осал тұстарын пайдаланады. [7]

Сатушылар киберқауіпсіздікке мән бермейді

Жеткізушілер кейде, әрине, анықталған осалдықтардың кейбірін түзетуге тырысады, бірақ олар мұны өте құлықсыз жасайды. Өйткені олардың пайдасы хакерлерден қорғанудан емес, тұтынушыларға ұсынатын жаңа функционалдылықтан келеді. Қысқа мерзімді пайдаға ғана бағытталған сатушылар ақшаны гипотетикалық емес, нақты мәселелерді шешуге салады. Киберқауіпсіздік, олардың көпшілігінің көзқарасы бойынша, гипотетикалық нәрсе. [7]

Киберқауіпсіздік – көзге көрінбейтін, сезілмейтін нәрсе. Ол онымен проблемалар туындаған кезде ғана нақты болады. Егер олар оны жақсы күтсе (оны қамтамасыз ету үшін олар көп ақша жұмсады) және онымен ешқандай проблемалар болмаса, түпкі тұтынушы ол үшін артық төлем жасағысы келмейді. Сонымен қатар, қаржылық шығындарды көбейтумен қатар, қорғаныс шараларын жүзеге асыру қосымша әзірлеу уақытын талап етеді, жабдықтың мүмкіндіктерін шектеуді талап етеді және оның өнімділігінің төмендеуіне әкеледі. [8]

Түпкі тұтынушыларды былай қойғанда, тізімдегі шығындардың орындылығына өзіміздің маркетологтарды да сендіру қиын. Қазіргі заманғы жеткізушілер тек қысқа мерзімді сатудан түсетін пайдаға қызығушылық танытатындықтан, олар өз туындыларының киберқауіпсіздігін қамтамасыз ету үшін жауапкершілікті алуға мүлдем бейім емес. [1] Екінші жағынан, өз жабдықтарының киберқауіпсіздігіне қамқорлық жасаған неғұрлым мұқият сатушылар корпоративтік тұтынушылардың арзанырақ және қолдануға оңай баламаларды таңдайтындығына тап болады. Бұл. Корпоративтік тұтынушылар да киберқауіпсіздікке аса мән бермейтіні анық. [8]

Жоғарыда айтылғандарды ескере отырып, сатушылар киберқауіпсіздікті елемей, келесі философияны ұстанатыны таңқаларлық емес: «Құрылысты жалғастырыңыз, сатуды жалғастырыңыз және қажет болған жағдайда патч жасаңыз. Жүйе бұзылды ма? Ақпарат жоғалды ма? Несие картасының нөмірлері бар дерекқор ұрланды ма? Жабдықта өлімге әкелетін осалдықтар бар ма? Ештеңе етпейді!» Тұтынушылар өз кезегінде «Жамау және дұға ету» қағидасын ұстануы керек. [7]

Бұл қалай болады: жабайы табиғаттан алынған мысалдар

Әзірлеу кезінде киберқауіпсіздікке немқұрайлы қараудың жарқын мысалы - Microsoft корпорациясының корпоративтік ынталандыру бағдарламасы: «Егер сіз белгіленген мерзімдерді өткізіп алсаңыз, сізге айыппұл салынады. Егер сізде инновацияның шығарылымын уақытында жіберуге уақытыңыз болмаса, ол жүзеге асырылмайды. Егер ол орындалмаса, сіз компанияның акцияларын алмайсыз (Microsoft табысының бір бөлігі). 1993 жылдан бастап Microsoft өз өнімдерін Интернетке белсенді түрде байланыстыра бастады. Бұл бастама сол мотивациялық бағдарламаға сәйкес жұмыс істегендіктен, функционалдық қорғаныс оған ілесе алатындай тезірек кеңейді. Прагматикалық осалдықты іздеушілерді қуанту үшін... [7]

Тағы бір мысал, компьютерлер мен ноутбуктерге қатысты жағдай: олар алдын ала орнатылған антивируспен бірге келмейді; және олар күшті құпия сөздерді алдын ала орнатуды қамтамасыз етпейді. Соңғы пайдаланушы антивирусты орнатып, қауіпсіздік конфигурациясының параметрлерін орнатады деп болжанады. [1]

