Når de "svarte hattene" - som er ordensmenn i den ville skogen i cyberspace - viser seg å være spesielt vellykkede i sitt skitne arbeid, skriker de gule mediene av glede. Som et resultat begynner verden å se på cybersikkerhet mer seriøst. Men dessverre ikke med en gang. Derfor, til tross for det økende antallet katastrofale cyberhendelser, er verden ennå ikke moden for aktive proaktive tiltak. Imidlertid forventes det at i nær fremtid, takket være de "svarte hattene", vil verden begynne å ta cybersikkerhet på alvor. [7]

Like alvorlig som branner... Byer var en gang svært sårbare for katastrofale branner. Til tross for den potensielle faren ble det imidlertid ikke tatt proaktive beskyttelsestiltak – selv etter gigantbrannen i Chicago i 1871, som krevde hundrevis av menneskeliv og fordrevet hundretusenvis av mennesker. Proaktive beskyttelsestiltak ble iverksatt først etter at en lignende katastrofe skjedde igjen, tre år senere. Det er det samme med cybersikkerhet – verden vil ikke løse dette problemet med mindre det er katastrofale hendelser. Men selv om slike hendelser inntreffer, vil ikke verden løse dette problemet umiddelbart. [7] Derfor fungerer ikke til og med ordtaket: "Inntil en feil oppstår, vil en mann ikke bli lappet." Derfor feiret vi i 2018 30 år med utbredt usikkerhet.

Lyrisk digresjon

Begynnelsen av denne artikkelen, som jeg opprinnelig skrev for magasinet System Administrator, viste seg å være profetisk på en måte. Utgave av et magasin med denne artikkelen gikk ut bokstavelig talt dag etter dag med den tragiske brannen i Kemerovo kjøpesenter "Winter Cherry" (2018, 20. mars).

Installer Internett på 30 minutter

Tilbake i 1988 erklærte den legendariske hackergalaksen L0pht, som talte i full kraft før et møte med de mest innflytelsesrike vestlige tjenestemennene: «Ditt datastyrte utstyr er sårbart for cyberangrep fra Internett. Og programvare og maskinvare og telekommunikasjon. Leverandørene deres er ikke i det hele tatt bekymret for denne tilstanden. Fordi moderne lovgivning ikke gir noe ansvar for en uaktsom tilnærming for å sikre cybersikkerheten til produsert programvare og maskinvare. Ansvaret for potensielle feil (enten de er spontane eller forårsaket av intervensjon fra nettkriminelle) ligger utelukkende hos brukeren av utstyret. Når det gjelder den føderale regjeringen, har den verken ferdighetene eller ønsket om å løse dette problemet. Derfor, hvis du leter etter cybersikkerhet, er ikke Internett stedet å finne det. Hver av de syv personene som sitter foran deg kan fullstendig ødelegge Internett og følgelig ta full kontroll over utstyret som er koblet til det. På egenhånd. 30 minutter med koreograferte tastetrykk og det er gjort.» [7]

Tjenestemennene nikket meningsfullt og gjorde det klart at de forsto alvoret i situasjonen, men gjorde ingenting. I dag, nøyaktig 30 år etter L0phts legendariske opptreden, er verden fortsatt plaget av «hemmende usikkerhet». Hacking av datastyrt, Internett-tilkoblet utstyr er så enkelt at Internett, i utgangspunktet et kongerike av idealistiske forskere og entusiaster, gradvis har blitt okkupert av de mest pragmatiske av fagfolk: svindlere, svindlere, spioner, terrorister. Alle utnytter sårbarhetene til datastyrt utstyr til økonomiske eller andre fordeler. [7]

Leverandører neglisjerer cybersikkerhet

Leverandører prøver selvfølgelig noen ganger å fikse noen av de identifiserte sårbarhetene, men de gjør det veldig motvillig. Fordi fortjenesten deres ikke kommer fra beskyttelse mot hackere, men fra den nye funksjonaliteten de gir forbrukerne. Ved å være fokusert utelukkende på kortsiktig fortjeneste, investerer leverandører kun penger i å løse reelle problemer, ikke hypotetiske. Cybersikkerhet, i øynene til mange av dem, er en hypotetisk ting. [7]

