Кога „црните шапки“ - како редари на дивата шума на сајбер-просторот - ќе испаднат особено успешни во својата валкана работа, жолтите медиуми квичат од задоволство. Како резултат на тоа, светот почнува посериозно да гледа на сајбер безбедноста. Но, за жал, не веднаш. Затоа, и покрај зголемениот број на катастрофални сајбер инциденти, светот сè уште не е зрел за активни проактивни мерки. Сепак, се очекува дека во блиска иднина, благодарение на „црните капи“, светот ќе почне сериозно да ја сфаќа сајбер безбедноста. [7]

Исто толку сериозни како пожарите... Градовите некогаш биле многу ранливи на катастрофални пожари. Сепак, и покрај потенцијалната опасност, не беа преземени проактивни заштитни мерки - дури и по огромниот пожар во Чикаго во 1871 година, кој однесе стотици животи и раселени стотици илјади луѓе. Проактивни заштитни мерки беа преземени дури откако повторно се случи слична катастрофа, три години подоцна. Истото е и со сајбер безбедноста - светот нема да го реши овој проблем доколку не дојде до катастрофални инциденти. Но, дури и да се случат вакви инциденти, светот нема веднаш да го реши овој проблем. [7] Затоа, дури и поговорката: „Додека не се појави бубачка, човекот нема да биде закрпен“, не функционира баш. Затоа во 2018 година прославивме 30 години неизбежна несигурност.

Лирска дигресија

Почетокот на овој напис, кој првично го напишав за списанието System Administrator, се покажа како пророчки во извесна смисла. Издание на списание со оваа статија излезе буквално ден по ден со трагичниот пожар во кемеровскиот трговски центар „Зимска цреша“ (2018).

Инсталирајте Интернет за 30 минути

Во далечната 1988 година, легендарната хакерска галаксија L0pht, зборувајќи со полна сила пред состанокот на највлијателните западни функционери, изјави: „Вашата компјутеризирана опрема е ранлива на сајбер напади од Интернет. И софтвер, и хардвер и телекомуникации. Нивните продавачи воопшто не се загрижени за ваквата состојба. Бидејќи современото законодавство не предвидува никаква одговорност за несовесен пристап кон обезбедување на сајбер безбедноста на произведениот софтвер и хардвер. Одговорноста за потенцијалните неуспеси (без разлика дали се спонтани или предизвикани од интервенција на сајбер-криминалци) лежи исклучиво кај корисникот на опремата. Што се однесува до федералната влада, таа нема ниту вештини ниту желба да го реши овој проблем. Затоа, ако барате сајбер безбедност, тогаш Интернетот не е местото каде што треба да ја најдете. Секој од седумте луѓе што седат пред вас може целосно да го скрши интернетот и, соодветно, да преземе целосна контрола над опремата поврзана со него. Од самиот себе. 30 минути кореографски притискања на тастатурата и готово“. [7]

Службениците значајно кимнаа со главата и јасно ставија до знаење дека ја разбираат сериозноста на ситуацијата, но не направија ништо. Денес, точно 30 години по легендарниот настап на L0pht, светот сè уште го мачи „раширената несигурност“. Хакирањето на компјутеризирана опрема поврзана на Интернет е толку лесно што Интернетот, првично кралство на идеалистички научници и ентузијасти, постепено беше окупиран од најпрагматичните професионалци: измамници, измамници, шпиони, терористи. Сите тие ги искористуваат ранливостите на компјутеризираната опрема за финансиски или други придобивки. [7]

Продавачите ја занемаруваат сајбер безбедноста

Се разбира, продавачите понекогаш се обидуваат да поправат некои од идентификуваните пропусти, но тоа го прават многу неволно. Бидејќи нивниот профит не доаѓа од заштитата од хакери, туку од новата функционалност што им ја овозможуваат на потрошувачите. Со оглед на тоа што се фокусирани исклучиво на краткорочен профит, продавачите инвестираат пари само во решавање на реални проблеми, а не на хипотетички. Сајбер безбедноста, во очите на многу од нив, е хипотетичка работа. [7]

Сајбер безбедноста е невидлива, нематеријална работа. Станува опипливо само кога ќе се појават проблеми со него. Ако добро се грижеле за него (потрошиле многу пари за негово обезбедување), а нема проблеми со тоа, крајниот потрошувач нема да сака да преплатува за тоа. Покрај тоа, покрај зголемувањето на финансиските трошоци, спроведувањето на заштитните мерки бара дополнително време за развој, бара ограничување на можностите на опремата и доведува до намалување на нејзината продуктивност. [8]