Тағы бір экстремалды мысал: бөлшек сауда жабдықтарының киберқауіпсіздік жағдайы (кассалық машиналар, сауда орталықтарына арналған PoS терминалдары және т.б.). Коммерциялық жабдықты сатушылар қауіпсіз емес, тек сатылған нәрсені сататын болды. [2] Коммерциялық жабдық жеткізушілері киберқауіпсіздікке қатысты бір нәрсеге мән берсе, ол даулы оқиға орын алса, жауапкершілік басқаларға жүктелетініне көз жеткізу. [3]

Оқиғалардың дамуының индикативтік мысалы: банктік маркетологтардың сауатты жұмысының арқасында «ескіргенге» қауіпсіз балама ретінде техникалық тұрғыдан күрделі емес жұртшылықтың көз алдында көрінетін банк карталарына арналған EMV стандартын танымал ету. магниттік карталар. Сонымен қатар, EMV стандартын әзірлеуге жауапты банк саласының негізгі мотивациясы алаяқтық оқиғаларға (карташылардың кінәсінен орын алған) жауапкершілікті - дүкендерден тұтынушыларға ауыстыру болды. Бұрын (төлемдер магниттік карталар арқылы жүзеге асырылған кезде) дебет/кредит бойынша сәйкессіздіктер үшін қаржылық жауапкершілік дүкендерде болатын. [3] Осылайша төлемдерді өңдейтін банктер жауапкершілікті не саудагерлерге (қашықтағы банктік жүйелерін пайдаланатын) немесе төлем карталарын шығаратын банктерге ауыстырады; соңғы екеуі өз кезегінде жауапкершілікті карта ұстаушысына аударады. [2]

Сатушылар киберқауіпсіздікке кедергі келтіруде

Интернетке қосылған құрылғылардың жарылуының арқасында цифрлық шабуылдың беті шексіз кеңейген сайын корпоративтік желіге не қосылғанын қадағалау қиындай түседі. Сонымен қатар, сатушылар Интернетке қосылған барлық жабдықтың қауіпсіздігі туралы алаңдаушылықты түпкілікті пайдаланушыға аударады [1]: «Батып бара жатқан адамдарды құтқару - суға батқан адамдардың өздерінің жұмысы».

Жеткізушілер өз туындыларының киберқауіпсіздігіне мән бермейді, сонымен қатар кейбір жағдайларда оны қамтамасыз етуге де кедергі жасайды. Мысалы, 2009 жылы Conficker желісінің құрты Бет Израиль медициналық орталығына ағып, ондағы медициналық жабдықтардың бір бөлігін жұқтырған кезде, осы медициналық орталықтың техникалық директоры болашақта осындай оқиғалардың қайталанбауы үшін құрылғыны өшіру туралы шешім қабылдады. желімен құрт әсер еткен жабдықтың жұмысын қолдау функциясы. Алайда ол «нормативтік шектеулерге байланысты жабдықты жаңарту мүмкін болмады» деген мәселеге тап болды. Желілік функцияларды өшіру үшін сатушымен келіссөздер жүргізу оған көп күш жұмсады. [4]

Интернеттің негізгі киберқауіпсіздігі

Данышпандығы «Альбус Дамблдор» деген лақап атқа ие болған аты аңызға айналған MIT профессоры Дэвид Кларк ғаламтордың қараңғы жағы әлемге ашылған күнді еске алады. Кларк 1988 жылы қарашада телекоммуникация конференциясын басқарып отырғанда, тарихтағы бірінші компьютерлік құрт желілік сымдар арқылы сырғып кеткені туралы хабар шыққан. Кларк бұл сәтті есіне алды, өйткені оның конференциясына қатысқан спикер (жетекші телекоммуникациялық компаниялардың бірінің қызметкері) осы құрттың таралуы үшін жауап берді. Бұл спикер эмоцияның қайнағанында абайсызда: «Міне, енді!» Мен бұл осалдықты жауып тастаған сияқтымын», - деді ол бұл сөздер үшін төледі. [5]

