Wanneer de ‘zwarte hoeden’ – de verplegers van het wilde woud van cyberspace – bijzonder succesvol blijken te zijn in hun vuile werk, juichen de gele media van vreugde. Als gevolg hiervan begint de wereld serieuzer naar cyberbeveiliging te kijken. Maar helaas niet meteen. Daarom is de wereld, ondanks het toenemende aantal catastrofale cyberincidenten, nog niet rijp voor actieve proactieve maatregelen. Er wordt echter verwacht dat de wereld in de nabije toekomst, dankzij de ‘zwarte hoeden’, cyberveiligheid serieus zal gaan nemen. [7]

Net zo ernstig als branden... Steden waren ooit erg kwetsbaar voor catastrofale branden. Ondanks het potentiële gevaar werden er echter geen proactieve beschermende maatregelen genomen, zelfs niet na de gigantische brand in Chicago in 1871, die honderden levens eiste en honderdduizenden mensen ontheemd bracht. Proactieve beschermingsmaatregelen werden pas genomen nadat zich drie jaar later opnieuw een soortgelijke ramp voordeed. Hetzelfde geldt voor cyberbeveiliging: de wereld zal dit probleem niet oplossen tenzij er catastrofale incidenten plaatsvinden. Maar zelfs als dergelijke incidenten zich voordoen, zal de wereld dit probleem niet onmiddellijk oplossen. [7] Daarom werkt zelfs het gezegde: ‘Totdat er een bug optreedt, een man niet gepatcht’, niet helemaal. Daarom vierden we in 2018 30 jaar ongebreidelde onveiligheid.

Lyrische retraite

Het begin van dit artikel, dat ik oorspronkelijk schreef voor het tijdschrift System Administrator, bleek in zekere zin profetisch. Uitgave van een tijdschrift met dit artikel ging uit letterlijk dag in dag uit met de tragische brand in het Kemerovo-winkelcentrum “Winter Cherry” (2018, 20 maart).

Installeer internet in 30 minuten

In 1988 verklaarde het legendarische hackerstelsel L0pht, met volle kracht sprekend voor een bijeenkomst van de meest invloedrijke westerse functionarissen: “Uw geautomatiseerde apparatuur is kwetsbaar voor cyberaanvallen vanaf internet. En software, en hardware, en telecommunicatie. Hun verkopers zijn helemaal niet bezorgd over deze gang van zaken. Omdat de moderne wetgeving niet voorziet in enige aansprakelijkheid voor een nalatige aanpak bij het waarborgen van de cyberbeveiliging van gefabriceerde software en hardware. De verantwoordelijkheid voor mogelijke storingen (zowel spontaan als veroorzaakt door tussenkomst van cybercriminelen) ligt uitsluitend bij de gebruiker van de apparatuur. De federale overheid heeft noch de vaardigheden, noch de wens om dit probleem op te lossen. Als u dus op zoek bent naar cyberbeveiliging, dan is internet niet de plek om die te vinden. Elk van de zeven mensen die voor je zitten, kan het internet volledig verbreken en daardoor de volledige controle over de aangesloten apparatuur overnemen. Door zichzelf. 30 minuten gechoreografeerde toetsaanslagen en het is klaar. [7]

De functionarissen knikten betekenisvol en maakten duidelijk dat ze de ernst van de situatie begrepen, maar niets deden. Vandaag, precies dertig jaar na het legendarische optreden van L30pht, wordt de wereld nog steeds geplaagd door ‘ongebreidelde onzekerheid’. Het hacken van geautomatiseerde, op het internet aangesloten apparatuur is zo eenvoudig dat het internet, aanvankelijk een koninkrijk van idealistische wetenschappers en enthousiastelingen, langzamerhand bezet is door de meest pragmatische professionals: oplichters, oplichters, spionnen, terroristen. Ze exploiteren allemaal de kwetsbaarheden van computerapparatuur voor financiële of andere voordelen. [0]

