Цахим орон зайн зэрлэг ойн эмх цэгцтэй "хар малгайтнууд" бохир ажилдаа онцгой амжилт гаргахад шар хэвлэлүүд баярлан шуугиж байна. Үүний үр дүнд дэлхий нийт кибер аюулгүй байдлын асуудалд илүү нухацтай хандаж эхэлж байна. Гэхдээ харамсалтай нь тэр даруй биш. Иймээс кибер сүйрлийн тоо нэмэгдэж байгаа хэдий ч дэлхий нийт идэвхтэй идэвхтэй арга хэмжээ авахад хараахан болоогүй байна. Гэсэн хэдий ч ойрын ирээдүйд "хар малгайтнууд"-ын ачаар дэлхий даяар кибер аюулгүй байдалд нухацтай хандаж эхлэх төлөвтэй байна. [7]

Гал түймэртэй адил ноцтой... Хотууд нэгэн цагт гамшгийн түймэрт маш эмзэг байсан. Гэсэн хэдий ч болзошгүй аюулыг үл харгалзан идэвхтэй хамгаалалтын арга хэмжээ аваагүй - 1871 онд Чикагод гарсан асар том түймэр олон зуун хүний ​​амь насыг авч, хэдэн зуун мянган хүнийг нүүлгэн шилжүүлсэн. Гурван жилийн дараа үүнтэй төстэй гамшиг дахин гарсны дараа л идэвхтэй хамгаалалтын арга хэмжээ авсан. Кибер аюулгүй байдлын хувьд ч мөн адил - гамшигт үзэгдлүүд гарахгүй бол дэлхий энэ асуудлыг шийдэхгүй. Гэхдээ ийм тохиолдол гарсан ч дэлхий нийт энэ асуудлыг шууд шийдэхгүй. [7] Тиймээс “Алдаа гарахаас нааш хүнийг нөхөхгүй” гэдэг үг ч төдийлөн бүтэхгүй. Тийм ч учраас 2018 онд бид аюулгүй байдлын 30 жилийн ойгоо тэмдэглэсэн.

Уянгын ухралт

Системийн администратор сэтгүүлд зориулж бичсэн энэ нийтлэлийн эхлэл нь нэг ёсондоо зөгнөлийн шинжтэй байсан. Энэ нийтлэл бүхий сэтгүүлийн дугаар гаргасан Кемеровогийн "Өвлийн интоор" худалдааны төвд гарсан эмгэнэлт галын улмаас өдөр бүр (2018 оны 20-р сарын XNUMX).

30 минутын дотор интернет суулгана

1988 онд домогт хакер галактик L0pht барууны хамгийн нөлөө бүхий албан тушаалтнуудын уулзалтын өмнө бүрэн бүрэлдэхүүнээрээ үг хэлэхдээ: "Таны компьютержсэн төхөөрөмж интернетийн кибер халдлагад өртөмтгий байна. Мөн програм хангамж, техник хангамж, харилцаа холбоо. Тэдний худалдагч нар энэ байдалд огт санаа зовдоггүй. Учир нь орчин үеийн хууль тогтоомжид үйлдвэрлэсэн программ хангамж, техник хангамжийн кибер аюулгүй байдлыг хангахад хайхрамжгүй хандсан тохиолдолд хариуцлага хүлээхгүй. Болзошгүй бүтэлгүйтлийн хариуцлагыг (аяндаа гарсан эсвэл кибер гэмт хэрэгтнүүдийн оролцоотой холбоотой) зөвхөн тухайн төхөөрөмжийн хэрэглэгч хариуцна. Холбооны засгийн газрын хувьд энэ асуудлыг шийдэх ур чадвар ч, хүсэл ч алга. Тиймээс, хэрэв та кибер аюулгүй байдлын талаар хайж байгаа бол интернет үүнийг олох газар биш юм. Таны өмнө сууж буй долоон хүн бүр интернетийг бүрэн эвдэж, үүний дагуу холбогдсон тоног төхөөрөмжийг бүрэн хянах боломжтой. Өөрөө. 30 минут бүжгийн дэглэлттэй товчлуур дарж дууслаа." [7]

Албаныхан утга учиртай толгой дохиж, нөхцөл байдлын ноцтой байдлыг ойлгосон боловч юу ч хийсэнгүй. Өнөөдөр, L30pht-ийн домогт тоглолтоос хойш яг 0 жилийн дараа дэлхий даяар "аюулгүй байдал газар авсан" хэвээр байна. Компьютержсэн, интернетэд холбогдсон тоног төхөөрөмжийг хакердах нь маш амархан тул анх идеалист эрдэмтэд, сонирхогчдын хаант улс байсан интернетийг аажмаар хамгийн прагматик мэргэжлийн хүмүүс: луйварчид, луйварчид, тагнуулчид, террористууд эзэлдэг. Тэд бүгд санхүүгийн болон бусад ашиг тусын тулд компьютержсэн тоног төхөөрөмжийн эмзэг байдлыг ашигладаг. [7]

Худалдагчид кибер аюулгүй байдлыг үл тоомсорлодог

Мэдээжийн хэрэг, худалдагч нар заримдаа тодорхойлогдсон сул талуудыг засахыг хичээдэг ч тэд үүнийг маш дурамжхан хийдэг. Учир нь тэдний ашиг нь хакеруудын хамгаалалтаас бус харин хэрэглэгчдэд үзүүлж буй шинэ функцээс ирдэг. Богино хугацааны ашиг олоход л төвлөрсөн борлуулагчид зөвхөн бодит асуудлыг шийдвэрлэхэд хөрөнгө оруулалт хийдэг болохоос таамаглалд нийцэхгүй. Тэдний олонхынх нь нүдээр кибер аюулгүй байдал нь таамаг төдий зүйл юм. [7]

