Kai „juodosios skrybėlės“ – laukinio kibernetinės erdvės miško tvarkdariai – pasirodo itin sėkmingi savo nešvariuose darbuose, geltonoji žiniasklaida sucypia iš džiaugsmo. Dėl to pasaulis į kibernetinį saugumą pradeda žiūrėti rimčiau. Bet, deja, ne iš karto. Todėl, nepaisant didėjančio katastrofiškų kibernetinių incidentų skaičiaus, pasaulis dar nėra subrendęs aktyvioms iniciatyvioms priemonėms. Tačiau tikimasi, kad artimiausiu metu dėl „juodųjų skrybėlių“ pasaulis ims rimtai žiūrėti į kibernetinį saugumą. [7]
Toks pat rimtas kaip gaisrai... Kadaise miestai buvo labai pažeidžiami katastrofiškų gaisrų. Tačiau, nepaisant galimo pavojaus, aktyvių apsaugos priemonių nebuvo imtasi – net ir po milžiniško gaisro Čikagoje 1871 m., nusinešusio šimtus gyvybių ir perkėlusius šimtus tūkstančių žmonių. Aktyvių apsaugos priemonių imtasi tik po trejų metų pakartotinai pasireiškus panašiai nelaimei. Taip pat ir su kibernetiniu saugumu – pasaulis šios problemos neišspręs, nebent įvyks katastrofiški incidentai. Tačiau net jei tokie incidentai įvyktų, pasaulis šios problemos išspręs ne iš karto. [7] Todėl net posakis: „Kol neatsiras klaida, žmogus nebus užlopytas“ ne visai tinka. Štai kodėl 2018 m. minėjome siautėjančio nesaugumo 30 metų sukaktį.
Lyrinis nukrypimas
Šio straipsnio, kurį iš pradžių rašiau žurnalui „System Administrator“, pradžia tam tikra prasme pasirodė pranašiška. Žurnalo su šiuo straipsniu numeris tiesiog diena iš dienos su tragišku gaisru Kemerovo prekybos centre „Winter Cherry“ (2018 m. kovo 20 d.).
Įdiekite internetą per 30 minučių
Dar 1988 metais legendinė įsilaužėlių galaktika L0pht, kalbėdama visa jėga prieš įtakingiausių Vakarų pareigūnų susitikimą, pareiškė: „Jūsų kompiuterizuota įranga yra pažeidžiama kibernetinių atakų iš interneto. Ir programinė įranga, ir techninė įranga, ir telekomunikacijos. Jų pardavėjams tokia padėtis visiškai nerūpi. Nes šiuolaikiniai teisės aktai nenumato jokios atsakomybės už aplaidų požiūrį į gaminamos programinės ir techninės įrangos kibernetinį saugumą. Atsakomybė už galimus gedimus (nesvarbu, ar jie spontaniški, ar sukeltas kibernetinių nusikaltėlių įsikišimo) tenka tik įrangos naudotojui. Kalbant apie federalinę vyriausybę, ji neturi nei įgūdžių, nei noro išspręsti šią problemą. Todėl, jei ieškote kibernetinio saugumo, tada internetas nėra ta vieta, kur jį rasti. Kiekvienas iš septynių priešais jus sėdinčių žmonių gali visiškai nutraukti internetą ir atitinkamai perimti visišką prie jo prijungtos įrangos kontrolę. Pats. 30 minučių choreografinių klavišų paspaudimų ir viskas. [7]
Pareigūnai prasmingai linktelėjo galva, leido suprasti, kad suprato situacijos rimtumą, tačiau nieko nedarė. Šiandien, praėjus lygiai 30 metų po legendinio L0pht pasirodymo, pasaulį vis dar kamuoja „siaučiantis nesaugumas“. Įsilaužti į kompiuterizuotą, prie interneto prijungtą įrangą taip paprasta, kad internetą, iš pradžių idealistinių mokslininkų ir entuziastų karalystę, pamažu užėmė pragmatiškiausi profesionalai: sukčiai, aferistai, šnipai, teroristai. Visi jie išnaudoja kompiuterinės įrangos pažeidžiamumą, siekdami finansinės ar kitos naudos. [7]
Pardavėjai nepaiso kibernetinio saugumo