Алайда, кейінірек белгілі болғандай, аталған құрттың тарайтын осалдығы кез келген адамның еңбегі емес. Бұл, дәлірек айтқанда, тіпті осалдық емес, Интернеттің іргелі ерекшелігі болды: Интернеттің негізін салушылар өздерінің ақыл-ойын дамыта отырып, тек деректерді беру жылдамдығына және ақауларға төзімділікке назар аударды. Олар өздеріне киберқауіпсіздікті қамтамасыз ету міндетін қойған жоқ. [5]

Бүгінгі күні, Интернеттің негізі қаланған онжылдықтардан кейін (киберқауіпсіздікке деген пайдасыз әрекеттерге жұмсалған жүздеген миллиард долларлармен) Интернет кем емес осал. Оның киберқауіпсіздік мәселелері жыл сайын нашарлап барады. Дегенмен, бұл үшін интернет негізін салушыларды айыптауға құқығымыз бар ма? Өйткені, мысалы, «өз жолдарында» апаттардың орын алуы үшін жедел жол салушыларды ешкім айыптамайды; және ешкім қаланы жоспарлаушыларды «өз қалаларында» тонау орын алғаны үшін айыптамайды. [5]

Хакерлер субмәдениеті қалай пайда болды

Хакерлердің субмәдениеті 1960 жылдардың басында «Теміржолды техникалық модельдеу клубында» пайда болды (Массачусетс технологиялық институтының қабырғасында жұмыс істейді). Клуб энтузиастары үлгілі темір жолды жобалап, құрастырды, оның үлкендігі сонша, ол бүкіл бөлмені толтырды. Клуб мүшелері стихиялы түрде екі топқа бөлінеді: бітімгершілік және жүйе мамандары. [6]

Біріншісі макеттің жер үсті бөлігімен, екіншісі жер асты бөлігімен жұмыс істеді. Алғашқылары пойыздар мен қалалардың макеттерін жинап, безендірді: олар бүкіл әлемді миниатюрада үлгі етті. Соңғысы осы бітімгершілікті техникалық қолдаумен жұмыс істеді: модельдің жер асты бөлігінде орналасқан сымдардың, релелердің және координаталық қосқыштардың күрделілігі - «жер үсті» бөлігін басқаратын және оны энергиямен қамтамасыз ететін барлық нәрсе. [6]

Жол қозғалысы мәселесі туындаған кезде және біреу оны түзету үшін жаңа және тапқыр шешім тапқан кезде, шешім «бұзу» деп аталды. Клуб мүшелері үшін жаңа хакерлерді іздеу өмірдің ішкі мәніне айналды. Сондықтан олар өздерін «хакерлер» деп атай бастады. [6]

Хакерлердің бірінші буыны симуляциялық теміржол клубында алған дағдыларын перфокарталарға компьютерлік бағдарламалар жазу арқылы жүзеге асырды. Содан кейін, ARPANET (Интернеттің предшественнигі) 1969 жылы кампусқа келген кезде, хакерлер оның ең белсенді және білікті пайдаланушылары болды. [6]

Енді, ондаған жылдар өткен соң, заманауи Интернет үлгілі темір жолдың «жер асты» бөлігіне ұқсайды. Өйткені оның негізін салушылар дәл осы хакерлер, «Темір жолды модельдеу клубының» студенттері болды. Енді имитацияланған миниатюраның орнына нақты қалаларды тек хакерлер басқарады. [6]

BGP маршрутизациясы қалай пайда болды

80-жылдардың аяғында Интернетке қосылған құрылғылар санының көшкін тәрізді ұлғаюы нәтижесінде Интернет негізгі Интернет протоколдарының біріне енгізілген қатаң математикалық шектеуге жақындады. Сондықтан сол кездегі инженерлердің кез келген әңгімесі ақырында осы мәселені талқылауға айналды. Екі дос ерекше болмады: Джейкоб Рехтер (IBM инженері) және Кирк Локхид (Cisco негізін қалаушы). Дастархан басында кездейсоқ кездескен олар Интернеттің функционалдығын сақтау шараларын талқылай бастады. Достар қолдарынан келгеннің бәрін - кетчуппен боялған майлыққа жазып алды. Сосын екіншісі. Содан кейін үшінші. Өнертапқыштар әзілдеп атаған «үш майлық протоколы» ресми ортада BGP (Шекара шлюзі хаттамасы) ретінде белгілі — көп ұзамай Интернетте төңкеріс жасады. [8]