Кибер аюулгүй байдал бол үл үзэгдэх, биет бус зүйл юм. Асуудал үүссэн үед л бодитой болдог. Хэрэв тэд үүнийг сайн арчлах юм бол (түүний хангамжид маш их мөнгө зарцуулсан), үүнд ямар ч асуудал гарахгүй бол эцсийн хэрэглэгч үүнийг илүү төлөхийг хүсэхгүй байх болно. Нэмж дурдахад санхүүгийн зардлыг нэмэгдүүлэхээс гадна хамгаалалтын арга хэмжээг хэрэгжүүлэхэд нэмэлт хөгжлийн цаг хугацаа шаардагддаг, тоног төхөөрөмжийн чадавхийг хязгаарлах шаардлагатай бөгөөд бүтээмж буурахад хүргэдэг. [8]

Бүртгэгдсэн зардлын боломжийн талаар эцсийн хэрэглэгчид битгий хэл өөрийн зах зээлдүүлэгчид ч итгүүлэхэд хэцүү байдаг. Орчин үеийн борлуулагчид зөвхөн богино хугацааны борлуулалтын ашгийг л сонирхож байгаа тул бүтээлийнхээ кибер аюулгүй байдлыг хангах үүрэг хариуцлага хүлээх сонирхол огтхон ч байдаггүй. [1] Нөгөөтэйгүүр, төхөөрөмжийнхөө кибер аюулгүй байдлыг хангасан илүү болгоомжтой борлуулагчид корпорацийн хэрэглэгчид хямд, ашиглахад хялбар хувилбаруудыг илүүд үздэгтэй тулгардаг. Тэр. Байгууллагын хэрэглэгчид ч кибер аюулгүй байдлын талаар төдийлөн санаа зовдоггүй нь илт байна. [8]

Дээр дурдсан зүйлсээс харахад борлуулагчид кибер аюулгүй байдлыг үл тоомсорлож, дараах философийг баримталдаг нь гайхах зүйл биш юм: "Бүтээн байгуулалтаа үргэлжлүүл, шаардлагатай бол зарж, засвар хий. Систем гацсан уу? Мэдээлэл алдсан уу? Зээлийн картын дугаар бүхий мэдээллийн санг хулгайлсан уу? Танай тоног төхөөрөмжид үхлийн аюултай сул тал бий юу? Асуудалгүй!" Хэрэглэгчид эргээд "Нүдлээд залбираарай" гэсэн зарчмыг баримтлах ёстой. [7]

Энэ нь хэрхэн болдог вэ: зэрлэг амьтдын жишээ

Хөгжүүлэлтийн явцад кибер аюулгүй байдлыг үл тоомсорлож буйн тод жишээ бол Майкрософт корпорацийн урамшууллын хөтөлбөр юм: "Хэрэв та эцсийн хугацааг алдвал торгууль ногдуулна. Хэрэв та шинэ бүтээлээ цаг тухайд нь гаргах цаг байхгүй бол энэ нь хэрэгжихгүй. Хэрэв үүнийг хэрэгжүүлэхгүй бол та компанийн хувьцааг (Microsoft-ын ашгийн нэг хэсэг) авахгүй." 1993 оноос хойш Майкрософт бүтээгдэхүүнээ интернетэд идэвхтэй холбож эхэлсэн. Энэхүү санаачилга нь ижил сэдэлт хөтөлбөрийн дагуу хэрэгжсэн тул хамгаалалт түүнийг гүйцэж чадахаас илүү үйл ажиллагаа нь илүү хурдан өргөжсөн. Прагматик эмзэг байдлын анчдын баярлахын тулд... [7]

Өөр нэг жишээ бол компьютер, зөөврийн компьютерын нөхцөл байдал юм: тэд урьдчилан суулгасан антивирустай хамт ирдэггүй; Мөн тэдгээр нь хүчтэй нууц үгүүдийг урьдчилан тохируулдаггүй. Эцсийн хэрэглэгч вирусны эсрэг програм суулгаж, аюулгүй байдлын тохиргооны параметрүүдийг тохируулна гэж таамаглаж байна. [1]

Өөр нэг, илүү эрс тэс жишээ: жижиглэнгийн худалдааны тоног төхөөрөмжийн кибер аюулгүй байдлын нөхцөл байдал (кассын машин, худалдааны төвүүдийн PoS терминал гэх мэт). Арилжааны тоног төхөөрөмж борлуулагчид найдвартай зүйл биш, зөвхөн зарагдсан зүйлийг л зардаг болсон. [2] Арилжааны тоног төхөөрөмж борлуулагчид кибер аюулгүй байдлын талаар анхаарах нэг зүйл байгаа бол маргаантай хэрэг гарсан тохиолдолд хариуцлагыг бусдад үүрүүлэх явдал юм. [3]

Энэхүү үйл явдлын хөгжлийн тод жишээ нь: банкны картын EMV стандартыг түгээн дэлгэрүүлэх нь банкны маркетеруудын чадварлаг ажлын ачаар техникийн хувьд боловсронгуй бус олон нийтийн нүдэн дээр "хуучирсан" гэхээс илүү найдвартай хувилбар болж харагддаг. соронзон картууд. Үүний зэрэгцээ, EMV стандартыг боловсруулах үүрэг хүлээсэн банкны салбарын гол сэдэл нь залилан мэхлэх гэмт хэргийн хариуцлагыг (картеруудын буруугаас үүссэн) - дэлгүүрээс хэрэглэгчдэд шилжүүлэх явдал байв. Өмнө нь (төлбөрийг соронзон картаар хийдэг байсан бол) дебит/кредитийн зөрүүтэй дэлгүүрүүд санхүүгийн хариуцлага хүлээдэг байсан. [3] Тиймээс төлбөр тооцоо хийдэг банкууд хариуцлагыг худалдаачид (алсын банкны системийг ашигладаг) эсвэл төлбөрийн карт гаргадаг банкуудад шилжүүлдэг; Сүүлийн хоёр нь хариуцлагыг карт эзэмшигчид шилжүүлдэг. [2]