Тешко е да се убедат дури и нашите сопствени пазарџии во изводливоста на наведените трошоци, а камоли крајните потрошувачи. И бидејќи современите продавачи се заинтересирани само за краткорочни профити од продажба, тие воопшто не се склони да преземат одговорност за обезбедување на сајбер безбедноста на нивните креации. [1] Од друга страна, повнимателните продавачи кои се грижеле за сајбер безбедноста на нивната опрема се соочуваат со фактот дека корпоративните потрошувачи претпочитаат поевтини и полесни за користење алтернативи. Тоа. Очигледно е дека корпоративните потрошувачи не се грижат многу за сајбер безбедноста. [8]

Со оглед на горенаведеното, не е изненадувачки што продавачите имаат тенденција да ја занемаруваат сајбер-безбедноста и да се придржуваат до следнава филозофија: „Продолжете да градите, продолжете да продавате и да закрпите кога е потребно. Дали системот паднал? Изгубени информации? Украдена база на податоци со броеви на кредитни картички? Дали има одредени фатални пропусти во вашата опрема? Нема проблем!" Потрошувачите, пак, треба да го следат принципот: „Закрпи и молете се“. [7]

Како се случува ова: примери од дивината

Впечатлив пример за занемарување на сајбер безбедноста за време на развојот е корпоративната програма за поттикнување на Мајкрософт: „Ако ги пропуштите роковите, ќе бидете казнети. Ако немате време да го поднесете објавувањето на вашата иновација навреме, тоа нема да се имплементира. Доколку не се имплементира, нема да добиете акции од компанијата (парче од колачот од профитот на Мајкрософт).“ Од 1993 година, Мајкрософт започна активно да ги поврзува своите производи со Интернет. Бидејќи оваа иницијатива функционираше во согласност со истата мотивациска програма, функционалноста се прошири побрзо отколку што одбраната можеше да биде во чекор со неа. На задоволство на прагматичните ловци на ранливост... [7]

Друг пример е ситуацијата со компјутерите и лаптопите: тие не доаѓаат со претходно инсталиран антивирус; и тие исто така не обезбедуваат претходно поставени силни лозинки. Се претпоставува дека крајниот корисник ќе го инсталира антивирусот и ќе ги постави безбедносните конфигурациски параметри. [1]

Друг, поекстремен пример: ситуацијата со сајбер безбедноста на опремата за малопродажба (благајнички каси, PoS терминали за трговски центри итн.). Така се случи продавачите на комерцијална опрема да го продаваат само она што е продадено, а не она што е безбедно. [2] Ако има една работа за која продавачите на комерцијална опрема се грижат во однос на сајбер безбедноста, тоа е да се погрижат ако се случи контроверзен инцидент, одговорноста паѓа на други. [3]

Индикативен пример за ваквиот развој на настаните: популаризацијата на стандардот EMV за банкарски картички, кој благодарение на компетентната работа на банкарските маркетери се појавува во очите на технички несофистицираната јавност како побезбедна алтернатива на „застарените“ магнетни картички. Во исто време, главната мотивација на банкарската индустрија, која беше одговорна за развој на стандардот EMV, беше да ја префрли одговорноста за измамни инциденти (кои се случуваат по вина на кардерите) - од продавници на потрошувачи. Додека претходно (кога плаќањата се вршеа со магнетни картички), финансиската одговорност беше на продавниците за неусогласеност во дебитниот/кредит. [3] Така банките кои обработуваат плаќања ја префрлаат одговорноста или на трговците (кои ги користат нивните далечински банкарски системи) или на банките кои издаваат платежни картички; последните две, пак, ја префрлаат одговорноста на сопственикот на картичката. [2]

Продавачите ја попречуваат сајбер безбедноста

Како што површината на дигиталниот напад незапирливо се шири - благодарение на експлозијата на уреди поврзани на Интернет - следењето на она што е поврзано со корпоративната мрежа станува сè потешко. Во исто време, продавачите ја префрлаат загриженоста за безбедноста на целата опрема поврзана на Интернет на крајниот корисник [1]: „Спасувањето на давениците е дело на самите давеници“.