Pardavėjai kartais, žinoma, bando ištaisyti kai kurias nustatytas spragas, tačiau tai daro labai nenoriai. Nes jų pelnas gaunamas ne iš apsaugos nuo įsilaužėlių, o iš naujo funkcionalumo, kurį jie suteikia vartotojams. Būdami orientuoti tik į trumpalaikį pelną, pardavėjai investuoja pinigus tik į realių, o ne hipotetinių problemų sprendimą. Kibernetinis saugumas, daugelio jų akimis, yra hipotetinis dalykas. [7]
Kibernetinis saugumas yra nematomas, neapčiuopiamas dalykas. Jis tampa apčiuopiamas tik tada, kai su juo iškyla problemų. Jei jie tinkamai juo rūpinosi (išleido daug pinigų jo aprūpinimui), ir nėra jokių problemų, galutinis vartotojas nenorės už tai permokėti. Be to, ne tik didėja finansinės išlaidos, bet ir apsaugos priemonių įgyvendinimas reikalauja papildomo kūrimo laiko, reikalauja apriboti įrangos galimybes ir mažina jos našumą. [8]
Sunku net mūsų rinkodaros specialistus įtikinti išvardytų išlaidų pagrįstumu, jau nekalbant apie galutinius vartotojus. O kadangi šiuolaikinius pardavėjus domina tik trumpalaikis pardavimo pelnas, jie visiškai nelinkę prisiimti atsakomybės už savo kūrinių kibernetinio saugumo užtikrinimą. [1] Kita vertus, atsargesni pardavėjai, pasirūpinę savo įrangos kibernetiniu saugumu, susiduria su tuo, kad įmonių vartotojai renkasi pigesnes ir lengviau naudojamas alternatyvas. Tai. Akivaizdu, kad verslo vartotojams kibernetinis saugumas taip pat nerūpi. [8]
Atsižvelgiant į tai, kas išdėstyta pirmiau, nenuostabu, kad pardavėjai linkę nepaisyti kibernetinio saugumo ir laikosi šios filosofijos: „Tęskite kūrimą, parduokite ir, kai reikia, pataisykite. Ar sugedo sistema? Pamiršote informaciją? Pavogta duomenų bazė su kredito kortelių numeriais? Ar jūsų įrangoje aptikta kokių nors mirtinų spragų? Jokiu problemu!" Vartotojai, savo ruožtu, turi vadovautis principu: „lopykite ir melskitės“. [7]
Kaip tai atsitinka: pavyzdžiai iš laukinės gamtos
Ryškus kibernetinio saugumo nepaisymo kūrimo metu pavyzdys yra „Microsoft“ įmonių skatinimo programa: „Jei praleidote terminus, jums bus skirta bauda. Jei neturite laiko pateikti savo naujovės leidimo laiku, ji nebus įdiegta. Jei jis nebus įgyvendintas, negausite įmonės akcijų (gabalėlio pyrago iš „Microsoft“ pelno). Nuo 1993 m. Microsoft pradėjo aktyviai susieti savo produktus su internetu. Kadangi ši iniciatyva veikė pagal tą pačią motyvacinę programą, funkcionalumas išsiplėtė greičiau, nei gynyba galėjo neatsilikti. Pragmatiškų pažeidžiamumo medžiotojų džiaugsmui... [7]
Kitas pavyzdys – situacija su kompiuteriais ir nešiojamaisiais kompiuteriais: juose nėra iš anksto įdiegtos antivirusinės programos; ir jie taip pat nenumato iš anksto nustatytų stiprių slaptažodžių. Daroma prielaida, kad galutinis vartotojas įdiegs antivirusinę programą ir nustatys saugos konfigūracijos parametrus. [1]
Kitas, ekstremalesnis pavyzdys: situacija su mažmeninės prekybos įrangos kibernetiniu saugumu (kasos aparatai, prekybos centrų PoS terminalai ir kt.). Taip atsitiko, kad komercinės įrangos pardavėjai parduoda tik tai, kas parduodama, o ne tai, kas saugu. [2] Jei yra vienas dalykas, kuriuo rūpinasi komercinės įrangos pardavėjai, kalbant apie kibernetinį saugumą, tai pasirūpinimas, kad įvykus prieštaringai vertinamam incidentui atsakomybė tektų kitiems. [3]