Cybersikkerhet er en usynlig, immateriell ting. Det blir håndgripelig først når det oppstår problemer med det. Hvis de tok godt vare på det (de brukte mye penger på det), og det ikke er noen problemer med det, vil sluttforbrukeren ikke ønske å betale for mye for det. I tillegg, i tillegg til å øke økonomiske kostnader, krever implementeringen av beskyttelsestiltak ytterligere utviklingstid, krever begrenset utstyrs evner og fører til en reduksjon i produktiviteten. [8]

Det er vanskelig å overbevise selv våre egne markedsførere om gjennomførbarheten av de oppførte kostnadene, enn si sluttforbrukere. Og siden moderne leverandører kun er interessert i kortsiktig salgsgevinst, er de overhodet ikke tilbøyelige til å ta ansvar for å sikre cybersikkerheten til kreasjonene deres. [1] På den annen side står mer forsiktige leverandører som har tatt vare på cybersikkerheten til utstyret deres overfor det faktum at bedriftsforbrukere foretrekker billigere og enklere å bruke alternativer. At. Det er åpenbart at bedriftsforbrukere heller ikke bryr seg mye om cybersikkerhet. [8]

I lys av ovenstående er det ikke overraskende at leverandører har en tendens til å neglisjere cybersikkerhet, og følger følgende filosofi: «Fortsett å bygge, fortsett å selge og lappe når det er nødvendig. Har systemet krasjet? Mistet informasjon? Database med kredittkortnummer stjålet? Er det identifisert noen dødelige sårbarheter i utstyret ditt? Ikke noe problem!" Forbrukere må på sin side følge prinsippet: "Patch and be." [7]

Hvordan dette skjer: eksempler fra naturen

Et slående eksempel på neglisjering av cybersikkerhet under utvikling er Microsofts bedriftsincentivprogram: «Hvis du går glipp av tidsfristene, vil du bli bøtelagt. Hvis du ikke har tid til å sende inn utgivelsen av innovasjonen din i tide, vil den ikke bli implementert. Hvis det ikke implementeres, vil du ikke motta aksjer i selskapet (en del av kaken fra Microsofts fortjeneste).» Siden 1993 begynte Microsoft aktivt å koble produktene sine til Internett. Siden dette initiativet opererte i tråd med det samme motivasjonsprogrammet, utvidet funksjonaliteten seg raskere enn forsvaret kunne holde tritt med det. Til glede for pragmatiske sårbarhetsjegere... [7]

Et annet eksempel er situasjonen med datamaskiner og bærbare datamaskiner: de kommer ikke med et forhåndsinstallert antivirus; og de sørger heller ikke for forhåndsinnstilling av sterke passord. Det antas at sluttbrukeren vil installere antiviruset og angi sikkerhetskonfigurasjonsparametrene. [1]

Et annet, mer ekstremt eksempel: situasjonen med cybersikkerhet for detaljhandelsutstyr (kasseapparater, PoS-terminaler for kjøpesentre, etc.). Det hendte slik at selgere av kommersielt utstyr bare selger det som selges, og ikke det som er trygt. [2] Hvis det er én ting som kommersielt utstyrsleverandører bryr seg om når det gjelder cybersikkerhet, er det å sørge for at hvis en kontroversiell hendelse inntreffer, faller ansvaret på andre. [3]

Et veiledende eksempel på denne utviklingen av hendelser: populariseringen av EMV-standarden for bankkort, som, takket være det kompetente arbeidet til bankmarkedsførere, fremstår i øynene til offentligheten som ikke er teknisk sofistikert som et tryggere alternativ til "utdatert" magnetiske kort. Samtidig var hovedmotivasjonen til banknæringen, som var ansvarlig for å utvikle EMV-standarden, å flytte ansvaret for uredelige hendelser (som oppstår på grunn av feil fra kortholdere) – fra butikker til forbrukere. Mens tidligere (da betalinger ble utført med magnetkort), lå det økonomiske ansvaret hos butikkene for avvik i debet/kreditt. [3] Altså banker som behandler betalinger flytter ansvaret enten til selgere (som bruker deres eksterne banksystemer) eller til banker som utsteder betalingskort; de to sistnevnte flytter på sin side ansvaret over på kortinnehaveren. [2]

Leverandører hindrer cybersikkerhet

Ettersom den digitale angrepsoverflaten ubønnhørlig utvides – takket være eksplosjonen av Internett-tilkoblede enheter – blir det stadig vanskeligere å holde oversikt over hva som er koblet til bedriftsnettverket. Samtidig flytter leverandører bekymringer om sikkerheten til alt utstyr koblet til Internett til sluttbrukeren [1]: "Redningen av druknende mennesker er arbeidet til de druknende menneskene selv."