Не само што продавачите не се грижат за сајбер-безбедноста на нивните креации, туку во некои случаи тие се мешаат и во нејзиното обезбедување. На пример, кога во 2009 година црвот на мрежата Conficker протече во медицинскиот центар Бет Израел и зарази дел од медицинската опрема таму, техничкиот директор на овој медицински центар, со цел да спречи слични инциденти во иднина, одлучи да го оневозможи функција за поддршка на операцијата на опремата погодена од црвот со мрежата. Сепак, тој се соочи со фактот дека „опремата не може да се ажурира поради регулаторните ограничувања“. Му требаше значителен напор да преговара со продавачот за да ги оневозможи мрежните функции. [4]

Фундаментална сајбер-несигурност на Интернет

Дејвид Кларк, легендарниот професор на МИТ, чија генијалност му го донесе прекарот „Албус Дамблдор“, се сеќава на денот кога на светот му беше откриена темната страна на Интернетот. Кларк претседаваше со конференција за телекомуникации во ноември 1988 година кога се појавија вести дека првиот компјутерски црв во историјата се протнал низ мрежните жици. Кларк се сети на овој момент бидејќи говорникот присутен на неговата конференција (вработен во една од водечките телекомуникациски компании) беше повикан на одговорност за ширењето на овој црв. Овој говорник, во топлината на емоциите, ненамерно рече: „Еве ти!“ Се чини дека ја затворив оваа ранливост“, плати за овие зборови. [5]

Меѓутоа, подоцна се покажа дека ранливоста низ која се ширел споменатиот црв не е заслуга на ниту еден поединечен човек. И ова, строго кажано, не беше ни ранливост, туку фундаментална карактеристика на Интернет: основачите на Интернет, кога го развиваа своето замисла, се фокусираа исклучиво на брзината на пренос на податоци и толеранцијата на грешки. Тие не си поставија задача да обезбедат сајбер безбедност. [5]

Денес, неколку децении по основањето на Интернетот - со стотици милијарди долари веќе потрошени на залудни обиди за сајбер безбедност - Интернетот не е помалку ранлив. Нејзините проблеми со сајбер безбедноста се влошуваат секоја година. Сепак, дали имаме право да ги осудиме основачите на Интернет за ова? На крајот на краиштата, на пример, никој нема да ги осуди градителите на експресни патишта за фактот дека несреќите се случуваат на „нивните патишта“; и никој нема да ги осуди градските планери за фактот дека грабежите се случуваат во „нивните градови“. [5]

Како се роди хакерската субкултура

Хакерската субкултура потекнува од раните 1960-ти, во „Клубот за техничко моделирање на железницата“ (кои работи во ѕидовите на Технолошкиот институт во Масачусетс). Клубските ентузијасти дизајнираа и составија модел на пруга, толку огромна што ја исполни целата просторија. Членовите на клубот спонтано се поделени во две групи: миротворци и системски специјалисти. [6]

Првиот работеше со надземниот дел од моделот, вториот - со подземјето. Првите собраа и украсија модели на возови и градови: го моделираа целиот свет во минијатура. Вториот работеше на техничката поддршка за сето ова мирољубивост: сложеност од жици, релеи и координатни прекинувачи лоцирани во подземниот дел на моделот - сè што го контролираше „надземниот“ дел и го хранеше со енергија. [6]

Кога имаше проблем во сообраќајот и некој смисли ново и генијално решение за да го поправи, решението беше наречено „хак“. За членовите на клубот, потрагата по нови хакери стана суштинска смисла на животот. Затоа почнаа да се нарекуваат „хакери“. [6]

Првата генерација хакери ги имплементираа вештините стекнати во Симулациониот железнички клуб со пишување компјутерски програми на удирани картички. Потоа, кога ARPANET (претходникот на Интернет) пристигна на кампусот во 1969 година, хакерите станаа негови најактивни и највешти корисници. [6]

Сега, неколку децении подоцна, модерниот Интернет наликува на тој многу „подземен“ дел од моделот на железницата. Бидејќи неговите основачи беа истите хакери, студенти на „Клубот за симулација на железницата“. Сега само хакерите управуваат со вистински градови наместо со симулирани минијатури. [6]