Rechter және Lockheed үшін BGP жоғарыда аталған Теміржол моделі клубының рухында әзірленген кездейсоқ бұзу болды, ол жақын арада ауыстырылатын уақытша шешім болды. Достар 1989 жылы BGP әзірледі. Алайда, бүгінде, 30 жыл өтсе де, интернет-трафиктің басым бөлігі әлі де «үш майлық протоколы» арқылы бағытталуда – оның киберқауіпсіздігіне қатысты маңызды мәселелер туралы алаңдатарлық қоңырауларға қарамастан. Уақытша бұзу негізгі Интернет протоколдарының біріне айналды және оны әзірлеушілер өз тәжірибесінен «уақытша шешімдерден тұрақты ештеңе жоқ» екенін білді. [8]

Дүние жүзіндегі желілер BGP жүйесіне ауысты. Ықпалды сатушылар, бай клиенттер мен телекоммуникация компаниялары BGP-ге тез ғашық болып, оған үйреніп қалды. Сондықтан, бұл хаттаманың қауіптілігі туралы көбірек дабыл қаққанына қарамастан, IT қоғамы әлі де жаңа, қауіпсіз жабдыққа көшуге ынта танытпайды. [8]

Киберқауіпсіз BGP маршруттауы

Неліктен BGP маршрутизациясы соншалықты жақсы және неге АТ қауымдастығы одан бас тартуға асықпайды? BGP маршрутизаторларға қиылысатын байланыс желілерінің үлкен желісі арқылы жіберілетін деректердің үлкен ағындарын қайда бағыттау керектігі туралы шешім қабылдауға көмектеседі. BGP маршрутизаторларға желі үнемі өзгеріп отырса да және танымал бағыттар жиі кептелістерге ұшыраса да, сәйкес жолдарды таңдауға көмектеседі. Мәселе мынада, Интернетте ғаламдық маршруттау картасы жоқ. BGP пайдаланатын маршрутизаторлар киберкеңістіктегі көршілерден алынған ақпарат негізінде сол немесе басқа жолды таңдау туралы шешім қабылдайды, олар өз кезегінде көршілерінен ақпарат жинайды және т.б. Дегенмен, бұл ақпаратты оңай бұрмалауға болады, яғни BGP маршрутизациясы MiTM шабуылдарына өте осал. [8]

Сондықтан келесідей сұрақтар үнемі туындайды: «Неге Денвердегі екі компьютер арасындағы трафик Исландия арқылы үлкен айналма жолмен өтті?», «Неге Пентагонның құпия деректері Пекин арқылы транзитпен тасымалданды?» Осы сияқты сұрақтарға техникалық жауаптар бар, бірақ олардың барлығы BGP сенімге негізделген жұмыс істейді: көрші маршрутизаторлардан алынған ұсыныстарға сену. BGP хаттамасының сенімді сипатының арқасында, жұмбақ трафик үстемшілері, егер олар қаласа, басқа адамдардың деректер ағындарын олардың доменіне тарта алады. [8]

Тірі мысал - Қытайдың американдық Пентагонға BGP шабуылы. 2010 жылдың сәуірінде мемлекеттік телекоммуникациялық алпауыт China Telecom бүкіл әлем бойынша он мыңдаған маршрутизаторларды, соның ішінде АҚШ-та 16 8 маршрутизаторларды жіберді, олардың жақсырақ маршруттары бар екенін көрсететін BGP хабарламасы. China Telecom компаниясының BGP хабарламасының дұрыстығын тексеретін жүйе болмаса, бүкіл әлем бойынша маршрутизаторлар деректерді Бейжің арқылы транзитпен жібере бастады. Оның ішінде Пентагоннан және АҚШ Қорғаныс министрлігінің басқа сайттарынан келетін трафик. Трафиктің бағытын өзгертудің жеңілдігі және шабуылдың осы түрінен тиімді қорғаныстың жоқтығы BGP маршрутизациясының сенімсіздігінің тағы бір белгісі болып табылады. [XNUMX]