Ikke bare bryr ikke leverandører seg om cybersikkerheten til kreasjonene deres, men i noen tilfeller forstyrrer de også leveringen. For eksempel, da Conficker-nettverksormen i 2009 lekket inn i Beth Israel Medical Center og infiserte en del av det medisinske utstyret der, bestemte den tekniske direktøren for dette medisinske senteret, for å forhindre at lignende hendelser oppstår i fremtiden, å deaktivere driftsstøttefunksjon på utstyret som påvirkes av ormen med nettverket. Han ble imidlertid møtt med at «utstyret ikke kunne oppdateres på grunn av regulatoriske begrensninger». Det tok ham betydelig innsats å forhandle med leverandøren for å deaktivere nettverksfunksjoner. [4]

Grunnleggende cyberusikkerhet på Internett

David Clarke, den legendariske MIT-professoren hvis geni ga ham kallenavnet "Albus Dumbledore," husker dagen den mørke siden av Internett ble avslørt for verden. Clark ledet en telekommunikasjonskonferanse i november 1988 da nyheten kom om at den første dataormen i historien hadde gled gjennom nettverksledninger. Clark husket dette øyeblikket fordi foredragsholderen til stede på konferansen hans (en ansatt i et av de ledende telekommunikasjonsselskapene) ble holdt ansvarlig for spredningen av denne ormen. Denne foredragsholderen sa, i følelsenes hete, utilsiktet: "Her er det!" Jeg ser ut til å ha lukket denne sårbarheten,» betalte han for disse ordene. [5]

Senere viste det seg imidlertid at sårbarheten som den nevnte ormen spredte seg gjennom ikke var noen enkeltpersons fortjeneste. Og dette var strengt tatt ikke engang en sårbarhet, men et grunnleggende trekk ved Internett: Grunnleggerne av Internett, da de utviklet sitt hjernebarn, fokuserte utelukkende på dataoverføringshastighet og feiltoleranse. De satte seg ikke i oppgave å sikre cybersikkerhet. [5]

I dag, tiår etter Internetts grunnleggelse – med hundrevis av milliarder av dollar som allerede er brukt på nytteløse forsøk på cybersikkerhet – er Internett ikke mindre sårbart. Nettsikkerhetsproblemene blir bare verre for hvert år. Men har vi rett til å fordømme grunnleggerne av Internett for dette? Tross alt, for eksempel, vil ingen fordømme utbyggere av motorveier for det faktum at ulykker skjer på «veiene deres»; og ingen vil fordømme byplanleggere for det faktum at ran skjer i «byene deres». [5]

Hvordan hacker-subkulturen ble født

Hacker-subkulturen oppsto på begynnelsen av 1960-tallet, i "Railway Technical Modeling Club" (som opererer innenfor veggene til Massachusetts Institute of Technology). Klubbentusiaster designet og monterte en modelljernbane, så stor at den fylte hele rommet. Klubbmedlemmer delte seg spontant inn i to grupper: fredsstiftere og systemspesialister. [6]

Den første jobbet med den overjordiske delen av modellen, den andre - med den underjordiske. De første samlet og dekorerte modeller av tog og byer: de modellerte hele verden i miniatyr. Sistnevnte jobbet med teknisk støtte for all denne fredsskapingen: en intrikat av ledninger, releer og koordinatbrytere plassert i den underjordiske delen av modellen - alt som kontrollerte den "overjordiske" delen og matet den med energi. [6]

Når det var et trafikkproblem og noen kom opp med en ny og genial løsning for å fikse det, ble løsningen kalt et "hack". For klubbmedlemmer har jakten på nye hacks blitt en iboende mening med livet. Derfor begynte de å kalle seg «hackere». [6]

Den første generasjonen hackere implementerte ferdighetene som ble tilegnet ved Simulation Railway Club ved å skrive dataprogrammer på hullkort. Så, da ARPANET (forgjengeren til Internett) ankom campus i 1969, ble hackere dens mest aktive og dyktige brukere. [6]

Nå, flere tiår senere, ligner det moderne Internett den veldig "underjordiske" delen av modelljernbanen. Fordi grunnleggerne var de samme hackerne, studenter av "Railroad Simulation Club". Bare hackere driver nå ekte byer i stedet for simulerte miniatyrer. [6]