Leveranciers verwaarlozen cybersecurity

Leveranciers proberen uiteraard soms een aantal van de geïdentificeerde kwetsbaarheden op te lossen, maar doen dat met grote tegenzin. Omdat hun winst niet voortkomt uit de bescherming tegen hackers, maar uit de nieuwe functionaliteit die ze aan consumenten bieden. Omdat ze uitsluitend gericht zijn op kortetermijnwinsten, investeren leveranciers alleen geld in het oplossen van echte problemen, en niet in hypothetische problemen. Cyberveiligheid is in de ogen van velen van hen een hypothetische zaak. [7]

Cybersecurity is iets onzichtbaars, immaterieels. Het wordt pas tastbaar als er problemen mee ontstaan. Als ze er goed voor zorgen (ze hebben er veel geld aan uitgegeven) en er geen problemen mee zijn, zal de eindconsument er niet te veel voor willen betalen. Bovendien vereist de implementatie van beschermende maatregelen, naast het verhogen van de financiële kosten, extra ontwikkelingstijd, vereist het een beperking van de mogelijkheden van de apparatuur en leidt het tot een afname van de productiviteit ervan. [8]

Het is moeilijk om zelfs onze eigen marketeers te overtuigen van de haalbaarheid van de genoemde kosten, laat staan ​​de eindgebruikers. En aangezien moderne verkopers alleen geïnteresseerd zijn in verkoopwinsten op de korte termijn, zijn ze helemaal niet geneigd verantwoordelijkheid te nemen voor het waarborgen van de cyberveiligheid van hun creaties. [1] Aan de andere kant worden zorgvuldiger verkopers die zorg dragen voor de cyberbeveiliging van hun apparatuur geconfronteerd met het feit dat zakelijke consumenten de voorkeur geven aan goedkopere en gemakkelijker te gebruiken alternatieven. Dat. Het is duidelijk dat zakelijke consumenten zich ook niet veel aantrekken van cyberbeveiliging. [8]

In het licht van het bovenstaande is het niet verrassend dat leveranciers de neiging hebben cybersecurity te verwaarlozen en de volgende filosofie aanhangen: “Blijf bouwen, blijf verkopen en patchen wanneer dat nodig is. Is het systeem gecrasht? Informatie verloren? Database met creditcardnummers gestolen? Zijn er fatale kwetsbaarheden in uw apparatuur geïdentificeerd? Geen probleem!" Consumenten moeten op hun beurt het principe volgen: ‘Patch and bid.’ [7]

Hoe dit gebeurt: voorbeelden uit het wild

Een sprekend voorbeeld van het verwaarlozen van cybersecurity tijdens de ontwikkeling is het corporate incentive-programma van Microsoft: “Als je de deadlines mist, krijg je een boete. Als u geen tijd heeft om de release van uw innovatie op tijd in te dienen, wordt deze niet geïmplementeerd. Als het niet wordt geïmplementeerd, ontvang je geen aandelen van het bedrijf (een stukje van de taart van de winst van Microsoft).” Sinds 1993 begon Microsoft zijn producten actief aan internet te koppelen. Omdat dit initiatief in overeenstemming was met hetzelfde motivatieprogramma, breidde de functionaliteit zich sneller uit dan de verdediging dit kon bijhouden. Tot grote vreugde van pragmatische kwetsbaarheidsjagers... [7]

Een ander voorbeeld is de situatie met computers en laptops: deze worden niet geleverd met een vooraf geïnstalleerd antivirusprogramma; en ze voorzien ook niet in het vooraf instellen van sterke wachtwoorden. Er wordt aangenomen dat de eindgebruiker de antivirus installeert en de beveiligingsconfiguratieparameters instelt. [1]

Een ander, extremer voorbeeld: de situatie met de cyberbeveiliging van winkelapparatuur (kassa's, PoS-terminals voor winkelcentra, enz.). Het gebeurde zo dat verkopers van commerciële apparatuur alleen verkopen wat wordt verkocht, en niet wat veilig is. [2] Als er één ding is dat verkopers van commerciële apparatuur belangrijk vinden op het gebied van cyberbeveiliging, dan is het ervoor zorgen dat als zich een controversieel incident voordoet, de verantwoordelijkheid bij anderen ligt. [3]