Orientacinis šios įvykių raidos pavyzdys: banko kortelių EMV standarto populiarinimas, kuris dėl kompetentingo banko rinkodaros specialistų darbo techniškai neįmantrios visuomenės akyse pasirodo kaip saugesnė alternatyva „pasenusioms“ magnetinės kortelės. Tuo pat metu pagrindinė bankininkystės pramonės, kuri buvo atsakinga už EMV standarto kūrimą, motyvacija buvo perkelti atsakomybę už nesąžiningus incidentus (įvykusius dėl kortuotojų kaltės) – nuo parduotuvių ant vartotojų. Tuo tarpu anksčiau (kai mokėjimai buvo atliekami magnetinėmis kortelėmis), finansinė atsakomybė už debeto/kredito neatitikimus tekdavo parduotuvėms. [3] Taigi mokėjimus apdorojantys bankai perkelia atsakomybę arba prekybininkams (kurie naudojasi savo nuotolinės bankininkystės sistemomis), arba bankams, išduodantiems mokėjimo korteles; pastarieji du savo ruožtu perkelia atsakomybę kortelės turėtojui. [2]
Pardavėjai trukdo kibernetiniam saugumui
Kadangi skaitmeninės atakos paviršius nenumaldomai plečiasi (dėl interneto prijungtų įrenginių sprogimo), sekti, kas prijungta prie įmonės tinklo, darosi vis sunkiau. Tuo pat metu pardavėjai susirūpinimą dėl visos prie interneto prijungtos įrangos saugumo perkelia galutiniam vartotojui [1]: „Skęstančių žmonių gelbėjimas yra pačių skęstančiųjų darbas“.
Pardavėjai ne tik nesirūpina savo kūrinių kibernetiniu saugumu, bet kai kuriais atvejais ir trukdo jį teikti. Pavyzdžiui, kai 2009 m. Conficker tinklo kirminas nutekėjo į Beth Israel medicinos centrą ir užkrėtė dalį ten esančios medicinos įrangos, šio medicinos centro techninis direktorius, siekdamas, kad panašūs incidentai nepasikartotų ateityje, nusprendė išjungti veikimo palaikymo funkcija įrangoje, kurią paveikė kirminas su tinklu. Tačiau jis susidūrė su tuo, kad „įranga negalėjo būti atnaujinta dėl norminių apribojimų“. Jam prireikė daug pastangų, kol derėjosi su pardavėju, kad būtų išjungtos tinklo funkcijos. [4]
Pagrindinis kibernetinis interneto nesaugumas
Davidas Clarke'as, legendinis MIT profesorius, kurio genijus pelnė jam „Albuso Dumbldoro“ pravardę, prisimena dieną, kai pasauliui buvo atskleista tamsioji interneto pusė. Clarkas pirmininkavo telekomunikacijų konferencijai 1988 m. lapkritį, kai pasklido žinia, kad pirmasis kompiuterių kirminas istorijoje prasiskverbė per tinklo laidus. Clarkas prisiminė šią akimirką, nes jo konferencijoje dalyvavęs pranešėjas (vienos iš pirmaujančių telekomunikacijų kompanijų darbuotojas) buvo atsakingas už šio kirmino plitimą. Šis kalbėtojas, emocijų įkarštyje, netyčia pasakė: „Štai! Atrodo, kad uždariau šį pažeidžiamumą“, – už šiuos žodžius sumokėjo jis. [5]
Tačiau vėliau paaiškėjo, kad pažeidžiamumas, per kurį išplito minėtasis kirminas, – ne vieno asmens nuopelnas. Ir tai, griežtai tariant, buvo net ne pažeidžiamumas, o esminis interneto bruožas: interneto įkūrėjai, kurdami savo mintis, išskirtinai orientavosi į duomenų perdavimo greitį ir atsparumą gedimams. Jie nekėlė sau užduoties užtikrinti kibernetinį saugumą. [5]
Šiandien, praėjus dešimtmečiams po interneto įkūrimo – jau išleisti šimtai milijardų dolerių bergždžiam kibernetinio saugumo bandymui – internetas yra ne mažiau pažeidžiamas. Jo kibernetinio saugumo problemos kasmet tik blogėja. Tačiau ar turime teisę už tai smerkti interneto įkūrėjus? Juk, pavyzdžiui, greitkelių statytojų niekas nesmerks už tai, kad nelaimės įvyksta „jų keliuose“; ir niekas nesmerks miestų planuotojų už tai, kad plėšimai vyksta „jų miestuose“. [5]