Како настана рутирањето BGP

До крајот на 80-тите, како резултат на лавино зголемување на бројот на уреди поврзани на Интернет, Интернетот се приближи до тешкото математичко ограничување вградено во еден од основните Интернет протоколи. Затоа, секој разговор меѓу тогашните инженери на крајот се претвори во дискусија за овој проблем. Двајца пријатели не беа исклучок: Џејкоб Рехтер (инженер од IBM) и Кирк Локхид (основач на Cisco). Откако случајно се сретнаа на масата за вечера, тие почнаа да разговараат за мерките за зачувување на функционалноста на Интернетот. Пријателите ги запишаа идеите што се појавија на што и да дојде при рака - салфетка извалкана со кечап. Потоа вториот. Потоа третиот. „Протоколот со три салфетки“, како што на шега го нарекоа неговите пронаоѓачи - познат во официјалните кругови како BGP (Border Gateway Protocol) - набрзо направи револуција на Интернет. [8]

За Rechter и Lockheed, BGP беше едноставно случајно хакирање, развиено во духот на споменатиот Модел железнички клуб, привремено решение кое наскоро ќе биде заменето. Другарите развија BGP во 1989 година. Меѓутоа, денес, 30 години подоцна, поголемиот дел од интернет сообраќајот сè уште се насочува со помош на „протоколот со три салфетки“ - и покрај се поалармантните повици за критичните проблеми со неговата сајбер безбедност. Привременото хакирање стана еден од основните интернет протоколи, а неговите развивачи научија од сопственото искуство дека „нема ништо потрајно од привремени решенија“. [8]

Мрежите ширум светот се префрлија на BGP. Влијателни продавачи, богати клиенти и телекомуникациски компании брзо се заљубија во BGP и се навикнаа на тоа. Затоа, и покрај се повеќе и повеќе алармни ѕвона за несигурноста на овој протокол, ИТ јавноста сè уште не покажува ентузијазам за транзиција кон нова, побезбедна опрема. [8]

Сајбер-небезбедно рутирање BGP

Зошто рутирањето BGP е толку добро и зошто ИТ заедницата не брза да го напушти? BGP им помага на рутерите да донесуваат одлуки за тоа каде да ги насочат огромните текови на податоци испратени низ огромна мрежа на вкрстени комуникациски линии. BGP им помага на рутерите да изберат соодветни патеки, иако мрежата постојано се менува и популарните рути често доживуваат сообраќаен метеж. Проблемот е што Интернетот нема глобална рутирачка мапа. Рутерите кои користат BGP донесуваат одлуки за избор на една или друга патека врз основа на информациите добиени од соседите во сајбер просторот, кои пак собираат информации од нивните соседи итн. Сепак, оваа информација може лесно да се фалсификува, што значи дека рутирањето на BGP е многу ранливо на нападите на MiTM. [8]

Затоа, редовно се поставуваат прашања како следново: „Зошто сообраќајот помеѓу два компјутери во Денвер се ограничи низ Исланд?“, „Зошто еднаш доверливите податоци на Пентагон беа пренесени во транзит низ Пекинг?“ Постојат технички одговори на прашања како овие, но сите тие се сведуваат на фактот дека BGP работи врз основа на доверба: доверба во препораките добиени од соседните рутери. Благодарение на доверливата природа на протоколот BGP, мистериозните управници на сообраќајот можат да намамат туѓи текови на податоци во нивниот домен ако сакаат. [8]

Жив пример е нападот на Кина со БГП врз американскиот Пентагон. Во април 2010 година, државниот телекомуникациски гигант China Telecom испрати десетици илјади рутери ширум светот, вклучително и 16 во Соединетите Држави, порака BGP која им кажува дека имаат подобри рути. Без систем кој може да ја потврди валидноста на BGP пораката од China Telecom, рутерите ширум светот почнаа да испраќаат податоци во транзит низ Пекинг. Вклучувајќи сообраќај од Пентагон и други локации на Министерството за одбрана на САД. Леснотијата со која сообраќајот беше пренасочен и недостатокот на ефикасна заштита од овој тип на напади е уште еден знак за несигурноста на рутирањето на BGP. [8]