Een indicatief voorbeeld van deze ontwikkeling van gebeurtenissen: de popularisering van de EMV-standaard voor bankkaarten, die, dankzij het competente werk van bankmarketeers, in de ogen van het publiek dat technisch niet geavanceerd is, verschijnt als een veiliger alternatief voor ‘verouderd’ magnetische kaarten. Tegelijkertijd was de belangrijkste motivatie van de banksector, die verantwoordelijk was voor de ontwikkeling van de EMV-standaard, het verschuiven van de verantwoordelijkheid voor frauduleuze incidenten (die zich voordeden door de schuld van kaarters) - van winkels naar consumenten. Terwijl vroeger (toen betalingen met magneetkaarten werden gedaan) de financiële verantwoordelijkheid voor discrepanties tussen debet en credit bij de winkels lag. [3] Zo banken die betalingen verwerken verschuiven de verantwoordelijkheid naar handelaars (die hun systemen voor bankieren op afstand gebruiken) of naar banken die betaalkaarten uitgeven; de laatste twee verschuiven op hun beurt de verantwoordelijkheid naar de kaarthouder. [2]

Leveranciers belemmeren cyberveiligheid

Naarmate het digitale aanvalsoppervlak onverbiddelijk toeneemt – dankzij de explosie van apparaten die met internet zijn verbonden – wordt het steeds moeilijker om bij te houden wat er met het bedrijfsnetwerk is verbonden. Tegelijkertijd verschuiven leveranciers de zorgen over de veiligheid van alle apparatuur die op internet is aangesloten naar de eindgebruiker [1]: “De redding van drenkelingen is het werk van de drenkelingen zelf.”

Niet alleen geven leveranciers niets om de cyberbeveiliging van hun creaties, maar in sommige gevallen bemoeien ze zich ook met de levering ervan. Toen bijvoorbeeld in 2009 de Conficker-netwerkworm het Beth Israel Medical Center binnenlekte en een deel van de medische apparatuur daar infecteerde, besloot de technisch directeur van dit medische centrum, om soortgelijke incidenten in de toekomst te voorkomen, de operationele ondersteunende functie op de apparatuur die door de worm wordt getroffen met het netwerk. Hij werd echter geconfronteerd met het feit dat "de apparatuur niet kon worden bijgewerkt vanwege wettelijke beperkingen." Het kostte hem veel moeite om met de leverancier te onderhandelen over het uitschakelen van netwerkfuncties. [4]

Fundamentele cyberonveiligheid van het internet

David Clarke, de legendarische MIT-professor wiens genialiteit hem de bijnaam 'Albus Perkamentus' opleverde, herinnert zich de dag dat de donkere kant van het internet aan de wereld werd onthuld. Clark was voorzitter van een telecommunicatieconferentie in november 1988 toen het nieuws bekend werd dat de eerste computerworm in de geschiedenis door netwerkdraden was geglipt. Clark herinnerde zich dit moment omdat de spreker die op zijn conferentie aanwezig was (een medewerker van een van de toonaangevende telecommunicatiebedrijven) verantwoordelijk werd gehouden voor de verspreiding van deze worm. Deze spreker zei, in het heetst van de emoties, onbedoeld: “Alsjeblieft!” Het lijkt erop dat ik deze kwetsbaarheid heb gesloten”, betaalde hij voor deze woorden. [5]

Later bleek echter dat de kwetsbaarheid waardoor de genoemde worm zich verspreidde niet de verdienste van een individueel persoon was. En dit was strikt genomen niet eens een kwetsbaarheid, maar een fundamenteel kenmerk van internet: de grondleggers van het internet concentreerden zich bij het ontwikkelen van hun geesteskind uitsluitend op de snelheid van gegevensoverdracht en fouttolerantie. Ze hebben zichzelf niet tot taak gesteld om de cyberveiligheid te garanderen. [5]

Tegenwoordig, tientallen jaren na de oprichting van het internet – waarbij al honderden miljarden dollars zijn uitgegeven aan nutteloze pogingen tot cyberbeveiliging – is het internet niet minder kwetsbaar. De cyberveiligheidsproblemen worden elk jaar alleen maar erger. Hebben we echter het recht om de grondleggers van het internet hiervoor te veroordelen? Niemand zal bijvoorbeeld de bouwers van snelwegen veroordelen voor het feit dat er ongelukken gebeuren op “hun wegen”; en niemand zal stadsplanners veroordelen voor het feit dat er in ‘hun steden’ overvallen plaatsvinden. [5]