Kaip gimė įsilaužėlių subkultūra
Įsilaužėlių subkultūra atsirado septintojo dešimtmečio pradžioje „geležinkelio techninio modeliavimo klube“ (veikiančiame Masačusetso technologijos instituto sienose). Klubo entuziastai suprojektavo ir surinko pavyzdinį geležinkelį, tokį didžiulį, kad užpildė visą kambarį. Klubo nariai spontaniškai pasiskirstė į dvi grupes: taikdarius ir sistemos specialistus. [1960]
Pirmasis dirbo su antžemine modelio dalimi, antrasis – su požemine. Pirmieji rinko ir puošė traukinių ir miestų maketus: miniatiūriškai sumodeliavo visą pasaulį. Pastarasis dirbo prie viso šio taikdarystės techninės pagalbos: laidų, relių ir koordinačių jungiklių, esančių požeminėje modelio dalyje, sudėtingumas - viskas, kas valdė „antžeminę“ dalį ir maitino ją energija. [6]
Kai kilo eismo problema ir kas nors sugalvojo naują ir išradingą sprendimą jai išspręsti, sprendimas buvo vadinamas „nulaužimu“. Klubo nariams naujų įsilaužimų paieška tapo neatsiejama gyvenimo prasme. Štai kodėl jie pradėjo vadintis „hakeriais“. [6]
Pirmoji programišių karta Simuliaciniame geležinkelių klube įgytus įgūdžius įgyvendino rašydami kompiuterines programas perfokortose. Tada, kai ARPANET (interneto pirmtakas) atvyko į universiteto miestelį 1969 m., įsilaužėliai tapo aktyviausiais ir įgudusiais jo vartotojais. [6]
Dabar, praėjus dešimtmečiams, šiuolaikinis internetas primena tą pačią „požeminę“ pavyzdinio geležinkelio dalį. Nes jos įkūrėjai buvo tie patys įsilaužėliai, „Geležinkelio modeliavimo klubo“ studentai. Tik įsilaužėliai dabar valdo tikrus miestus, o ne imituotas miniatiūras. [6]
Kaip atsirado BGP maršrutas
Devintojo dešimtmečio pabaigoje, kaip laviną išaugus prie interneto prijungtų įrenginių skaičiui, internetas priartėjo prie griežtos matematinės ribos, įmontuotos viename iš pagrindinių interneto protokolų. Todėl bet koks to meto inžinierių pokalbis ilgainiui virto šios problemos aptarimu. Du draugai nebuvo išimtis: Jacobas Rechteris (IBM inžinierius) ir Kirkas Lockheedas (Cisco įkūrėjas). Atsitiktinai susitikę prie pietų stalo, jie pradėjo diskutuoti apie interneto funkcionalumo išsaugojimo priemones. Kilusias idėjas draugės surašė ant to, kas po ranka – kečupu išteptos servetėlės. Tada antrasis. Tada trečias. „Trijų servetėlių protokolas“, kaip jį juokaudami pavadino jo išradėjai, oficialiuose sluoksniuose žinomas kaip BGP (Border Gateway Protocol) – netrukus sukėlė revoliuciją internete. [80]
„Rechter“ ir „Lockheed“ BGP buvo tiesiog atsitiktinis įsilaužimas, sukurtas pagal anksčiau minėto „Model Railroad Club“ dvasią – laikinas sprendimas, kuris netrukus bus pakeistas. Bičiuliai sukūrė BGP 1989 m. Tačiau šiandien, praėjus 30 metų, didžioji dalis interneto srauto vis dar nukreipiama naudojant „trijų servetėlių protokolą“ – nepaisant vis nerimą keliančių skambučių apie kritines kibernetinio saugumo problemas. Laikinasis įsilaužimas tapo vienu iš pagrindinių interneto protokolų, o jo kūrėjai iš savo patirties sužinojo, kad „nėra nieko pastovesnio už laikinus sprendimus“. [8]
Tinklai visame pasaulyje perėjo prie BGP. Įtakingi pardavėjai, turtingi klientai ir telekomunikacijų įmonės greitai pamilo BGP ir prie jos priprato. Todėl net nepaisant vis daugiau pavojaus varpų dėl šio protokolo nesaugumo, IT visuomenė vis dar nerodo entuziazmo pereiti prie naujos, saugesnės įrangos. [8]