Худалдагчид кибер аюулгүй байдалд саад учруулж байна

Интернэтэд холбогдсон төхөөрөмжүүдийн дэлбэрэлтийн ачаар дижитал довтолгооны гадаргуу тасралтгүй өргөжиж байгаа тул корпорацийн сүлжээнд холбогдсон зүйлсийг хянах нь улам бүр хэцүү болж байна. Үүний зэрэгцээ худалдагчид интернетэд холбогдсон бүх тоног төхөөрөмжийн аюулгүй байдлын талаархи санаа зовнилыг эцсийн хэрэглэгч рүү шилжүүлдэг [1]: "Живж буй хүмүүсийг аврах нь живж буй хүмүүсийн өөрсдийнх нь ажил юм."

Борлуулагчид өөрсдийн бүтээлийн кибер аюулгүй байдлын талаар санаа тавьдаггүй төдийгүй зарим тохиолдолд түүнийг хангахад саад учруулдаг. Жишээлбэл, 2009 онд Бет Израилийн эрүүл мэндийн төвд Conficker сүлжээний хорхой нэвтэрч, тэнд байсан эмнэлгийн хэрэгслийн зарим хэсгийг халдварлахад тус эмнэлгийн техникийн захирал цаашид үүнтэй төстэй хэрэг гарахаас урьдчилан сэргийлэхийн тулд төхөөрөмжийг идэвхгүй болгох шийдвэр гаргасан. сүлжээтэй өт хорхойд өртсөн тоног төхөөрөмж дээрх үйл ажиллагааг дэмжих функц. Гэвч түүнд “Зохицуулалтын хязгаарлалтын улмаас тоног төхөөрөмжийг шинэчлэх боломжгүй” гэсэн асуудал тулгарсан. Сүлжээний функцийг идэвхгүй болгохын тулд худалдагчтай тохиролцохын тулд түүнд ихээхэн хүчин чармайлт шаардагдана. [4]

Интернетийн үндсэн кибер аюулгүй байдал

Суут ухаанаараа өөрт нь "Альбус Дамблдор" гэсэн хоч өгсөн MIT-ийн домогт профессор Дэвид Кларк интернэтийн хар бараан тал дэлхий нийтэд илчлэгдсэн тэр өдрийг дурсаж байна. Кларк 1988 оны 5-р сард харилцаа холбооны бага хурлыг даргалж байх үед түүхэн дэх анхны компьютерийн өт сүлжээний утсанд нэвтэрсэн тухай мэдээлэл цацагдсан. Түүний хуралд оролцсон илтгэгч (харилцаа холбооны тэргүүлэгч компаниудын нэгний ажилтан) энэ хорхойн тархалтад хариуцлага хүлээсэн тул Кларк энэ мөчийг санаж байв. Энэ илтгэгч сэтгэл хөдлөлийн халуунд санамсаргүйгээр: "За ингээд байна!" Би энэ эмзэг байдлыг хаасан юм шиг байна "гэж тэр эдгээр үгсийг төлсөн. [XNUMX]

Гэвч дээрх хорхой тархсан эмзэг байдал нь хувь хүний ​​гавьяа биш болох нь хожим тодорхой болсон. Энэ нь хатуухан хэлэхэд энэ нь эмзэг байдал биш, харин интернетийн үндсэн шинж чанар байсан: Интернетийг үүсгэн байгуулагчид өөрсдийн оюун ухаанаа хөгжүүлэхдээ зөвхөн өгөгдөл дамжуулах хурд, алдааны тэсвэрлэлтэд анхаарлаа хандуулдаг байв. Тэд цахим аюулгүй байдлыг хангах зорилт тавиагүй. [5]

Интернэт үүсгэн байгуулагдсанаас хойш хэдэн арван жилийн дараа буюу кибер аюулгүй байдлыг хангахад дэмий оролдлого хийхэд хэдэн зуун тэрбум доллар хэдийнэ зарцуулагдсан өнөө үед интернэт ч багагүй эмзэг байна. Түүний кибер аюулгүй байдлын асуудал жил бүр улам бүр дордсоор байна. Гэтэл үүний төлөө интернэтийг үүсгэн байгуулагчдыг буруутгах эрх бидэнд бий юу? Эцсийн эцэст, жишээлбэл, хурдны зам барьж буй хүмүүсийг "зам дээр нь" осол аваар гаргадаг гэж хэн ч буруутгахгүй; Хот төлөвлөгчдийг "хотод нь" дээрэм гардаг гэж хэн ч буруутгахгүй. [5]

Хакерын дэд соёл хэрхэн үүссэн бэ

Хакерын дэд соёл нь 1960-аад оны эхээр "Төмөр замын техникийн загварчлалын клуб" (Массачусетсийн Технологийн дээд сургуулийн ханан дотор ажилладаг) үүссэн. Клубын сонирхогчид төмөр замын загвар зохион бүтээж, угсарсан нь маш том хэмжээтэй тул өрөөг бүхэлд нь дүүргэжээ. Клубын гишүүд аяндаа энхийг сахиулагчид болон системийн мэргэжилтнүүд гэсэн хоёр бүлэгт хуваагддаг. [6]