Hvordan BGP-ruting ble til

På slutten av 80-tallet, som et resultat av en skredlignende økning i antall enheter koblet til Internett, nærmet Internett seg den harde matematiske grensen innebygd i en av de grunnleggende Internett-protokollene. Derfor ble enhver samtale mellom datidens ingeniører til slutt til en diskusjon om dette problemet. To venner var intet unntak: Jacob Rechter (en ingeniør fra IBM) og Kirk Lockheed (grunnlegger av Cisco). Etter å ha møttes ved en tilfeldighet ved middagsbordet, begynte de å diskutere tiltak for å bevare funksjonaliteten til Internett. Vennene skrev ned ideene som dukket opp på det som kom for hånden - en serviett flekket med ketchup. Så den andre. Så den tredje. «Protokollen for tre servietter», som oppfinnerne spøkefullt kalte den – kjent i offisielle kretser som BGP (Border Gateway Protocol) – revolusjonerte snart Internett. [8]

For Rechter og Lockheed var BGP ganske enkelt et tilfeldig hack, utviklet i ånden til den nevnte Model Railroad Club, en midlertidig løsning som snart ville bli erstattet. Kompisene utviklet BGP i 1989. I dag, 30 år senere, blir imidlertid størstedelen av Internett-trafikken fortsatt rutet ved hjelp av "tre servietter-protokollen" - til tross for stadig mer alarmerende oppringninger om kritiske problemer med cybersikkerheten. Det midlertidige hacket ble en av de grunnleggende Internett-protokollene, og utviklerne lærte av egen erfaring at "det er ingenting mer permanent enn midlertidige løsninger." [8]

Nettverk over hele verden har gått over til BGP. Innflytelsesrike leverandører, velstående kunder og telekommunikasjonsselskaper ble raskt forelsket i BGP og ble vant til det. Derfor, selv til tross for flere og flere alarmklokker om usikkerheten til denne protokollen, viser IT-publikummet fortsatt ikke entusiasme for overgangen til nytt, sikrere utstyr. [8]

Cyber-usikker BGP-ruting

Hvorfor er BGP-ruting så bra, og hvorfor har ikke IT-fellesskapet det travelt med å forlate det? BGP hjelper rutere å ta avgjørelser om hvor de skal rute de enorme datastrømmene som sendes over et stort nettverk av kryssende kommunikasjonslinjer. BGP hjelper rutere å velge passende veier selv om nettverket er i konstant endring og populære ruter ofte opplever trafikkork. Problemet er at Internett ikke har et globalt rutekart. Rutere som bruker BGP tar beslutninger om å velge en eller annen vei basert på informasjon mottatt fra naboer i cyberspace, som igjen samler inn informasjon fra naboene, etc. Imidlertid kan denne informasjonen lett forfalskes, noe som betyr at BGP-ruting er svært sårbar for MiTM-angrep. [8]

Derfor oppstår spørsmål som følgende regelmessig: "Hvorfor tok trafikken mellom to datamaskiner i Denver en gigantisk omvei gjennom Island?", "Hvorfor ble klassifiserte Pentagon-data en gang overført i transitt gjennom Beijing?" Det finnes tekniske svar på spørsmål som disse, men de kommer alle ned på at BGP jobber basert på tillit: tillit til anbefalinger mottatt fra naborutere. Takket være den tillitsfulle karakteren til BGP-protokollen, kan mystiske trafikkoverherrer lokke andres dataflyt inn i domenet deres hvis de ønsker det. [8]

Et levende eksempel er Kinas BGP-angrep på det amerikanske Pentagon. I april 2010 sendte den statseide telekomgiganten China Telecom titusenvis av rutere rundt om i verden, inkludert 16 8 i USA, en BGP-melding som fortalte dem at de hadde bedre ruter. Uten et system som kunne bekrefte gyldigheten av en BGP-melding fra China Telecom, begynte rutere over hele verden å sende data i transitt gjennom Beijing. Inkludert trafikk fra Pentagon og andre nettsteder til det amerikanske forsvarsdepartementet. Enkelheten som trafikken ble omdirigert med og mangelen på effektiv beskyttelse mot denne typen angrep er et annet tegn på usikkerheten til BGP-ruting. [XNUMX]