Hoe de hacker-subcultuur werd geboren

De hackersubcultuur ontstond begin jaren zestig in de ‘Railway Technical Modeling Club’ (opererend binnen de muren van het Massachusetts Institute of Technology). Clubliefhebbers ontwierpen en bouwden een modelspoorbaan, zo groot dat deze de hele kamer vulde. Clubleden verdeelden zich spontaan in twee groepen: vredestichters en systeemspecialisten. [1960]

De eerste werkte met het bovengrondse deel van het model, de tweede met het ondergrondse. De eersten verzamelden en versierden modellen van treinen en steden: ze modelleerden de hele wereld in miniatuur. Deze laatste werkte aan de technische ondersteuning voor al dit vredeswerk: een ingewikkeld geheel van draden, relais en coördinatenschakelaars in het ondergrondse deel van het model - alles wat het “bovengrondse” deel controleerde en het van energie voedde. [6]

Als er een verkeersprobleem was en iemand met een nieuwe en ingenieuze oplossing kwam om dit op te lossen, werd de oplossing een ‘hack’ genoemd. Voor clubleden is de zoektocht naar nieuwe hacks een intrinsieke zin van het leven geworden. Daarom begonnen ze zichzelf ‘hackers’ te noemen. [6]

De eerste generatie hackers implementeerde de vaardigheden die ze bij de Simulation Railway Club hadden verworven door computerprogramma's op ponskaarten te schrijven. Toen het ARPANET (de voorloper van het internet) in 1969 op de campus arriveerde, werden hackers de meest actieve en ervaren gebruikers. [6]

Nu, tientallen jaren later, lijkt het moderne internet op dat ‘ondergrondse’ deel van de modelspoorbaan. Omdat de oprichters dezelfde hackers waren, studenten van de “Railroad Simulation Club”. Alleen hackers besturen nu echte steden in plaats van gesimuleerde miniaturen. [6]

Hoe BGP-routering ontstond

Tegen het einde van de jaren tachtig naderde het internet, als gevolg van een lawineachtige toename van het aantal apparaten dat met internet was verbonden, de harde wiskundige limiet die in een van de basisprotocollen van internet was ingebouwd. Daarom veranderde elk gesprek tussen de ingenieurs uit die tijd uiteindelijk in een discussie over dit probleem. Twee vrienden waren geen uitzondering: Jacob Rechter (een ingenieur van IBM) en Kirk Lockheed (oprichter van Cisco). Nadat ze elkaar toevallig aan de eettafel hadden ontmoet, begonnen ze maatregelen te bespreken om de functionaliteit van internet te behouden. De vrienden schreven de ideeën op die ontstonden op wat er ook maar voorhanden was: een servet besmeurd met ketchup. Dan de tweede. Dan de derde. Het ‘three servets protocol’, zoals de uitvinders het gekscherend noemden – in officiële kringen bekend als BGP (Border Gateway Protocol) – zorgde al snel voor een revolutie op het internet. [80]

Voor Rechter en Lockheed was BGP eenvoudigweg een informele hack, ontwikkeld in de geest van de eerder genoemde Model Railroad Club, een tijdelijke oplossing die spoedig zou worden vervangen. De vrienden ontwikkelden BGP in 1989. Vandaag de dag, dertig jaar later, wordt het merendeel van het internetverkeer nog steeds gerouteerd via het ‘three servet protocol’ – ondanks steeds alarmerende oproepen over kritieke problemen met de cyberbeveiliging ervan. De tijdelijke hack werd een van de basisprotocollen van het internet, en de ontwikkelaars leerden uit eigen ervaring dat “er niets permanenter is dan tijdelijke oplossingen.” [30]

Netwerken over de hele wereld zijn overgestapt op BGP. Invloedrijke verkopers, rijke klanten en telecommunicatiebedrijven werden al snel verliefd op BGP en raakten eraan gewend. Daarom toont het IT-publiek, ondanks steeds meer alarmbellen over de onveiligheid van dit protocol, nog steeds geen enthousiasme voor de transitie naar nieuwe, veiligere apparatuur. [8]