BGP протоколы одан да қауіпті кибершабуылға теориялық тұрғыдан осал. Киберкеңістікте халықаралық қақтығыстар толық күшіне енген жағдайда, China Telecom немесе басқа телекоммуникациялық алпауыт Интернеттің шын мәнінде оған тиесілі емес бөліктеріне меншік құқығын талап етуге тырысуы мүмкін. Мұндай қадам маршрутизаторларды шатастырады, олар Интернет мекенжайларының бірдей блоктары үшін бәсекелес ұсыныстар арасында өтуі керек еді. Заңды қолданбаны жалғаннан ажырату мүмкіндігі болмаса, маршрутизаторлар тұрақсыз әрекет ете бастайды. Нәтижесінде біз Интернетте ядролық соғыстың баламасымен бетпе-бет келеміз, яғни ашық, кең ауқымды дұшпандық көрінісі. Салыстырмалы тыныштық кезінде мұндай даму шындыққа жанаспайтын сияқты, бірақ техникалық тұрғыдан бұл әбден мүмкін. [8]

BGP-ден BGPSEC-ке өтудің бекер әрекеті

BGP әзірлеген кезде киберқауіпсіздік ескерілмеді, өйткені ол кезде бұзулар сирек болатын және олардан келетін зиян шамалы болатын. BGP әзірлеушілері телекоммуникациялық компанияларда жұмыс істегендіктен және олардың желілік жабдықтарын сатуға мүдделі болғандықтан, Интернеттің өздігінен бұзылуын болдырмау үшін неғұрлым өзекті міндет болды. Өйткені Интернеттегі үзілістер пайдаланушыларды алшақтатуы мүмкін және сол арқылы желілік жабдықтың сатылуын азайтуы мүмкін. [8]

2010 жылдың сәуірінде Бейжің арқылы американдық әскери трафикті тасымалдау оқиғасынан кейін BGP маршрутизациясының киберқауіпсіздігін қамтамасыз ету бойынша жұмыс қарқыны, әрине, жеделдеді. Дегенмен, байланыс жеткізушілері қауіпті BGP ауыстыру ретінде ұсынылған BGPSEC жаңа қауіпсіз маршруттау протоколына көшумен байланысты шығындарды көтеруге аз ынта танытты. Жеткізушілер трафикті тоқтатудың сансыз оқиғаларына қарамастан, BGP әлі де қолайлы деп санайды. [8]

1988 жылы (BGP-ден бір жыл бұрын) тағы бір ірі желілік протоколды ойлап тапқаны үшін «Интернет анасы» атанған Радиа Перлман MIT-те пайғамбарлық докторлық диссертацияға ие болды. Перлман киберкеңістіктегі көршілердің адалдығына байланысты маршруттау протоколы негізінен қауіпті деп болжады. Перлман жалған ақша жасау мүмкіндігін шектеуге көмектесетін криптографияны қолдануды жақтады. Дегенмен, BGP енгізу қазірдің өзінде қарқынды жүріп жатты, ықпалды IT қауымдастығы оған үйреніп қалған және ештеңені өзгерткісі келмеді. Сондықтан, Перлман, Кларк және басқа да белгілі әлемдік сарапшылардың дәлелді ескертулерінен кейін, криптографиялық қауіпсіз BGP маршрутизациясының салыстырмалы үлесі мүлде өскен жоқ және әлі де 0% құрайды. [8]

BGP маршрутизациясы жалғыз бұзу емес

BGP маршрутизациясы «уақытша шешімдерден тұрақты ештеңе жоқ» деген идеяны растайтын жалғыз бұзу емес. Кейде бізді қиял әлеміне батыратын ғаламтор жарыс көлігі сияқты талғампаз болып көрінеді. Алайда, шын мәнінде, бір-бірінің үстіне үйілген хактердің арқасында Интернет Феррариге қарағанда Франкенштейнге көбірек ұқсайды. Өйткені бұл бұзулар (ресми түрде патчтар деп аталады) ешқашан сенімді технологиямен алмастырылмайды. Бұл тәсілдің салдары өте ауыр: күн сайын және сағат сайын киберқылмыскерлер осал жүйелерді бұзып, киберқылмыстың ауқымын бұрын елестету мүмкін емес пропорцияларға дейін кеңейтеді. [8]