Kibernetinis nesaugus BGP maršrutas
Kodėl BGP maršrutizavimas toks geras ir kodėl IT bendruomenė neskuba jo atsisakyti? BGP padeda maršrutizatoriams priimti sprendimus, kur nukreipti didžiulius duomenų srautus, siunčiamus per didžiulį susikertančių ryšio linijų tinklą. BGP padeda maršrutizatoriams pasirinkti tinkamus kelius, nors tinklas nuolat keičiasi, o populiariuose maršrutuose dažnai būna kamščių. Problema ta, kad internetas neturi pasaulinio maršruto žemėlapio. Maršrutizatoriai, naudojantys BGP, priima sprendimus dėl vieno ar kito kelio pasirinkimo remdamiesi informacija, gauta iš kibernetinėje erdvėje esančių kaimynų, kurie savo ruožtu renka informaciją iš savo kaimynų ir pan. Tačiau šią informaciją galima lengvai suklastoti, o tai reiškia, kad BGP maršrutas yra labai pažeidžiamas MiTM atakų. [8]
Todėl nuolat kyla tokie klausimai: „Kodėl eismas tarp dviejų kompiuterių Denveryje ėmė milžinišką aplinkkelį per Islandiją?“, „Kodėl įslaptinti Pentagono duomenys kažkada buvo perduoti tranzitu per Pekiną? Yra techninių atsakymų į tokius klausimus, bet jie visi susiję su tuo, kad BGP veikia pasitikėjimo pagrindu: pasitikėjimas rekomendacijomis, gautomis iš kaimyninių maršrutizatorių. Dėl patikimo BGP protokolo pobūdžio paslaptingi eismo valdytojai gali privilioti kitų žmonių duomenų srautus į savo domeną, jei nori. [8]
Gyvas pavyzdys yra Kinijos BGP ataka prieš Amerikos Pentagoną. 2010 m. balandžio mėn. valstybinė telekomunikacijų milžinė „China Telecom“ išsiuntė dešimtis tūkstančių maršruto parinktuvų visame pasaulyje, įskaitant 16 8 JAV, BGP žinute, kad jie turi geresnius maršrutus. Neturėdami sistemos, kuri galėtų patikrinti BGP pranešimo iš China Telecom galiojimą, maršrutizatoriai visame pasaulyje pradėjo siųsti duomenis per Pekiną. Įskaitant srautą iš Pentagono ir kitų JAV gynybos departamento vietų. Dar vienas BGP maršruto nesaugumo požymis, kad srautas buvo nukreiptas iš naujo ir veiksmingos apsaugos nuo tokio tipo atakų nebuvimas. [XNUMX]
BGP protokolas teoriškai yra pažeidžiamas dar pavojingesnės kibernetinės atakos. Tuo atveju, jei virtualioje erdvėje visa apimtimi paaštrėtų tarptautiniai konfliktai, „China Telecom“ ar koks nors kitas telekomunikacijų milžinas galėtų pabandyti išsikovoti nuosavybės teises į jai iš tikrųjų nepriklausančias interneto dalis. Toks žingsnis suklaidintų maršrutizatorius, kurie turėtų šoktelėti tarp konkuruojančių pasiūlymų dėl tų pačių interneto adresų blokų. Neturėdami galimybės atskirti teisėtos programos nuo netikros, maršrutizatoriai pradėtų veikti netvarkingai. Dėl to susidurtume su internetiniu branduolinio karo atitikmeniu – atviru, plataus masto priešiškumo demonstravimu. Toks vystymas santykinės taikos laikais atrodo nerealus, tačiau techniškai tai visai įmanoma. [8]
Beprasmiškas bandymas pereiti nuo BGP prie BGPSEC
Kuriant BGP į kibernetinį saugumą nebuvo atsižvelgta, nes tuo metu įsilaužimai buvo reti, o žala iš jų buvo nereikšminga. BGP kūrėjams, kadangi jie dirbo telekomunikacijų įmonėse ir domėjosi savo tinklo įrangos pardavimu, teko aktualesnė užduotis – išvengti spontaniškų interneto gedimų. Kadangi interneto trikdžiai gali atstumti vartotojus ir taip sumažinti tinklo įrangos pardavimą. [8]