Эхнийх нь загварын газар дээрх хэсэгтэй, хоёр дахь нь газар доорх хэсэгтэй ажилласан. Эхнийх нь галт тэрэг, хотуудын загварыг цуглуулж, чимэглэсэн: тэд дэлхийг бүхэлд нь бяцхан хэлбэрээр загварчилсан. Сүүлд нь энэ бүх энхийг сахиулах техникийн дэмжлэг дээр ажилласан: загварын газар доорх хэсэгт байрлах утас, реле, координатын унтраалгын нарийн төвөгтэй байдал - "газар дээрх" хэсгийг удирдаж, эрчим хүчээр тэжээдэг бүх зүйл. [6]

Замын хөдөлгөөний асуудал гарч, хэн нэгэн түүнийг засах шинэ, ухаалаг шийдлийг гаргаж ирэхэд уг шийдлийг "хакердах" гэж нэрлэдэг байв. Клубын гишүүдийн хувьд шинэ хакеруудыг хайх нь амьдралын мөнхийн утга учир болсон. Тийм ч учраас тэд өөрсдийгөө "хакерууд" гэж нэрлэх болсон. [6]

Эхний үеийн хакерууд симуляцийн төмөр замын клубт олж авсан ур чадвараа цоолбортой карт дээр компьютерийн программ бичих замаар хэрэгжүүлсэн. Дараа нь 1969 онд ARPANET (Интернэтийн өмнөх хувилбар) оюутны хотхонд орж ирэхэд хакерууд түүний хамгийн идэвхтэй, чадварлаг хэрэглэгчид болжээ. [6]

Одоо, хэдэн арван жилийн дараа орчин үеийн интернет нь загвар төмөр замын "газар доорх" хэсэгтэй төстэй юм. Учир нь үүсгэн байгуулагчид нь “Төмөр замын симуляцийн клуб”-ын сурагчид болох эдгээр хакерууд юм. Одоо зөвхөн хакерууд дуураймал бяцхан дүрсийн оронд жинхэнэ хотуудыг ажиллуулдаг. [6]

BGP чиглүүлэлт хэрхэн үүссэн бэ?

80-аад оны эцэс гэхэд интернетэд холбогдсон төхөөрөмжүүдийн тоо нуранги шиг нэмэгдсэний үр дүнд интернет нь интернетийн үндсэн протоколуудын нэгд суурилуулсан математикийн хатуу хязгаарт ойртсон. Тийм ч учраас тухайн үеийн инженерүүдийн хоорондох аливаа яриа эцэстээ энэ асуудлын хэлэлцүүлэг болж хувирав. Жэйкоб Рехтер (IBM-ийн инженер) болон Кирк Локхид (Cisco-г үүсгэн байгуулагч) гэсэн хоёр найз үл хамаарах зүйл байсан. Оройн хоолны ширээн дээр санамсаргүй байдлаар тэд интернетийн ажиллагааг хадгалах арга хэмжээний талаар ярилцаж эхлэв. Найзууд гарт ирсэн бүх зүйл дээр гарч ирсэн санаагаа бичжээ - кетчупээр будсан салфетка. Дараа нь хоёр дахь нь. Дараа нь гурав дахь нь. Зохион бүтээгчдийн хошигнолоор нэрлэсэн "Гурван салфетка протокол" нь албан ёсны хүрээлэлд BGP (Хилийн гарцын протокол) гэж нэрлэгддэг бөгөөд удалгүй интернетэд хувьсгал хийсэн. [8]

Rechter болон Lockheed-ийн хувьд BGP нь дээр дурдсан Загвар төмөр замын клубын санаагаар бүтээгдсэн энгийн хакердсан бөгөөд удахгүй солигдох түр зуурын шийдэл байв. Найзууд 1989 онд BGP боловсруулсан. Гэсэн хэдий ч өнөөдөр, 30 жилийн дараа интернетийн траффикийн дийлэнх хэсэг нь кибер аюулгүй байдалтай холбоотой ноцтой асуудлуудын талаар улам бүр түгшүүртэй дуудлагыг үл харгалзан "гурван салфетка протокол" ашиглан чиглүүлсээр байна. Түр зуурын хакерууд нь интернетийн үндсэн протоколуудын нэг болсон бөгөөд үүнийг хөгжүүлэгчид өөрсдийн туршлагаасаа "түр зуурын шийдлээс илүү байнгын зүйл байхгүй" гэдгийг мэдсэн. [8]

Дэлхий даяар сүлжээнүүд BGP рүү шилжсэн. Нөлөө бүхий борлуулагчид, чинээлэг үйлчлүүлэгчид, харилцаа холбооны компаниуд BGP-д маш хурдан дурлаж, түүнд дасчээ. Тиймээс, энэхүү протоколын аюулгүй байдлын тухай түгшүүрийн хонх улам бүр нэмэгдэж байгаа ч мэдээллийн технологийн олон нийт шинэ, илүү найдвартай төхөөрөмж рүү шилжих хүсэл эрмэлзэлгүй хэвээр байна. [8]