BGP-protokollen er teoretisk sett sårbar for et enda farligere cyberangrep. I tilfelle internasjonale konflikter eskalerer med full kraft i cyberspace, kan China Telecom, eller en annen telekommunikasjonsgigant, prøve å kreve eierskap til deler av Internett som faktisk ikke tilhører det. Et slikt trekk ville forvirre rutere, som ville måtte hoppe mellom konkurrerende bud for de samme blokkene med Internett-adresser. Uten muligheten til å skille en legitim applikasjon fra en falsk, ville ruterne begynne å opptre uberegnelig. Som et resultat ville vi bli møtt med Internett-ekvivalenten til atomkrig – en åpen, storstilt visning av fiendtlighet. En slik utvikling i tider med relativ fred virker urealistisk, men teknisk sett er det ganske gjennomførbart. [8]

Et fåfengt forsøk på å flytte fra BGP til BGPSEC

Cybersikkerhet ble ikke tatt i betraktning da BGP ble utviklet, fordi hacks på den tiden var sjeldne og skadene fra dem var ubetydelige. Utviklerne av BGP, fordi de jobbet for telekommunikasjonsselskaper og var interessert i å selge nettverksutstyret sitt, hadde en mer presserende oppgave: å unngå spontane sammenbrudd av Internett. Fordi avbrudd i Internett kan fremmedgjøre brukere, og dermed redusere salget av nettverksutstyr. [8]

Etter hendelsen med overføring av amerikansk militærtrafikk gjennom Beijing i april 2010, akselererte tempoet i arbeidet for å sikre cybersikkerheten til BGP-ruting. Telekomleverandører har imidlertid vist liten entusiasme for å bære kostnadene forbundet med å migrere til den nye sikre rutingprotokollen BGPSEC, foreslått som en erstatning for den usikre BGP. Leverandører anser fortsatt BGP som ganske akseptabelt, selv til tross for utallige hendelser med trafikkavlytting. [8]

Radia Perlman, kalt "Internettets mor" for å ha oppfunnet en annen viktig nettverksprotokoll i 1988 (et år før BGP), oppnådde en profetisk doktorgradsavhandling ved MIT. Perlman spådde at en rutingprotokoll som avhenger av ærligheten til naboer i cyberspace er fundamentalt usikker. Perlman tok til orde for bruk av kryptografi, som ville bidra til å begrense muligheten for forfalskning. Implementeringen av BGP var imidlertid allerede i full gang, det innflytelsesrike IT-miljøet var vant til det, og ønsket ikke å endre noe. Derfor, etter begrunnede advarsler fra Perlman, Clark og noen andre fremtredende verdenseksperter, har den relative andelen av kryptografisk sikker BGP-ruting ikke økt i det hele tatt, og er fortsatt 0 %. [8]

BGP-ruting er ikke det eneste hacket

Og BGP-ruting er ikke det eneste hacket som bekrefter ideen om at "ingenting er mer permanent enn midlertidige løsninger." Noen ganger virker Internett, som fordyper oss i fantasiverdener, like elegant som en racerbil. Men i virkeligheten, på grunn av hacks som er stablet oppå hverandre, er Internett mer likt Frankenstein enn Ferrari. Fordi disse hackene (mer offisielt kalt patcher) aldri erstattes av pålitelig teknologi. Konsekvensene av denne tilnærmingen er alvorlige: Hver dag og hver time hacker nettkriminelle seg inn i sårbare systemer, og utvider omfanget av nettkriminalitet til tidligere ufattelige proporsjoner. [8]

Mange av feilene som utnyttes av nettkriminelle har vært kjent i lang tid, og har blitt bevart utelukkende på grunn av IT-miljøets tendens til å løse nye problemer - med midlertidige hacks/patcher. Noen ganger, på grunn av dette, hoper utdaterte teknologier seg opp på hverandre i lang tid, noe som gjør folks liv vanskelig og setter dem i fare. Hva ville du tenke hvis du fikk vite at banken din bygger hvelvet sitt på et fundament av halm og gjørme? Ville du stole på at han ville beholde sparepengene dine? [8]