Протоколот BGP е теоретски ранлив на уште поопасен сајбер напад. Во случај меѓународните конфликти да ескалираат со полна сила во сајбер-просторот, China Telecom или некој друг телекомуникациски гигант, би можел да се обиде да бара сопственост на делови од Интернет кои всушност не му припаѓаат. Ваквиот потег би ги збунил рутерите, кои би морале да отскокнуваат меѓу конкурентните понуди за истите блокови на интернет адреси. Без способност да се разликува легитимна апликација од лажна, рутерите би почнале да дејствуваат неправилно. Како резултат на тоа, ќе се соочиме со интернет еквивалент на нуклеарна војна - отворен, голем приказ на непријателство. Ваквиот развој на настаните во време на релативен мир изгледа нереален, но технички е сосема остварлив. [8]

Залуден обид да се пресели од BGP во BGPSEC

Сајбер безбедноста не беше земена предвид кога беше развиен BGP, бидејќи во тоа време хакерите беа ретки и штетата од нив беше занемарлива. Програмерите на BGP, бидејќи работеа за телекомуникациски компании и беа заинтересирани да ја продаваат својата мрежна опрема, имаа поитна задача: да избегнат спонтани дефекти на Интернет. Бидејќи прекините на Интернет може да ги отуѓат корисниците, а со тоа и да ја намалат продажбата на мрежната опрема. [8]

По инцидентот со преносот на американскиот воен сообраќај низ Пекинг во април 2010 година, темпото на работа за обезбедување на сајбер безбедноста на рутирањето на BGP секако се забрза. Сепак, продавачите на телекомуникации покажаа мал ентузијазам за поднесување на трошоците поврзани со мигрирањето на новиот протокол за безбедно рутирање BGPSEC, предложен како замена за небезбедниот BGP. Продавачите сè уште го сметаат BGP за сосема прифатливо, дури и покрај безбројните инциденти на следење на сообраќајот. [8]

Радиа Перлман, наречена „Мајката на Интернетот“ поради измислувањето на уште еден голем мрежен протокол во 1988 година (една година пред BGP), заработи пророчка докторска дисертација на MIT. Перлман предвиде дека протоколот за рутирање кој зависи од чесноста на соседите во сајбер-просторот е фундаментално небезбеден. Перлман се залагаше за употреба на криптографија, што ќе помогне да се ограничи можноста за фалсификување. Сепак, имплементацијата на BGP веќе беше во полн ек, влијателната ИТ заедница беше навикната на тоа и не сакаше да промени ништо. Затоа, по образложените предупредувања од Перлман, Кларк и некои други истакнати светски експерти, релативниот удел на криптографски безбедно рутирање BGP воопшто не се зголемил и се уште е 0%. [8]

BGP рутирањето не е единствениот хак

И рутирањето на BGP не е единствениот хак што ја потврдува идејата дека „ништо не е потрајно од привремените решенија“. Понекогаш Интернетот, кој не потопува во световите на фантазијата, изгледа елегантно како тркачки автомобил. Меѓутоа, во реалноста, поради хаковите натрупани еден врз друг, Интернетот повеќе личи на Франкенштајн отколку на Ферари. Бидејќи овие хакови (поофицијално наречени закрпи) никогаш не се заменуваат со сигурна технологија. Последиците од овој пристап се страшни: секојдневно и на час сајбер-криминалците упаѓаат во ранливи системи, проширувајќи го опсегот на сајбер криминалот до претходно незамисливи размери. [8]

Многу од недостатоците што ги користат сајбер-криминалците се познати долго време и се зачувани исклучиво поради тенденцијата на ИТ заедницата да ги решава проблемите кои се појавуваат - со привремени хакови/закрпи. Понекогаш, поради тоа, застарените технологии се натрупуваат една врз друга долго време, што го отежнува животот на луѓето и ги доведува во опасност. Што би помислиле кога би дознале дека вашата банка го гради својот трезор на темел од слама и кал? Дали би му верувале да ги задржи вашите заштеди? [8]

Безгрижниот однос на Линус Торвалдс

Беа потребни години пред Интернетот да ги достигне првите сто компјутери. Денес, секоја секунда на него се поврзуваат 100 нови компјутери и други уреди. Како што експлодираат уредите поврзани на Интернет, така се зголемува итноста на проблемите со сајбер безбедноста. Сепак, личноста која би можела да има најголемо влијание врз решавањето на овие проблеми е онаа која на сајбер безбедноста гледа со презир. Овој човек е наречен гениј, насилник, духовен водач и добронамерен диктатор. Линус Торвалдс. Огромното мнозинство уреди поврзани на Интернет го користат неговиот оперативен систем, Linux. Брз, флексибилен, бесплатен - Linux станува сè попопуларен со текот на времето. Во исто време, се однесува многу стабилно. И може да работи без рестартирање многу години. Ова е причината зошто Linux ја има честа да биде доминантен оперативен систем. Речиси целата компјутеризирана опрема што ни е достапна денес работи со Linux: сервери, медицинска опрема, компјутери за летање, мали дронови, воени авиони и многу повеќе. [9]