Кибер хамгаалалтгүй BGP чиглүүлэлт

BGP чиглүүлэлт яагаад ийм сайн байдаг ба мэдээллийн технологийн нийгэмлэг яагаад үүнийг орхих гэж яарахгүй байна вэ? BGP нь чиглүүлэгчдэд огтлолцсон харилцаа холбооны асар том сүлжээгээр дамжуулж буй асар их өгөгдлийн урсгалыг хаашаа чиглүүлэх талаар шийдвэр гаргахад тусалдаг. Сүлжээ байнга өөрчлөгдөж, алдартай маршрутууд нь ихэвчлэн түгжрэлд ордог ч BGP нь чиглүүлэгчдэд тохирох замыг сонгоход тусалдаг. Асуудал нь интернетэд дэлхийн чиглүүлэлтийн газрын зураг байхгүй байна. BGP ашигладаг чиглүүлэгчид цахим орон зай дахь хөршүүдээс хүлээн авсан мэдээлэлд үндэслэн аль нэг замыг сонгох шийдвэр гаргадаг бөгөөд тэд хөршөөсөө мэдээлэл цуглуулдаг гэх мэт. Гэсэн хэдий ч, энэ мэдээллийг амархан хуурамчаар үйлдэх боломжтой бөгөөд энэ нь BGP чиглүүлэлт нь MiTM халдлагад өртөмтгий гэсэн үг юм. [8]

Тиймээс "Яагаад Денвер дэх хоёр компьютерийн хоорондох хөдөлгөөн Исландаар дамжин асар том тойруу замаар явсан бэ?", "Яагаад Пентагоны нууц мэдээллийг Бээжингээр дамжин тээвэрлэж байсан бэ?" гэх мэт асуултууд байнга гарч ирдэг. Иймэрхүү асуултуудад техникийн хариултууд байдаг, гэхдээ тэдгээр нь бүгд BGP нь итгэлцэл дээр тулгуурлан ажилладаг: хөрш чиглүүлэгчээс хүлээн авсан зөвлөмжид итгэх итгэл дээр тулгуурладаг. BGP протоколын найдвартай байдлын ачаар нууцлаг траффикийн эзэд хэрэв хүсвэл бусад хүмүүсийн мэдээллийн урсгалыг өөрсдийн домайн руу татах боломжтой. [8]

Амьд жишээ бол Америкийн Пентагон руу Хятадын BGP дайралт юм. 2010 оны 16-р сард төрийн өмчит харилцаа холбооны аварга компани China Telecom дэлхий даяар хэдэн арван мянган чиглүүлэгч, тэр дундаа АНУ-д 8 чиглүүлэгч илгээсэн нь тэдэнд илүү сайн маршруттай болсон гэж BGP мессеж илгээсэн. China Telecom-оос ирсэн BGP мессежийн үнэн зөвийг шалгах системгүй бол дэлхийн өнцөг булан бүрээс чиглүүлэгчид Бээжингээр дамжин өгөгдөл илгээж эхэлсэн. Үүнд Пентагон болон АНУ-ын Батлан ​​хамгаалах яамны бусад сайтаас ирж буй хөдөлгөөн. Хөдөлгөөний чиглэлийг өөрчлөхөд хялбар бөгөөд энэ төрлийн халдлагаас үр дүнтэй хамгаалалт байхгүй байгаа нь BGP чиглүүлэлтийн найдвартай бус байдлын бас нэг шинж тэмдэг юм. [XNUMX]

BGP протокол нь онолын хувьд илүү аюултай кибер халдлагад өртөмтгий байдаг. Олон улсын мөргөлдөөн кибер орон зайд бүрэн хэмжээгээр хурцадвал China Telecom эсвэл бусад харилцаа холбооны аварга компани интернетийн бодит хамааралгүй хэсгүүдийг өмчлөх гэж оролдож магадгүй юм. Ийм алхам нь чиглүүлэгчдийг төөрөлдүүлж, интернет хаягийн ижил блокуудын төлөө өрсөлдөж буй тендерүүдийн хооронд шилжих шаардлагатай болно. Хууль ёсны программыг хуурамч програмаас ялгах чадваргүй бол чиглүүлэгчид тогтворгүй ажиллаж эхэлнэ. Үүний үр дүнд бид цөмийн дайнтай дүйцэхүйц нээлттэй, өргөн цар хүрээтэй дайсагналыг харуулах интернеттэй тулгарах болно. Харьцангуй амар амгалангийн үед ийм бүтээн байгуулалт хийх нь бодитой бус мэт боловч техникийн хувьд энэ нь нэлээд боломжтой юм. [8]

BGP-ээс BGPSEC руу шилжих гэсэн дэмий оролдлого

BGP-ийг боловсруулахдаа кибер аюулгүй байдлыг анхаарч үзээгүй, учир нь тухайн үед хакердах ажиллагаа ховор, учирсан хохирол нь бага байсан. BGP-ийн хөгжүүлэгчид харилцаа холбооны компаниудад ажиллаж, сүлжээний тоног төхөөрөмжөө зарах сонирхолтой байсан тул интернет аяндаа эвдрэхээс зайлсхийх нь илүү тулгамдсан ажил байв. Учир нь интернетийн тасалдал нь хэрэглэгчдийг холдуулж, улмаар сүлжээний тоног төхөөрөмжийн борлуулалтыг бууруулж болзошгүй юм. [8]

2010 оны 8-р сард Бээжингээр дамжин Америкийн цэргийн урсгалыг дамжуулсан хэрэг гарсны дараа BGP чиглүүлэлтийн кибер аюулгүй байдлыг хангах ажлын хурд хурдассан нь гарцаагүй. Гэсэн хэдий ч харилцаа холбооны үйлдвэрлэгчид аюулгүй BGP-ийг орлуулахаар санал болгож буй шинэ аюулгүй чиглүүлэлтийн протокол BGPSEC руу шилжихтэй холбоотой зардлыг хариуцах хүсэл эрмэлзэл бага байгааг харуулж байна. Худалдагчид замын хөдөлгөөнд саад учруулсан тоо томшгүй олон тохиолдлыг үл харгалзан BGP-ийг хүлээн зөвшөөрөх боломжтой гэж үздэг. [XNUMX]