Cyber-onveilige BGP-routering

Waarom is BGP-routering zo goed en waarom heeft de IT-gemeenschap geen haast om dit op te geven? BGP helpt routers bij het nemen van beslissingen over waar de enorme gegevensstromen die over een enorm netwerk van elkaar kruisende communicatielijnen worden verzonden, moeten worden gerouteerd. BGP helpt routers bij het kiezen van de juiste paden, ook al verandert het netwerk voortdurend en hebben populaire routes vaak te maken met files. Het probleem is dat het internet geen globale routekaart heeft. Routers die BGP gebruiken, nemen beslissingen over het kiezen van het ene of het andere pad op basis van informatie die ze ontvangen van buren in cyberspace, die op hun beurt informatie verzamelen van hun buren, enz. Deze informatie kan echter gemakkelijk worden vervalst, wat betekent dat BGP-routering zeer kwetsbaar is voor MiTM-aanvallen. [8]

Daarom rijzen er regelmatig vragen als de volgende: “Waarom nam het verkeer tussen twee computers in Denver een gigantische omweg door IJsland?”, “Waarom werden geheime Pentagon-gegevens ooit onderweg via Beijing overgedragen?” Er zijn technische antwoorden op dit soort vragen, maar die komen allemaal neer op het feit dat BGP werkt op basis van vertrouwen: vertrouwen in de aanbevelingen van naburige routers. Dankzij het vertrouwende karakter van het BGP-protocol kunnen mysterieuze verkeersleiders de gegevensstromen van anderen naar hun domein lokken als ze dat willen. [8]

Een levend voorbeeld is de Chinese BGP-aanval op het Amerikaanse Pentagon. In april 2010 stuurde staatstelecommunicatiegigant China Telecom tienduizenden routers over de hele wereld, waaronder 16 in de Verenigde Staten, met een BGP-bericht waarin stond dat ze betere routes hadden. Zonder een systeem dat de geldigheid van een BGP-bericht van China Telecom kon verifiëren, begonnen routers over de hele wereld gegevens onderweg via Beijing te verzenden. Inclusief verkeer van het Pentagon en andere locaties van het Amerikaanse ministerie van Defensie. Het gemak waarmee het verkeer werd omgeleid en het gebrek aan effectieve bescherming tegen dit soort aanvallen is een ander teken van de onveiligheid van BGP-routering. [8]

Het BGP-protocol is theoretisch kwetsbaar voor een nog gevaarlijkere cyberaanval. In het geval dat internationale conflicten in cyberspace met volle kracht escaleren, zou China Telecom, of een andere telecommunicatiegigant, kunnen proberen het eigendom op te eisen van delen van het internet die er feitelijk niet toe behoren. Een dergelijke stap zou routers in verwarring brengen, die zouden moeten stuiteren tussen concurrerende biedingen voor dezelfde blokken internetadressen. Zonder de mogelijkheid om een ​​legitieme applicatie van een nep-applicatie te onderscheiden, zouden de routers grillig gaan werken. Als gevolg daarvan zouden we te maken krijgen met het internet-equivalent van een nucleaire oorlog: een openlijke, grootschalige uiting van vijandigheid. Een dergelijke ontwikkeling in tijden van relatieve vrede lijkt onrealistisch, maar technisch gezien is het heel goed mogelijk. [8]

Een vergeefse poging om van BGP naar BGPSEC te gaan

Bij de ontwikkeling van BGP werd geen rekening gehouden met cybersecurity, omdat hacks destijds zeldzaam waren en de schade ervan verwaarloosbaar was. De ontwikkelaars van BGP hadden, omdat ze voor telecommunicatiebedrijven werkten en geïnteresseerd waren in de verkoop van hun netwerkapparatuur, een dringender taak: spontane storingen van het internet voorkomen. Omdat onderbrekingen op internet gebruikers van zich kunnen vervreemden en daardoor de verkoop van netwerkapparatuur kunnen verminderen. [8]

Na het incident met de transmissie van Amerikaans militair verkeer door Peking in april 2010 is het tempo van de werkzaamheden om de cyberbeveiliging van de BGP-routering te garanderen zeker toegenomen. Telecomleveranciers hebben echter weinig enthousiasme getoond voor het dragen van de kosten die gepaard gaan met de migratie naar het nieuwe veilige routeringsprotocol BGPSEC, voorgesteld als vervanging voor het onveilige BGP. Leveranciers beschouwen BGP nog steeds als zeer acceptabel, ondanks talloze incidenten waarbij verkeer wordt onderschept. [8]