Po incidento, kai 2010 m. balandžio mėn. buvo perduotas amerikiečių karinis srautas per Pekiną, BGP maršruto kibernetinio saugumo užtikrinimo darbų tempas tikrai paspartėjo. Tačiau telekomunikacijų pardavėjai nerodė entuziazmo prisiimti išlaidas, susijusias su perėjimu prie naujo saugaus maršruto parinkimo protokolo BGPSEC, pasiūlyto kaip nesaugaus BGP pakaitalą. Pardavėjai vis dar mano, kad BGP yra gana priimtinas, net nepaisant daugybės eismo perėmimo atvejų. [8]
Radia Perlman, praminta „interneto motina“ už tai, kad 1988 m. išrado kitą svarbų tinklo protokolą (metai prieš BGP), MIT pelnė pranašišką daktaro disertaciją. Perlmanas numatė, kad maršruto parinkimo protokolas, priklausantis nuo kaimynų sąžiningumo kibernetinėje erdvėje, yra iš esmės nesaugus. Perlman pasisakė už kriptografijos naudojimą, kuris padėtų apriboti padirbinėjimo galimybę. Tačiau BGP diegimas jau įsibėgėjo, įtakinga IT bendruomenė prie to buvo pripratusi, nieko keisti nenorėjo. Todėl po argumentuotų Perlmano, Clarko ir kai kurių kitų žymių pasaulio ekspertų įspėjimų santykinė kriptografiškai saugaus BGP maršruto parinkimo dalis nė kiek nepadidėjo ir vis dar yra 0%. [8]
BGP maršruto parinkimas nėra vienintelis įsilaužimas
Ir BGP maršrutas nėra vienintelis įsilaužimas, patvirtinantis mintį, kad „nieko nėra pastovesnio už laikinus sprendimus“. Kartais internetas, panardinantis mus į fantazijų pasaulius, atrodo elegantiškas kaip lenktyninis automobilis. Tačiau iš tikrųjų dėl vienas ant kito sukrautų įsilaužimų internetas panašesnis į Frankenšteiną nei į Ferrari. Kadangi šie įsilaužimai (oficialiau vadinami pataisais) niekada nepakeičiami patikimomis technologijomis. Tokio požiūrio pasekmės yra siaubingos: kasdien ir kas valandą kibernetiniai nusikaltėliai įsilaužia į pažeidžiamas sistemas, išplėsdami kibernetinių nusikaltimų ribas iki anksčiau neįsivaizduojamų mastų. [8]
Daugelis kibernetinių nusikaltėlių išnaudotų trūkumų buvo žinomi jau seniai ir buvo išsaugoti vien dėl IT bendruomenės tendencijos iškylančias problemas spręsti – laikinais įsilaužimais/pataisymais. Kartais dėl to pasenusios technologijos ilgą laiką kaupiasi viena ant kitos, apsunkindamos žmonių gyvenimus ir sukeldamos jiems pavojų. Ką pagalvotumėte, jei sužinotumėte, kad jūsų bankas savo saugyklą stato ant šiaudų ir purvo pamatų? Ar patikėtumėte, kad jis išlaikys jūsų santaupas? [8]
Nerūpestingas Linuso Torvaldso požiūris
Prireikė metų, kol internetas pasiekė pirmąjį šimtą kompiuterių. Šiandien prie jo kas sekundę prijungiama 100 naujų kompiuterių ir kitų įrenginių. Sprogstant prie interneto prijungtiems įrenginiams, sparčiai didėja ir kibernetinio saugumo problemos. Tačiau žmogus, kuris galėtų turėti didžiausią įtaką sprendžiant šias problemas, yra tas, kuris į kibernetinį saugumą žiūri su panieka. Šis žmogus buvo vadinamas genijumi, chuliganu, dvasiniu lyderiu ir geranorišku diktatoriumi. Linas Torvaldsas. Daugumoje prie interneto prijungtų įrenginių veikia operacinė sistema „Linux“. Greita, lanksti, nemokama – laikui bėgant Linux tampa vis populiaresnis. Tuo pačiu metu jis elgiasi labai stabiliai. Ir jis gali veikti be perkrovimo daugelį metų. Štai kodėl „Linux“ turi garbę būti dominuojančia operacine sistema. Beveik visa šiandien mums prieinama kompiuterizuota įranga veikia „Linux“: serveriai, medicininė įranga, skrydžio kompiuteriai, maži dronai, kariniai orlaiviai ir daug daugiau. [9]