1988 онд (BGP-ээс нэг жилийн өмнө) өөр нэг томоохон сүлжээний протоколыг зохион бүтээснийхээ төлөө "Интернэтийн эх" гэгддэг Радиа Перлман MIT-д зөгнөлийн докторын диссертацийг хамгаалсан. Перлман кибер орон зай дахь хөршүүдийн үнэнч шударга байдлаас хамаардаг чиглүүлэлтийн протокол нь үндсэндээ аюулгүй гэж таамаглаж байсан. Перлман криптограф ашиглахыг дэмжсэн бөгөөд энэ нь хуурамчаар үйлдэх боломжийг хязгаарлахад тусална. Гэсэн хэдий ч BGP-ийн хэрэгжилт аль хэдийн эрчимтэй явагдаж, мэдээллийн технологийн нөлөө бүхий нийгэмлэг үүнд дассан бөгөөд юу ч өөрчлөхийг хүсээгүй. Тиймээс Перлман, Кларк болон дэлхийн бусад нэр хүндтэй мэргэжилтнүүдийн үндэслэлтэй сэрэмжлүүлгийн дараа криптографийн аюулгүй байдлын BGP чиглүүлэлтийн харьцангуй эзлэх хувь огт нэмэгдээгүй бөгөөд 0% хэвээр байна. [8]

BGP чиглүүлэлт нь цорын ганц хакердсан зүйл биш юм

BGP чиглүүлэлт нь "түр зуурын шийдлээс илүү байнгын зүйл байхгүй" гэсэн санааг баталж буй цорын ганц хакер биш юм. Заримдаа биднийг уран зөгнөлийн ертөнцөд умбуулж буй интернет яг л уралдааны машин шиг дэгжин санагддаг. Гэсэн хэдий ч бодит байдал дээр хакерууд давхардсаны улмаас интернет нь Феррари гэхээсээ илүү Франкенштейнтэй төстэй юм. Учир нь эдгээр хакеруудыг (албан ёсоор нөхөөс гэж нэрлэдэг) хэзээ ч найдвартай технологиор солигддоггүй. Энэ аргын үр дагавар нь аймшигтай: өдөр бүр, цаг тутамд кибер гэмт хэрэгтнүүд эмзэг системд нэвтэрч, кибер гэмт хэргийн хамрах хүрээг урьд өмнө төсөөлж ч байгаагүй хэмжээнд хүртэл өргөжүүлдэг. [8]

Кибер гэмт хэрэгтнүүдийн ашиглаж буй олон дутагдал нь удаан хугацааны туршид мэдэгдэж байсан бөгөөд зөвхөн мэдээллийн технологийн нийгэмлэг шинээр гарч ирж буй асуудлуудыг түр зуурын хакерууд/засваруудаар шийдвэрлэх хандлагын улмаас хадгалагдан үлджээ. Заримдаа үүнээс болж хуучирсан технологиуд бие биенийхээ дээр удаан хугацаанд овоорч, хүмүүсийн амьдралыг хүндрүүлж, аюулд оруулдаг. Танай банк хадгаламжаа сүрэл, шаврын суурин дээр барьж байгааг мэдвэл та юу гэж бодох вэ? Та түүнд хадгаламжаа хадгална гэдэгт итгэх үү? [8]

Линус Торвалдсын хайхрамжгүй хандлага

Интернет анхны зуун компьютерт хүрэх хүртэл олон жил өнгөрчээ. Өнөөдөр секунд тутамд 100 шинэ компьютер болон бусад төхөөрөмжүүд түүнд холбогдож байна. Интернетэд холбогдсон төхөөрөмжүүд тэсрэхийн хэрээр кибер аюулгүй байдлын асуудал хурцаар тавигдаж байна. Гэсэн хэдий ч эдгээр асуудлыг шийдвэрлэхэд хамгийн их нөлөө үзүүлж чадах хүн бол кибер аюулгүй байдлыг үл тоомсорлодог хүн юм. Энэ хүнийг суут ухаантан, дээрэлхэгч, оюун санааны удирдагч, нинжин сэтгэлтэй дарангуйлагч гэж нэрлэдэг. Линус Торвалдс. Интернетэд холбогдсон төхөөрөмжүүдийн дийлэнх нь түүний үйлдлийн систем болох Линуксийг ажиллуулдаг. Хурдан, уян хатан, үнэ төлбөргүй - Линукс цаг хугацаа өнгөрөх тусам улам бүр түгээмэл болж байна. Үүний зэрэгцээ энэ нь маш тогтвортой ажилладаг. Мөн олон жилийн турш дахин ачаалахгүйгээр ажиллах боломжтой. Тийм ч учраас Линукс нь давамгайлсан үйлдлийн систем байх нэр хүндтэй юм. Өнөөдөр бидний ашиглах боломжтой бараг бүх компьютержсэн тоног төхөөрөмж Линукс дээр ажилладаг: серверүүд, эмнэлгийн тоног төхөөрөмж, нислэгийн компьютер, жижиг дрон, цэргийн нисэх онгоц гэх мэт. [9]

Торвалдс нь гүйцэтгэл, алдааг тэсвэрлэх чадварыг чухалчилдаг тул Линукс амжилтанд хүрдэг. Гэсэн хэдий ч тэрээр кибер аюулгүй байдлын зардлаар үүнийг онцолж байна. Кибер орон зай болон бодит биет ертөнц хоорондоо холбогдож, кибер аюулгүй байдал нь дэлхий нийтийн асуудал болоод байгаа ч Торвалдс үйлдлийн системдээ аюулгүй инновацийг нэвтрүүлэхийг эсэргүүцсээр байна. [9]