Radia Perlman, de ‘moeder van het internet’ genoemd vanwege het uitvinden van een ander belangrijk netwerkprotocol in 1988 (een jaar vóór BGP), behaalde een profetisch proefschrift aan het MIT. Perlman voorspelde dat een routeringsprotocol dat afhankelijk is van de eerlijkheid van buren in cyberspace fundamenteel onveilig is. Perlman pleitte voor het gebruik van cryptografie, wat de mogelijkheid van namaak zou helpen beperken. De implementatie van BGP was echter al in volle gang, de invloedrijke IT-gemeenschap was eraan gewend en wilde niets veranderen. Daarom is het relatieve aandeel van cryptografisch veilige BGP-routering, na beredeneerde waarschuwingen van Perlman, Clark en enkele andere vooraanstaande wereldexperts, helemaal niet toegenomen en bedraagt ​​het nog steeds 0%. [8]

BGP-routering is niet de enige hack

En BGP-routing is niet de enige hack die het idee bevestigt dat “niets permanenter is dan tijdelijke oplossingen.” Soms lijkt het internet, dat ons onderdompelt in fantasiewerelden, net zo elegant als een raceauto. In werkelijkheid lijkt het internet echter meer op Frankenstein dan op Ferrari, vanwege de op elkaar gestapelde hacks. Omdat deze hacks (officieel patches genoemd) nooit worden vervangen door betrouwbare technologie. De gevolgen van deze aanpak zijn verschrikkelijk: cybercriminelen hacken dagelijks en elk uur kwetsbare systemen, waardoor de reikwijdte van cybercriminaliteit toeneemt tot voorheen onvoorstelbare proporties. [8]

Veel van de door cybercriminelen uitgebuite fouten zijn al lange tijd bekend en zijn uitsluitend bewaard gebleven dankzij de neiging van de IT-gemeenschap om opkomende problemen op te lossen - met tijdelijke hacks/patches. Soms stapelen verouderde technologieën zich hierdoor lange tijd op elkaar op, waardoor het leven van mensen moeilijk wordt en ze in gevaar komen. Wat zou u denken als u hoorde dat uw bank zijn kluis op een fundament van stro en modder bouwt? Zou u erop vertrouwen dat hij uw spaargeld bewaart? [8]

De zorgeloze houding van Linus Torvalds

Het duurde jaren voordat het internet de eerste honderd computers bereikte. Tegenwoordig worden er elke seconde 100 nieuwe computers en andere apparaten op aangesloten. Nu het aantal met internet verbonden apparaten explosief toeneemt, neemt ook de urgentie van cyberbeveiligingsproblemen toe. De persoon die de grootste impact zou kunnen hebben op het oplossen van deze problemen is echter degene die cyberbeveiliging met minachting bekijkt. Deze man wordt een genie, een pestkop, een spirituele leider en een welwillende dictator genoemd. Linus Torvalds. De overgrote meerderheid van de apparaten die met internet zijn verbonden, draaien op het besturingssysteem Linux. Snel, flexibel, gratis - Linux wordt in de loop van de tijd steeds populairder. Tegelijkertijd gedraagt ​​​​het zich zeer stabiel. En het kan jarenlang werken zonder opnieuw op te starten. Dit is de reden waarom Linux de eer heeft het dominante besturingssysteem te zijn. Bijna alle computerapparatuur die tegenwoordig voor ons beschikbaar is, draait op Linux: servers, medische apparatuur, vluchtcomputers, kleine drones, militaire vliegtuigen en nog veel meer. [9]

Linux slaagt grotendeels omdat Torvalds de nadruk legt op prestaties en fouttolerantie. Hij plaatst deze nadruk echter ten koste van cybersecurity. Zelfs nu cyberspace en de echte fysieke wereld met elkaar verweven zijn en cyberbeveiliging een mondiaal probleem wordt, blijft Torvalds zich verzetten tegen het introduceren van veilige innovaties in zijn besturingssysteem. [9]