„Linux“ pasiseka daugiausia dėl to, kad Torvaldsas pabrėžia našumą ir atsparumą gedimams. Tačiau jis tai pabrėžia kibernetinio saugumo sąskaita. Net kai kibernetinė erdvė ir tikrasis fizinis pasaulis persipina ir kibernetinis saugumas tampa pasauline problema, Torvaldsas ir toliau priešinasi saugių naujovių diegimui į savo operacinę sistemą. [9]
Todėl net tarp daugelio Linux gerbėjų kyla vis didesnis susirūpinimas dėl šios operacinės sistemos pažeidžiamumo. Visų pirma, intymiausia „Linux“ dalis – jos branduolys, su kuriuo Torvaldsas dirba asmeniškai. „Linux“ gerbėjai mato, kad Torvaldsas rimtai nežiūri į kibernetinio saugumo klausimus. Be to, Torvaldsas apsupo save kūrėjais, kurie dalijasi tokiu nerūpestingu požiūriu. Jei kas nors iš Torvaldso vidinio rato pradeda kalbėti apie saugių naujovių diegimą, jis iš karto nugrimzta. Torvaldsas atmetė vieną tokių novatorių grupę ir pavadino juos „masturbuojančiomis beždžionėmis“. Kai Torvaldsas atsisveikino su kita saugumo besirūpinančių kūrėjų grupe, jis jiems pasakė: „Ar būtumėte toks malonus ir nusižudytumėte. Pasaulis dėl to būtų geresnė vieta“. Kai reikėjo pridėti saugos funkcijų, Torvaldsas visada priešinosi. [9] Šiuo atžvilgiu Torvaldsas netgi turi visą filosofiją, kuri nėra be sveiko proto grūdo:
„Absoliutus saugumas nepasiekiamas. Todėl visada reikia atsižvelgti tik į kitus prioritetus: greitį, lankstumą ir naudojimo paprastumą. Žmonės, kurie visiškai atsiduoda apsaugai, yra pamišę. Jų mąstymas yra ribotas, juodas ir baltas. Saugumas pats savaime yra nenaudingas. Esmė visada yra kažkur kitur. Todėl jūs negalite užtikrinti visiško saugumo, net jei labai to norite. Žinoma, yra žmonių, kurie saugumui skiria daugiau dėmesio nei Torvaldsas. Tačiau šie vaikinai tiesiog dirba su tuo, kas juos domina, ir užtikrina saugumą siauroje santykinėje sistemoje, kuri apibrėžia šiuos interesus. Ne daugiau. Taigi jie jokiu būdu neprisideda prie absoliutaus saugumo didinimo. [9]
Šoninė juosta: OpenSource yra kaip parako statinė [10]
Atvirojo kodo kodas sutaupė milijardus programinės įrangos kūrimo išlaidų, todėl nebereikėjo pasikartojančių pastangų: su OpenSource programuotojai turi galimybę naudotis dabartinėmis naujovėmis be apribojimų ar nemokėjimo. Visur naudojamas atvirasis šaltinis. Net jei pasamdėte programinės įrangos kūrėją, kuris išspręstų jūsų specializuotą problemą nuo nulio, šis kūrėjas greičiausiai naudos kokią nors atvirojo kodo biblioteką. Ir tikriausiai daugiau nei vienas. Taigi „OpenSource“ elementai yra beveik visur. Kartu reikia suprasti, kad jokia programinė įranga nėra statiška, jos kodas nuolat keičiasi. Todėl „nustatyti ir pamiršti“ principas niekada neveikia kodui. Įskaitant OpenSource kodą: anksčiau ar vėliau reikės atnaujintos versijos.
2016 m. matėme tokios padėties pasekmes: 28 metų kūrėjas trumpam „sulaužė“ internetą, ištrynęs savo atvirojo kodo kodą, kurį anksčiau buvo paskelbęs viešai. Ši istorija rodo, kad mūsų kibernetinė infrastruktūra yra labai trapi. Kai kuriems žmonėms, kurie palaiko atvirojo kodo projektus, taip svarbu jį išlaikyti, kad jei, neduok Dieve, juos partrenktų autobusas, internetas nutrūktų.