Den bekymringsløse holdningen til Linus Torvalds

Det tok år før Internett nådde sine første hundre datamaskiner. I dag kobles 100 nye datamaskiner og andre enheter til den hvert sekund. Ettersom Internett-tilkoblede enheter eksploderer, øker det haster med cybersikkerhetsproblemer. Imidlertid er den personen som kan ha størst innvirkning på å løse disse problemene den som ser på cybersikkerhet med forakt. Denne mannen har blitt kalt et geni, en bølle, en åndelig leder og en velvillig diktator. Linus Torvalds. De aller fleste enheter koblet til Internett kjører operativsystemet Linux. Rask, fleksibel, gratis – Linux blir mer og mer populært over tid. Samtidig oppfører den seg veldig stabilt. Og det kan fungere uten omstart i mange år. Dette er grunnen til at Linux har æren av å være det dominerende operativsystemet. Nesten alt datastyrt utstyr som er tilgjengelig for oss i dag, kjører Linux: servere, medisinsk utstyr, flydatamaskiner, bittesmå droner, militærfly og mye mer. [9]

Linux lykkes i stor grad fordi Torvalds legger vekt på ytelse og feiltoleranse. Han legger imidlertid denne vekten på bekostning av cybersikkerhet. Selv mens cyberspace og den virkelige fysiske verden flettes sammen og cybersikkerhet blir et globalt problem, fortsetter Torvalds å motstå å introdusere sikre innovasjoner i operativsystemet sitt. [9]

Derfor, selv blant mange Linux-fans, er det økende bekymring for sårbarhetene til dette operativsystemet. Spesielt den mest intime delen av Linux, kjernen, som Torvalds jobber med personlig. Linux-fans ser at Torvalds ikke tar cybersikkerhetsproblemer på alvor. Dessuten har Torvalds omgitt seg med utviklere som deler denne bekymringsløse holdningen. Hvis noen fra Torvalds innerste krets begynner å snakke om å introdusere trygge innovasjoner, blir han umiddelbart bedøvet. Torvalds avskjediget en gruppe slike innovatører og kalte dem «onanerende aper». Da Torvalds tok farvel med en annen gruppe sikkerhetsbevisste utviklere, sa han til dem: «Vil dere være så snill å drepe deg selv. Verden ville blitt et bedre sted på grunn av det.» Når det kom til å legge til sikkerhetsfunksjoner, var Torvalds alltid imot det. [9] Torvalds har til og med en hel filosofi i denne forbindelse, som ikke er uten et snev av sunn fornuft:

«Absolutt sikkerhet er uoppnåelig. Derfor bør det alltid vurderes kun i forhold til andre prioriteringer: hastighet, fleksibilitet og brukervennlighet. Folk som vier seg helt til å gi beskyttelse er gale. Tenkningen deres er begrenset, svart og hvit. Sikkerhet i seg selv er ubrukelig. Essensen er alltid et annet sted. Derfor kan du ikke sikre absolutt sikkerhet, selv om du virkelig ønsker det. Selvfølgelig er det folk som legger mer vekt på sikkerhet enn Torvalds. Men disse gutta jobber rett og slett med det som interesserer dem og gir trygghet innenfor de snevre relative rammene som avgrenser disse interessene. Ikke mer. Så de bidrar på ingen måte til å øke absolutt sikkerhet.» [9]

Sidefelt: OpenSource er som en kruttønne [10]

OpenSource-kode har spart milliarder i programvareutviklingskostnader, og eliminerer behovet for duplikatarbeid: med OpenSource har programmerere muligheten til å bruke gjeldende innovasjoner uten begrensninger eller betaling. OpenSource brukes overalt. Selv om du hyret en programvareutvikler for å løse ditt spesialiserte problem fra bunnen av, vil denne utvikleren mest sannsynlig bruke et slags OpenSource-bibliotek. Og sannsynligvis mer enn én. Dermed er OpenSource-elementer til stede nesten overalt. Samtidig bør det forstås at ingen programvare er statisk; koden er i konstant endring. Derfor fungerer aldri "sett det og glem det"-prinsippet for kode. Inkludert OpenSource-koden: før eller senere vil en oppdatert versjon være nødvendig.

I 2016 så vi konsekvensene av denne tilstanden: en 28 år gammel utvikler "brøt" Internett kort ved å slette OpenSource-koden hans, som han tidligere hadde gjort offentlig tilgjengelig. Denne historien påpeker at cyberinfrastrukturen vår er veldig skjør. Noen mennesker - som støtter OpenSource-prosjekter - er så viktige for å opprettholde det at hvis, gud forby, de blir påkjørt av en buss, vil Internett gå i stykker.