Daarom bestaat er zelfs onder veel Linux-fans een groeiende bezorgdheid over de kwetsbaarheden van dit besturingssysteem. In het bijzonder het meest intieme deel van Linux, de kernel, waar Torvalds persoonlijk aan werkt. Linux-fans zien dat Torvalds cyberbeveiligingsproblemen niet serieus neemt. Bovendien heeft Torvalds zich omringd met ontwikkelaars die deze zorgeloze houding delen. Als iemand uit de binnenste cirkel van Torvalds begint te praten over het introduceren van veilige innovaties, wordt hij meteen vervloekt. Torvalds ontsloeg een groep van zulke vernieuwers en noemde ze ‘masturberende apen’. Toen Torvalds afscheid nam van een andere groep veiligheidsbewuste ontwikkelaars, zei hij tegen hen: 'Zou u zo vriendelijk willen zijn zelfmoord te plegen. De wereld zou er een betere plek door worden.” Als het ging om het toevoegen van beveiligingsfuncties, was Torvalds er altijd tegen. [9] Torvalds heeft in dit opzicht zelfs een hele filosofie, die niet zonder een greintje gezond verstand is:

“Absolute veiligheid is onbereikbaar. Daarom moet het altijd alleen worden bekeken in relatie tot andere prioriteiten: snelheid, flexibiliteit en gebruiksgemak. Mensen die zich volledig wijden aan het bieden van bescherming zijn gek. Hun denken is beperkt, zwart-wit. Beveiliging op zichzelf is nutteloos. De essentie ligt altijd ergens anders. Daarom kunt u geen absolute veiligheid garanderen, ook al zou u dat echt willen. Natuurlijk zijn er mensen die meer aandacht besteden aan veiligheid dan Torvalds. Deze jongens werken echter eenvoudigweg aan wat hen interesseert en bieden veiligheid binnen het smalle relatieve kader dat deze belangen afbakent. Niet meer. Ze dragen dus op geen enkele manier bij aan het vergroten van de absolute veiligheid.” [9]

Zijbalk: OpenSource is als een kruitvat [10]

OpenSource-code heeft miljarden aan softwareontwikkelingskosten bespaard, waardoor dubbele inspanningen overbodig zijn geworden: met OpenSource hebben programmeurs de mogelijkheid om huidige innovaties te gebruiken zonder beperkingen of betaling. OpenSource wordt overal gebruikt. Zelfs als u een softwareontwikkelaar hebt ingehuurd om uw gespecialiseerde probleem helemaal opnieuw op te lossen, zal deze ontwikkelaar hoogstwaarschijnlijk een soort OpenSource-bibliotheek gebruiken. En waarschijnlijk meer dan één. OpenSource-elementen zijn dus bijna overal aanwezig. Tegelijkertijd moet worden begrepen dat geen enkele software statisch is; de code ervan verandert voortdurend. Daarom werkt het ‘stel het in en vergeet het’-principe nooit voor code. Inclusief de OpenSource-code: vroeg of laat zal een bijgewerkte versie nodig zijn.

In 2016 zagen we de gevolgen van deze gang van zaken: een 28-jarige ontwikkelaar ‘brak’ het internet kortstondig door zijn OpenSource-code te verwijderen, die hij eerder openbaar had gemaakt. Dit verhaal wijst erop dat onze cyberinfrastructuur erg kwetsbaar is. Sommige mensen - die OpenSource-projecten steunen - zijn zo belangrijk voor het in stand houden ervan dat als, God verhoede, ze door een bus worden aangereden, het internet kapot zal gaan.

Moeilijk te onderhouden code is waar de ernstigste kwetsbaarheden op het gebied van cyberbeveiliging op de loer liggen. Sommige bedrijven realiseren zich niet eens hoe kwetsbaar ze zijn vanwege moeilijk te onderhouden code. Kwetsbaarheden die verband houden met dergelijke code kunnen heel langzaam uitgroeien tot een echt probleem: systemen rotten langzaam, zonder zichtbare fouten te vertonen tijdens het rottingsproces. En als ze toch falen, zijn de gevolgen fataal.