Тиймээс Линуксийн олон шүтэн бишрэгчид ч гэсэн энэхүү үйлдлийн системийн эмзэг байдлын талаар санаа зовж байна. Ялангуяа Торвалдсын биечлэн ажилладаг Линуксийн хамгийн дотно хэсэг нь цөм юм. Линуксийн шүтэн бишрэгчид Торвалдс кибер аюулгүй байдлын асуудлыг нухацтай авч үздэггүйг харж байна. Түүгээр ч барахгүй Торвалдс өөрийгөө ийм хайхрамжгүй хандлагыг хуваалцдаг хөгжүүлэгчидээр хүрээлүүлсэн. Хэрэв Торвалдсын ойр дотны хүмүүс нь аюулгүй инновацийг нэвтрүүлэх талаар ярьж эхэлбэл тэр шууд л анатематизмд ордог. Торвалдс ийм шинийг санаачлагчдын нэг бүлгийг халж, тэднийг "мастурбация хийдэг сармагчингууд" гэж нэрлэжээ. Торвалдс аюулгүй байдлыг эрхэмлэдэг өөр бүлэг хөгжүүлэгчидтэй салах ёс гүйцэтгэхдээ тэдэнтэй "Та нар амиа хорлохоор эелдэг хандана гэж үү. Үүний ачаар дэлхий илүү сайхан газар болно." Аюулгүй байдлын функцүүдийг нэмэх тухайд Торвалдс үүнийг үргэлж эсэргүүцдэг байв. [9] Торвалдс энэ талаар бүхэл бүтэн философитой байдаг бөгөөд энэ нь эрүүл саруул ухаанаас ангид биш юм:

“Үнэмлэхүй аюулгүй байдлыг хангах боломжгүй. Тиймээс энэ нь зөвхөн бусад тэргүүлэх чиглэлтэй холбоотой байх ёстой: хурд, уян хатан байдал, ашиглахад хялбар. Хамгаалалтад өөрийгөө бүрэн зориулдаг хүмүүс галзуу юм. Тэдний сэтгэлгээ нь хязгаарлагдмал, хар цагаан байдаг. Аюулгүй байдал дангаараа ашиггүй. Мөн чанар нь үргэлж өөр газар байдаг. Тиймээс та үнэхээр хүсч байсан ч үнэмлэхүй аюулгүй байдлыг хангаж чадахгүй. Мэдээжийн хэрэг, Торвалдсаас илүү аюулгүй байдалд анхаарлаа хандуулдаг хүмүүс байдаг. Гэсэн хэдий ч эдгээр залуус өөрсдийн сонирхсон зүйл дээр ажиллаж, эдгээр ашиг сонирхлыг тодорхойлсон харьцангуй явцуу хүрээнд аюулгүй байдлыг хангаж байна. Дахиж үгүй. Тиймээс тэд үнэмлэхүй аюулгүй байдлыг нэмэгдүүлэхэд ямар ч хувь нэмэр оруулахгүй." [9]

Хажуугийн самбар: OpenSource нь нунтаг торхтой адил [10]

OpenSource код нь програм хангамж хөгжүүлэх зардлыг хэдэн тэрбумаар хэмнэж, давхардсан хүчин чармайлт гаргах шаардлагагүй болсон: OpenSource-ийн тусламжтайгаар програмистууд одоогийн шинэлэг зүйлийг хязгаарлалт, төлбөргүйгээр ашиглах боломжтой болсон. OpenSource-ийг хаа сайгүй ашигладаг. Хэдийгээр та тусгайлсан асуудлаа эхнээс нь шийдэхийн тулд програм хангамж хөгжүүлэгч хөлсөлсөн ч энэ хөгжүүлэгч ямар нэгэн OpenSource номын санг ашиглах магадлалтай. Тэгээд магадгүй нэгээс олон. Тиймээс OpenSource элементүүд бараг хаа сайгүй байдаг. Үүний зэрэгцээ ямар ч програм хангамж статик биш, түүний код байнга өөрчлөгдөж байдаг гэдгийг ойлгох хэрэгтэй. Тиймээс “Үүнийг тохируулаад март” гэдэг зарчим хэзээ ч кодонд тохирохгүй. OpenSource кодыг оруулаад: эрт орой хэзээ нэгэн цагт шинэчилсэн хувилбар шаардлагатай болно.

2016 онд бид энэ байдлын үр дагаврыг олж харсан: 28 настай хөгжүүлэгч өмнө нь олон нийтэд нээлттэй болгосон OpenSource кодоо устгаж интернетийг богино хугацаанд "эвдсэн". Энэ түүх нь манай кибер дэд бүтэц маш эмзэг байгааг харуулж байна. OpenSource төслүүдийг дэмждэг зарим хүмүүс үүнийг хадгалахад маш чухал байдаг тул хэрвээ бурхан хоригловол автобусанд дайрвал интернет эвдэрнэ.

Хадгалахад хэцүү код нь кибер аюулгүй байдлын хамгийн ноцтой сул талууд нуугдаж байдаг. Зарим компаниуд арчлахад хэцүү кодын улмаас ямар эмзэг байдгаа ч анзаардаггүй. Ийм кодтой холбоотой эмзэг байдал нь маш удаан жинхэнэ асуудал болж хувирдаг: систем нь ялзрах явцад харагдахуйц бүтэлгүйтлийг харуулахгүйгээр аажмаар ялзардаг. Тэд бүтэлгүйтсэн тохиолдолд үр дагавар нь үхэлд хүргэдэг.