Linux успева во голема мера затоа што Торвалдс ги нагласува перформансите и толеранцијата на грешки. Сепак, тој го става овој акцент на сметка на сајбер безбедноста. Дури и кога сајбер просторот и реалниот физички свет се испреплетуваат и сајбер безбедноста станува глобален проблем, Торвалдс продолжува да се спротивставува на воведувањето сигурни иновации во неговиот оперативен систем. [9]

Затоа, дури и кај многу фанови на Linux, постои зголемена загриженост за ранливостите на овој оперативен систем. Конкретно, најинтимниот дел на Линукс, неговото јадро, на кое Торвалдс работи лично. Фановите на Линукс гледаат дека Торвалдс не ги сфаќа сериозно прашањата за сајбер безбедноста. Покрај тоа, Торвалдс се опкружи со програмери кои го делат овој безгрижен став. Ако некој од внатрешниот круг на Торвалдс почне да зборува за воведување безбедни иновации, тој веднаш е анатемизиран. Торвалдс отфрли една група такви иноватори, нарекувајќи ги „мајмуни кои мастурбираат“. Додека Торвалдс се збогуваше со друга група програмери кои се свесни за безбедноста, тој им рече: „Дали би биле толку љубезни да се убиете. Светот би бил подобро место поради тоа“. Секогаш кога стануваше збор за додавање безбедносни карактеристики, Торвалдс секогаш беше против тоа. [9] Торвалдс дури има цела филозофија во овој поглед, што не е без зрно здрав разум:

„Апсолутна безбедност е недостижна. Затоа, секогаш треба да се разгледува само во однос на другите приоритети: брзина, флексибилност и леснотија на користење. Луѓето кои целосно се посветуваат на обезбедување заштита се луди. Нивното размислување е ограничено, црно-бело. Безбедноста сама по себе е бескорисна. Суштината е секогаш на друго место. Затоа, не можете да обезбедите апсолутна безбедност, дури и ако навистина сакате. Се разбира, има луѓе кои посветуваат повеќе внимание на безбедноста од Торвалдс. Сепак, овие момци едноставно работат на она што ги интересира и обезбедуваат сигурност во тесната релативна рамка што ги разграничува овие интереси. Нема повеќе. Така, тие во никој случај не придонесуваат за зголемување на апсолутната безбедност“. [9]

Странична лента: OpenSource е како буре барут [10]

OpenSource кодот заштеди милијарди во трошоците за развој на софтвер, елиминирајќи ја потребата од дупликат напори: со OpenSource, програмерите имаат можност да ги користат тековните иновации без ограничувања или плаќање. OpenSource се користи насекаде. Дури и ако сте ангажирале развивач на софтвер за да го реши вашиот специјализиран проблем од нула, овој развивач најверојатно ќе користи некаква библиотека со отворен извор. И веројатно повеќе од еден. Така, OpenSource елементите се присутни речиси насекаде. Во исто време, треба да се разбере дека ниту еден софтвер не е статичен; неговиот код постојано се менува. Затоа, принципот „постави го и заборавај“ никогаш не работи за кодот. Вклучувајќи го кодот со отворен извор: порано или подоцна ќе биде потребна ажурирана верзија.

Во 2016 година, ги видовме последиците од ваквата состојба: 28-годишен програмер накратко го „скрши“ Интернетот со бришење на неговиот код со отворен код, кој претходно го стави јавно достапен. Оваа приказна укажува дека нашата сајберинфраструктура е многу кревка. Некои луѓе - кои поддржуваат проекти на OpenSource - се толку важни за одржување што ако, не дај Боже, ги удри автобус, интернетот ќе пукне.

Тешко да се одржува кодот е местото каде што демнат најсериозните пропусти во сајбер-безбедноста. Некои компании дури и не сфаќаат колку се ранливи поради кодот кој тешко се одржува. Ранливостите поврзани со таквиот код може многу бавно да созреат во вистински проблем: системите полека гнијат, без да покажат видливи неуспеси во процесот на гниење. А кога ќе пропаднат, последиците се фатални.