Ten slotte kunnen problemen met moeilijk te onderhouden code niet op traditionele manieren worden opgelost, aangezien OpenSource-projecten meestal worden ontwikkeld door een gemeenschap van enthousiastelingen, zoals Linus Torvalds of zoals de hackers van de Model Railroad Club die aan het begin van het artikel worden genoemd. commerciële en overheidshefbomen). Omdat leden van dergelijke gemeenschappen eigenzinnig zijn en hun onafhankelijkheid boven alles waarderen.

Zijbalk: Misschien zullen de inlichtingendiensten en antivirusontwikkelaars ons beschermen?

In 2013 werd bekend dat Kaspersky Lab een speciale eenheid had die op maat gemaakte onderzoeken naar informatiebeveiligingsincidenten uitvoerde. Tot voor kort werd deze afdeling geleid door een voormalige majoor van de politie, Ruslan Stoyanov, die voorheen werkte op de afdeling “K” van de hoofdstad (USTM van het hoofddirectoraat Binnenlandse Zaken van Moskou). Alle medewerkers van deze speciale eenheid van Kaspersky Lab zijn afkomstig van wetshandhavingsinstanties, waaronder de Onderzoekscommissie en Directoraat “K”. [elf]

Eind 2016 arresteerde de FSB Ruslan Stoyanov en beschuldigde hem van verraad. In hetzelfde geval werd Sergei Mikhailov, een hooggeplaatste vertegenwoordiger van het FSB CIB (informatiebeveiligingscentrum), gearresteerd, aan wie vóór de arrestatie de volledige cyberveiligheid van het land was gebonden. [elf]

Zijbalk: Cyberbeveiliging afgedwongen

Binnenkort zullen Russische ondernemers gedwongen worden serieuze aandacht te besteden aan cybersecurity. In januari 2017 verklaarde Nikolai Murashov, een vertegenwoordiger van het Centrum voor Informatiebescherming en Speciale Communicatie, dat alleen al in Rusland CII-objecten (kritieke informatie-infrastructuur) in 2016 meer dan 70 miljoen keer werden aangevallen. CII-objecten omvatten informatiesystemen van overheidsinstanties, defensie-industriebedrijven, transport-, krediet- en financiële sectoren, energie-, brandstof- en nucleaire industrieën. Om hen te beschermen ondertekende de Russische president Vladimir Poetin op 26 juli een pakket wetten “Over de veiligheid van de CII.” Op 1 januari 2018, wanneer de wet van kracht wordt, moeten de eigenaren van CII-faciliteiten een reeks maatregelen implementeren om hun infrastructuur te beschermen tegen hackeraanvallen, in het bijzonder verbinding maken met GosSOPKA. [12]

Bibliografie

1. Jonathan Millet. IoT: het belang van het beveiligen van uw slimme apparaten // een.
2. Ross Anderson. Hoe smartcardbetalingssystemen falen // Black Hat. 2014.
3. SJ Murdoch. Chip en pincode zijn kapot // Proceedings van het IEEE-symposium over beveiliging en privacy. 2010. blz. 433-446.
4. David Talbot. Computervirussen zijn "ongebreideld" op medische apparaten in ziekenhuizen // MIT Technology Review (digitaal). 2012.
5. Craig Timberg. Zonder onzekerheid: een stroom in het ontwerp // De Washington Post. 2015.
6. Michaël Lista. Hij was een tienerhacker die zijn miljoenen uitgaf aan auto's, kleding en horloges, totdat de FBI erachter kwam // Toronto-leven. 2018.
7. Craig Timberg. Zonder onzekerheid: een ramp voorspeld – en genegeerd // De Washington Post. 2015.
8. Craig Timberg. De lange levensduur van een snelle 'oplossing': het internetprotocol uit 1989 maakt gegevens kwetsbaar voor kapers // De Washington Post. 2015.
9. Craig Timberg. Zonder onzekerheid: de kern van het argument // De Washington Post. 2015.
10. Joshua Gans. Kan open source-code onze angsten voor het millennium eindelijk werkelijkheid maken? // Harvard Business Review (digitaal). 2017.
11. Topmanager van Kaspersky gearresteerd door FSB // CNieuws. 2017. URL.
12. Maria Kolomytsjenko. Cyberinlichtingendienst: Sberbank stelde voor een hoofdkwartier te creëren om hackers te bestrijden // RBC. 2017.

Bron: www.habr.com