Киберқылмыскерлер пайдаланатын көптеген кемшіліктер ұзақ уақыт бойы белгілі болды және АТ қауымдастығының пайда болған мәселелерді уақытша бұзулар/патчтармен шешуге бейімділігінің арқасында ғана сақталды. Кейде осыған байланысты ескірген технологиялар бірінің үстіне бірі жиналып, адамдардың өмірін қиындатып, қауіп төндіреді. Сіздің банкіңіз өз қоймасын сабан мен балшықтан тұрғызып жатқанын білсеңіз, не ойлайсыз? Сіз оған жинақтарыңызды сақтайтынына сенесіз бе? [8]

Линус Торвальдстың бейқам көзқарасы

Интернет өзінің алғашқы жүз компьютеріне жеткенше бірнеше жыл өтті. Бүгінде оған секунд сайын 100 жаңа компьютер мен басқа да құрылғылар қосылады. Интернетке қосылған құрылғылар жарылған сайын киберқауіпсіздік мәселелерінің өзектілігі де арта түседі. Дегенмен, киберқауіпсіздікке немқұрайлы қарайтын адам осы мәселелерді шешуге үлкен әсер ете алады. Бұл адамды данышпан, бұзақы, рухани көшбасшы және қайырымды диктатор деп атаған. Линус Торвальдс. Интернетке қосылған құрылғылардың басым көпшілігі оның Linux операциялық жүйесін басқарады. Жылдам, икемді, тегін - Linux уақыт өте танымал болып келеді. Сонымен бірге ол өзін өте тұрақты ұстайды. Және ол көптеген жылдар бойы қайта жүктеусіз жұмыс істей алады. Сондықтан Linux басым операциялық жүйе болу құрметіне ие. Бүгінгі күні бізге қол жетімді компьютерленген жабдықтардың барлығы дерлік Linux жүйесінде жұмыс істейді: серверлер, медициналық жабдықтар, ұшу компьютерлері, кішкентай дрондар, әскери ұшақтар және т.б. [9]

Linux негізінен Торвальдс өнімділік пен ақауларға төзімділікке ерекше мән бергендіктен сәтті болады. Дегенмен, ол бұл екпінді киберқауіпсіздік есебінен жасайды. Тіпті киберкеңістік пен нақты физикалық әлем бір-бірімен араласып, киберқауіпсіздік жаһандық мәселеге айналса да, Торвальдс өзінің операциялық жүйесіне қауіпсіз инновацияларды енгізуге қарсы тұруды жалғастыруда. [9]

Сондықтан, тіпті көптеген Linux жанкүйерлерінің арасында осы операциялық жүйенің осал тұстары туралы алаңдаушылық бар. Атап айтқанда, Linux-тың ең жақын бөлігі, оның ядросы, ол Торвальдс жеке жұмыс істейді. Linux жанкүйерлері Торвалдс киберқауіпсіздік мәселелеріне мән бермейтінін көреді. Сонымен қатар, Торвалдс өзін осындай бейқам көзқараспен бөлісетін әзірлеушілермен қоршап алды. Егер Торвальдстың айналасындағы біреу қауіпсіз инновацияларды енгізу туралы айта бастаса, ол бірден анатематизацияланады. Торвальдс мұндай жаңашылдардың бір тобын «мастурбация жасайтын маймылдар» деп атады. Торвалдс қауіпсіздікті ойлайтын басқа әзірлеушілер тобымен қоштасқанда, ол оларға: «Өзіңді өлтіретіндей мейірімді боласың ба? Осының арқасында әлем жақсы орын болар еді ». Қауіпсіздік мүмкіндіктерін қосуға келгенде, Торвалдс әрқашан оған қарсы болды. [9] Торвальдстың бұл тұрғыда тіпті тұтас философиясы бар, ол жалпы ақыл-парасатсыз емес:

«Абсолютті қауіпсіздікке қол жеткізу мүмкін емес. Сондықтан оны әрқашан басқа басымдықтарға қатысты қарастыру керек: жылдамдық, икемділік және пайдаланудың қарапайымдылығы. Өзін толығымен қорғауға арнаған адамдар ақылсыз. Олардың ойлау қабілеті шектеулі, ақ пен қара. Қауіпсіздік өздігінен пайдасыз. Мәні әрқашан басқа жерде. Сондықтан, сіз шынымен қаласаңыз да, абсолютті қауіпсіздікті қамтамасыз ете алмайсыз. Әрине, Торвальдсқа қарағанда қауіпсіздікке көбірек көңіл бөлетін адамдар бар. Дегенмен, бұл жігіттер өздерін қызықтыратын нәрселермен жұмыс істейді және осы мүдделерді шектейтін тар салыстырмалы шеңберде қауіпсіздікті қамтамасыз етеді. Артық керек емес. Сондықтан олар ешбір жағдайда абсолютті қауіпсіздікті арттыруға ықпал етпейді ». [9]

Бүйірлік тақта: OpenSource ұнтақ бөшкесіне ұқсайды [10]

OpenSource коды бағдарламалық жасақтаманы әзірлеуге жұмсалатын миллиардтаған шығындарды үнемдеді, бұл қайталанатын әрекеттердің қажеттілігін болдырмайды: OpenSource көмегімен бағдарламашылар ағымдағы жаңалықтарды шектеусіз немесе төлемсіз пайдалану мүмкіндігіне ие. OpenSource барлық жерде қолданылады. Арнайы мәселеңізді нөлден бастап шешу үшін бағдарламалық жасақтаманы әзірлеушісін жалдаған болсаңыз да, бұл әзірлеуші ​​OpenSource кітапханасының қандай да бір түрін пайдалануы мүмкін. Және біреуден көп болуы мүмкін. Осылайша, OpenSource элементтері барлық жерде дерлік бар. Сонымен қатар, бірде-бір бағдарламалық жасақтама статикалық емес, оның коды үнемі өзгеріп тұратынын түсіну керек. Сондықтан «оны орнатыңыз және ұмытыңыз» қағидасы ешқашан код үшін жұмыс істемейді. OpenSource кодын қоса алғанда: ерте ме, кеш пе жаңартылған нұсқа қажет болады.

2016 жылы біз бұл жағдайдың салдарын көрдік: 28 жастағы әзірлеуші ​​бұрын жалпыға қолжетімді болған OpenSource кодын жою арқылы Интернетті қысқа уақытқа «бұзды». Бұл оқиға біздің киберинфрақұрылымымыздың өте нәзік екенін көрсетеді. Кейбір адамдар - OpenSource жобаларын қолдайтындар - оны қолдау үшін соншалықты маңызды, егер Құдай сақтасын, оларды автобус қағып кетсе, Интернет бұзылады.

Күтім қиын код - бұл киберқауіпсіздіктің ең маңызды осалдықтары жасырылған жерде. Кейбір компаниялар техникалық қызмет көрсету қиын кодқа байланысты қаншалықты осал екенін түсінбейді. Мұндай кодпен байланысты осалдықтар өте баяу нақты мәселеге айналуы мүмкін: жүйелер шірік процесінде көрінетін сәтсіздіктерді көрсетпей, баяу шіріп кетеді. Ал олар сәтсіздікке ұшыраса, салдары өлімге әкеледі.

Ақырында, OpenSource жобаларын әдетте Линус Торвальдс немесе мақаланың басында айтылған Model Railroad клубының хакерлері сияқты энтузиастар қауымдастығы әзірлейтіндіктен, техникалық қызмет көрсету қиын кодқа қатысты мәселелерді дәстүрлі әдістермен шешу мүмкін емес. коммерциялық және мемлекеттік тұтқалар). Өйткені мұндай қауымдастықтардың мүшелері ерікті және өздерінің тәуелсіздігін бәрінен де жоғары бағалайды.

Бүйірлік тақта: Мүмкін барлау қызметтері мен антивирустық әзірлеушілер бізді қорғайтын шығар?