Конечно, бидејќи проектите со отворен извор обично се развиваат од заедница на ентузијасти, како Линус Торвалдс или како хакерите од Моделот железнички клуб споменат на почетокот на статијата, проблемите со кодот кој тешко се одржува не може да се решат на традиционални начини (со користење на комерцијални и владини лостови). Затоа што членовите на таквите заедници се намерни и ја ценат својата независност пред сè друго.

Странична лента: Можеби разузнавачките служби и развивачите на антивируси ќе не заштитат?

Во 2013 година, се дозна дека Kaspersky Lab има специјална единица која спроведувала сопствени истраги за инциденти со безбедноста на информациите. До неодамна, овој оддел беше предводен од поранешен полициски мајор, Руслан Стојанов, кој претходно работел во главниот град Одделот „К“ (УСТМ на Главната управа за внатрешни работи во Москва). Сите вработени во оваа специјална единица на Kaspersky Lab доаѓаат од агенциите за спроведување на законот, вклучително и Истражниот комитет и Дирекцијата „К“. [единаесет]

На крајот на 2016 година, ФСБ го уапси Руслан Стојанов и го обвини за предавство. Во истиот случај, уапсен е Сергеј Михајлов, висок претставник на ФСБ ЦИБ (центар за информатичка безбедност), на кого пред апсењето била врзана целата сајбер безбедност на земјата. [единаесет]

Странична лента: Сајбер-безбедноста е наметната

Наскоро руските претприемачи ќе бидат принудени да обрнат сериозно внимание на сајбер безбедноста. Во јануари 2017 година, Николај Мурашов, претставник на Центарот за заштита на информации и специјални комуникации, изјави дека само во Русија објектите на ЦИИ (критична информациска инфраструктура) биле нападнати повеќе од 2016 милиони пати во 70 година. Предметите на CII вклучуваат информациски системи на владини агенции, претпријатија од одбранбената индустрија, транспорт, кредитен и финансиски сектор, енергија, гориво и нуклеарна индустрија. За да ги заштити, на 26 јули, рускиот претседател Владимир Путин потпиша пакет закони „За безбедноста на ЦИИ“. До 1 јануари 2018 година, кога законот стапува на сила, сопствениците на објектите на CII мора да спроведат сет мерки за заштита на нивната инфраструктура од хакерски напади, особено да се поврзат со GosSOPKA. [12]

Библиографија

1. Џонатан Милет. IoT: Важноста на обезбедувањето на вашите паметни уреди // 2017 година.
2. Рос Андерсон. Како не успеваат системите за плаќање со паметни картички // Black Hat. 2014 година.
3. СЈ Мардок. Чипот и PIN-от се скршени // Зборник на трудови од IEEE Symposium on Security and Privacy. 2010. стр. 433-446.
4. Дејвид Талбот. Компјутерските вируси се „раширени“ на медицинските уреди во болниците // МИТ Технолошки преглед (дигитален). 2012 година.
5. Крег Тимберг. Мрежа на несигурност: тек во дизајнот // Вашингтон пост. 2015 година.
6. Мајкл Листа. Тој беше тинејџерски хакер кој ги трошеше своите милиони на автомобили, облека и часовници - додека ФБИ не го фати // Живот во Торонто. 2018 година.
7. Крег Тимберг. Мрежа на несигурност: претскажана катастрофа - и игнорирана // Вашингтон пост. 2015 година.
8. Крег Тимберг. Долгиот век на брза „поправка“: Интернет протоколот од 1989 година ги остава податоците ранливи на киднаперите // Вашингтон пост. 2015 година.
9. Крег Тимберг. Мрежа на несигурност: Јадрото на аргументот // Вашингтон пост. 2015 година.
10. Џошуа Ганс. Може ли кодот со отворен код да ги направи нашите стравови од Y2K конечно да се остварат? // Харвард бизнис преглед (дигитален). 2017 година.
11. Највисокиот менаџер на Касперски уапсен од ФСБ // CNews. 2017. URL.
12. Марија Коломиченко. Сајбер-разузнавачка служба: Сбербанк предложи да се создаде штаб за борба против хакерите // РБЦ. 2017 година.

Извор: www.habr.com