Vanskelig å vedlikeholde kode er der de mest alvorlige cybersikkerhetssårbarhetene lurer. Noen selskaper skjønner ikke engang hvor sårbare de er på grunn av kode som er vanskelig å vedlikeholde. Sårbarheter knyttet til slik kode kan modnes til et reelt problem veldig sakte: systemer råtner sakte, uten å demonstrere synlige feil i prosessen med å råtne. Og når de mislykkes, er konsekvensene fatale.

Til slutt, siden OpenSource-prosjekter vanligvis utvikles av et fellesskap av entusiaster, som Linus Torvalds eller som hackerne fra Model Railroad Club nevnt i begynnelsen av artikkelen, kan ikke problemer med kode som er vanskelig å vedlikeholde løses på tradisjonelle måter (ved å bruke kommersielle og statlige spaker). Fordi medlemmer av slike samfunn er villige og verdsetter deres uavhengighet over alt annet.

Sidefelt: Kanskje etterretningstjenestene og antivirusutviklerne vil beskytte oss?

I 2013 ble det kjent at Kaspersky Lab hadde en spesialenhet som utførte tilpassede undersøkelser av informasjonssikkerhetshendelser. Inntil nylig ble denne avdelingen ledet av en tidligere politimajor, Ruslan Stoyanov, som tidligere jobbet i hovedstadens avdeling "K" (USTM i Moskvas hoveddirektorat for indre anliggender). Alle ansatte i denne spesialenheten til Kaspersky Lab kommer fra rettshåndhevelsesbyråer, inkludert undersøkelseskomiteen og direktoratet "K". [elleve]

På slutten av 2016 arresterte FSB Ruslan Stoyanov og siktet ham for forræderi. I samme sak ble Sergei Mikhailov, en høytstående representant for FSB CIB (informasjonssikkerhetssenter), arrestert, som før arrestasjonen var bundet til hele cybersikkerheten i landet. [elleve]

Sidefelt: Cybersikkerhet håndhevet

Snart vil russiske gründere bli tvunget til å ta seriøs oppmerksomhet til cybersikkerhet. I januar 2017 uttalte Nikolai Murashov, en representant for Senter for informasjonsbeskyttelse og spesiell kommunikasjon, at i Russland ble CII-objekter (kritisk informasjonsinfrastruktur) alene angrepet mer enn 2016 millioner ganger i 70. CII-objekter inkluderer informasjonssystemer for offentlige etater, forsvarsindustribedrifter, transport-, kreditt- og finanssektorer, energi-, drivstoff- og atomindustri. For å beskytte dem signerte Russlands president Vladimir Putin den 26. juli en lovpakke "Om sikkerheten til CII." Innen 1. januar 2018, når loven trer i kraft, må eierne av CII-anlegg implementere et sett med tiltak for å beskytte infrastrukturen deres mot hackerangrep, spesielt koble til GosSOPKA. [12]

bibliografi

1. Jonathan Millet. IoT: Viktigheten av å sikre smartenhetene dine // En.
2. Ross Anderson. Hvordan betalingssystemer for smartkort svikter // Black Hat. 2014.
3. SJ Murdoch. Chip og PIN er ødelagt // Proceedings of the IEEE Symposium on Security and Privacy. 2010. s. 433-446.
4. David Talbot. Datavirus er "utbredt" på medisinsk utstyr på sykehus // MIT Technology Review (Digital). 2012.
5. Craig Timberg. Nett av usikkerhet: En flyt i designet // Washington Post. 2015.
6. Michael Lista. Han var en tenåringshacker som brukte millionene sine på biler, klær og klokker – helt til FBI fikk med seg // Toronto Life. 2018.
7. Craig Timberg. Nett av usikkerhet: En katastrofe forutsagt – og ignorert // Washington Post. 2015.
8. Craig Timberg. Den lange levetiden til en rask "fix": Internett-protokoll fra 1989 gjør data sårbare for kaprere // Washington Post. 2015.
9. Craig Timberg. Nett av usikkerhet: Kjernen i argumentet // Washington Post. 2015.
10. Joshua Gans. Kan åpen kildekode gjøre at frykten vår for 2 endelig går i oppfyllelse? // Harvard Business Review (Digital). 2017.
11. Toppsjef i Kaspersky arrestert av FSB // CNews. 2017. URL.
12. Maria Kolomychenko. Cyber-etterretningstjeneste: Sberbank foreslo å opprette et hovedkvarter for å bekjempe hackere // RBC. 2017.

Kilde: www.habr.com