2013 жылы Касперский зертханасында ақпараттық қауіпсіздік инциденттеріне тапсырыс бойынша тергеу жүргізетін арнайы бөлімше бар екені белгілі болды. Соңғы уақытқа дейін бұл бөлімді бұрынғы полиция майоры Руслан Стоянов басқарды, ол бұған дейін астаналық «К» департаментінде (Мәскеу ІІБ ТЖБ) жұмыс істеген. Касперский зертханасының осы арнайы бөлімшесінің барлық қызметкерлері құқық қорғау органдарынан, соның ішінде Тергеу комитеті мен «К» дирекциясынан келеді. [он бір]

2016 жылдың соңында ФСБ Руслан Стояновты тұтқындап, оған мемлекетке опасыздық жасады деген айып тақты. Дәл осы жағдайда ФСБ CIB (ақпараттық қауіпсіздік орталығы) жоғары лауазымды өкілі Сергей Михайлов қамауға алынды, оған тұтқындауға дейін елдің бүкіл киберқауіпсіздігі байланған. [он бір]

Бүйірлік тақта: киберқауіпсіздік күшіне енеді

Жақында ресейлік кәсіпкерлер киберқауіпсіздікке елеулі назар аударуға мәжбүр болады. 2017 жылдың қаңтарында Ақпаратты қорғау және арнайы коммуникациялар орталығының өкілі Николай Мурашов Ресейде 2016 жылы тек CII объектілеріне (материалдық ақпараттық инфрақұрылым) 70 миллионнан астам шабуыл жасалғанын мәлімдеді. CII объектілеріне мемлекеттік органдардың ақпараттық жүйелері, қорғаныс өнеркәсібі кәсіпорындары, көлік, несие және қаржы секторлары, энергетика, отын және атом өнеркәсібі жатады. Оларды қорғау үшін 26 шілдеде Ресей президенті Владимир Путин «CII қауіпсіздігі туралы» заңдар пакетіне қол қойды. Заң күшіне енген 1 жылдың 2018 қаңтарына дейін CII нысандарының иелері өздерінің инфрақұрылымын хакерлердің шабуылдарынан қорғау бойынша шаралар кешенін жүзеге асыруы, атап айтқанда, МемСОПКА-ға қосылуы керек. [12]

Библиография

1. Джонатан Миллет. IoT: смарт құрылғыларыңызды қорғаудың маңыздылығы // 2017 ж.
2. Росс Андерсон. Смарт-карталық төлем жүйелері қалай істен шығады // Қара қалпақ. 2014.
3. СДж Мердок. Чип пен PIN код бұзылды // Қауіпсіздік және құпиялылық бойынша IEEE симпозиумының материалдары. 2010. бет. 433-446.
4. Дэвид Талбот. Компьютерлік вирустар ауруханалардағы медициналық құрылғыларда «кеңейді». // MIT технологиясына шолу (сандық). 2012.
5. Крейг Тимберг. Қауіпсіздік желісі: дизайндағы ағын // The Washington Post. 2015.
6. Майкл Листа. Ол ФБР ұстағанға дейін миллиондаған ақшасын көліктерге, киімдерге және сағаттарға жұмсаған жасөспірім хакер болды. // Торонто өмірі. 2018.
7. Крейг Тимберг. Қауіпсіздік желісі: алдын ала айтылған апат – және еленбейтін // The Washington Post. 2015.
8. Крейг Тимберг. Жылдам «түзетудің» ұзақ мерзімі: 1989 жылғы Интернет протоколы деректерді ұрлаушылардың алдында осал етеді. // The Washington Post. 2015.
9. Крейг Тимберг. Қауіпсіздік желісі: Аргументтің ядросы // The Washington Post. 2015.
10. Джошуа Ганс. Ашық бастапқы код біздің Y2K қорқыныштарымызды орындай ала ма? // Гарвард бизнес шолуы (сандық). 2017.
11. Касперскийдің топ менеджерін ФСБ қамауға алды // CNews. 2017. URL.
12. Мария Коломиченко. Кибер барлау қызметі: Сбербанк хакерлермен күресу үшін штаб құруды ұсынды // РБК. 2017.

Ақпарат көзі: www.habr.com