Sunkiai prižiūrimas kodas yra ta vieta, kur slypi didžiausi kibernetinio saugumo spragos. Kai kurios įmonės net nesuvokia, kokios jos pažeidžiamos dėl sunkiai prižiūrimo kodo. Pažeidžiamumas, susijęs su tokiu kodu, gali labai lėtai subręsti į tikrą problemą: sistemos lėtai pūva, neparodydamos matomų gedimų irimo procese. Ir kai jie nepavyksta, pasekmės yra mirtinos.
Galiausiai, kadangi atvirojo kodo projektus dažniausiai kuria entuziastų bendruomenė, kaip Linusas Torvaldsas ar kaip straipsnio pradžioje minėti įsilaužėliai iš Model Railroad Club, sunkumų, susijusių su sunkiai prižiūrimu kodu, negalima išspręsti tradiciniais būdais (naudojant komerciniai ir vyriausybiniai svertai). Nes tokių bendruomenių nariai yra valingi ir labiau už viską vertina savo nepriklausomybę.
Šoninė juosta: gal žvalgybos tarnybos ir antivirusinių programų kūrėjai mus apsaugos?
2013 metais tapo žinoma, kad „Kaspersky Lab“ turėjo specialų padalinį, kuris vykdė individualius informacijos saugumo incidentų tyrimus. Dar visai neseniai šiam skyriui vadovavo buvęs policijos majoras Ruslanas Stojanovas, anksčiau dirbęs sostinės „K“ departamente (Maskvos vyriausiojo vidaus reikalų direkcijos USTM). Visi šio specialaus „Kaspersky Lab“ padalinio darbuotojai yra iš teisėsaugos institucijų, įskaitant Tyrimų komitetą ir „K“ direktoratą. [vienuolika]
2016 metų pabaigoje FSB suėmė Ruslaną Stojanovą ir apkaltino jį išdavyste. Toje pačioje byloje buvo sulaikytas aukšto rango FSB CIB (informacijos saugumo centro) atstovas Sergejus Michailovas, ant kurio iki sulaikymo buvo pririštas visas šalies kibernetinis saugumas. [vienuolika]
Šoninė juosta: vykdomas kibernetinis saugumas
Netrukus Rusijos verslininkai bus priversti rimtą dėmesį skirti kibernetiniam saugumui. 2017 metų sausį Informacijos apsaugos ir specialiųjų ryšių centro atstovas Nikolajus Murašovas pareiškė, kad Rusijoje vien CII objektai (kritinė informacinė infrastruktūra) 2016 metais buvo atakuoti daugiau nei 70 mln. CII objektai apima valstybinių įstaigų, gynybos pramonės įmonių, transporto, kredito ir finansų sektorių, energetikos, kuro ir branduolinės pramonės informacines sistemas. Norėdamas juos apsaugoti, liepos 26 d. Rusijos prezidentas Vladimiras Putinas pasirašė įstatymų paketą „Dėl CII saugumo“. Iki 1 m. sausio 2018 d., kai įsigalios įstatymas, CII įrenginių savininkai turi įgyvendinti priemonių kompleksą, kad apsaugotų savo infrastruktūrą nuo įsilaužėlių atakų, ypač prisijungti prie „GosSOPKA“. [12]
Bibliografija
- Džonatanas Milletas. // vienas.
- Rossas Andersonas. Kaip žlunga išmaniųjų kortelių mokėjimo sistemos // Black Hat. 2014 m.
- SJ Murdochas. Lustas ir PIN sugadinti // IEEE saugumo ir privatumo simpoziumo medžiaga. 2010. p. 433-446.
- Davidas Talbotas. // MIT technologijų apžvalga (skaitmeninė). 2012 m.
- Craigas Timbergas. // The Washington Post. 2015 m.
- Michaelas Listas. // Toronto gyvenimas. 2018 m.
- Craigas Timbergas. // The Washington Post. 2015 m.
- Craigas Timbergas. // The Washington Post. 2015 m.
- Craigas Timbergas. // The Washington Post. 2015 m.
- Joshua Gans. // Harvard Business Review (skaitmeninis). 2017 m.
- // CNews. 2017. URL.
- Marija Kolomyčenko. // RBC. 2017 m.
Šaltinis: www.habr.com