Эцэст нь хэлэхэд, OpenSource төслүүдийг ихэвчлэн Линус Торвалдс эсвэл нийтлэлийн эхэнд дурдсан Загвар төмөр замын клубын хакерууд гэх мэт сонирхогчдын нийгэмлэг боловсруулдаг тул засвар үйлчилгээ хийхэд хэцүү кодтой холбоотой асуудлыг уламжлалт аргаар шийдвэрлэх боломжгүй юм. арилжааны болон засгийн газрын хөшүүрэг). Учир нь ийм нийгэмлэгийн гишүүд хүсэл эрмэлзэлтэй бөгөөд бие даасан байдлаа бүхнээс илүү эрхэмлэдэг.

Хажуугийн самбар: Тагнуулын алба болон вирусны эсрэг хөгжүүлэгчид биднийг хамгаалах болов уу?

2013 онд Касперскийн лабораторид мэдээллийн аюулгүй байдлын зөрчлийн талаар захиалгат мөрдөн байцаалт явуулдаг тусгай нэгж байсан нь тодорхой болсон. Саяхныг хүртэл энэ хэлтсийг өмнө нь нийслэлийн "К" хэлтэст (Москвагийн Дотоод хэргийн ерөнхий газрын USTM) ажиллаж байсан цагдаагийн хошууч асан Руслан Стоянов удирдаж байжээ. Касперскийн лабораторийн энэхүү тусгай ангийн бүх ажилчид Мөрдөн байцаах хороо, "К" хэлтэс зэрэг хууль сахиулах байгууллагуудаас ирдэг. [арван нэгэн]

2016 оны сүүлээр ФСБ Руслан Стояновыг баривчилж, эх орноосоо урвасан хэргээр ялласан. Үүнтэй ижил хэрэгт FSB CIB (мэдээллийн аюулгүй байдлын төв) -ийн өндөр албан тушаалын төлөөлөгч Сергей Михайлов баривчлагдсан бөгөөд баривчлагдахаас өмнө тус улсын кибер аюулгүй байдлыг бүхэлд нь холбосон байв. [арван нэгэн]

Хажуугийн самбар: Кибер аюулгүй байдлыг хангасан

Удалгүй Оросын бизнес эрхлэгчид кибер аюулгүй байдалд нухацтай анхаарал хандуулахаас өөр аргагүй болно. 2017 оны 2016-р сард Мэдээлэл хамгаалах, тусгай харилцааны төвийн төлөөлөгч Николай Мурашов Орос улсад 70 онд зөвхөн CII объектууд (мэдээллийн чухал дэд бүтэц) 26 сая гаруй удаа халдлагад өртсөн гэж мэдэгдэв. CII объектуудад төрийн байгууллагуудын мэдээллийн систем, батлан ​​​​хамгаалах аж үйлдвэрийн аж ахуйн нэгжүүд, тээвэр, зээл, санхүүгийн салбар, эрчим хүч, түлш, цөмийн үйлдвэрүүд орно. Тэднийг хамгаалахын тулд 1-р сарын 2018-нд ОХУ-ын Ерөнхийлөгч Владимир Путин "ЦХХ-ийн аюулгүй байдлын тухай" багц хуульд гарын үсэг зурав. Хууль хүчин төгөлдөр болох үед 12 оны XNUMX-р сарын XNUMX гэхэд CII байгууламжийн эзэд дэд бүтцээ хакерын халдлагаас хамгаалах, ялангуяа GosSOPKA-тай холбогдох цогц арга хэмжээг хэрэгжүүлэх ёстой. [XNUMX]

Ном зүй

1. Жонатан Миллет. IoT: Ухаалаг төхөөрөмжөө хамгаалахын ач холбогдол // 2017 он.
2. Росс Андерсон. Ухаалаг картын төлбөрийн систем хэрхэн бүтэлгүйтдэг // Хар малгай. 2014 он.
3. СЖ Мердок. Чип ба ПИН код эвдэрсэн // Аюулгүй байдал ба нууцлалын IEEE симпозиумын эмхэтгэл. 2010. х. 433-446.
4. Дэвид Талбот. Эмнэлгүүдийн эмнэлгийн хэрэгсэлд компьютерийн вирус "өргөж" байна // MIT технологийн тойм (дижитал). 2012.
5. Крэйг Тимберг. Аюулгүй байдлын сүлжээ: Дизайн дахь урсгал // Washington Post. 2015 он.
6. Майкл Листа. Тэрээр өсвөр насны хакер байсан бөгөөд Холбооны мөрдөх товчоо баривчлах хүртэл сая сая мөнгөө машин, хувцас, бугуйн цаганд зарцуулсан. // Торонтогийн амьдрал. 2018 он.
7. Крэйг Тимберг. Аюулгүй байдлын сүлжээ: Урьдчилан таамагласан гамшиг - үл тоомсорлодог // Washington Post. 2015 он.
8. Крэйг Тимберг. Шуурхай "засах" урт наслалт: 1989 оны интернет протокол нь мэдээллийг хулгайлагчдад эмзэг болгож байна. // Washington Post. 2015 он.
9. Крэйг Тимберг. Аюулгүй байдлын сүлжээ: Аргументийн цөм // Washington Post. 2015 он.
10. Жошуа Ганс. Нээлттэй эх код нь бидний Y2K айдсыг эцэст нь бодит болгож чадах уу? // Харвардын бизнесийн тойм (Дижитал). 2017 он.
11. Касперскийн топ менежерийг ФСБ баривчилжээ // CNews. 2017. URL.
12. Мария Коломиченко. Кибер тагнуулын алба: Сбербанк хакеруудтай тэмцэх төв байр байгуулахыг санал болгов // RBC. 2017 он.

Эх сурвалж: www.habr.com