Kiedy „czarni kapelusznicy” – będący sanitariuszami dzikiego lasu cyberprzestrzeni – okazują się szczególnie skuteczni w swojej brudnej robocie, żółte media piszczą z zachwytu. W rezultacie świat zaczyna poważniej patrzeć na cyberbezpieczeństwo. Ale niestety nie od razu. Dlatego pomimo rosnącej liczby katastrofalnych incydentów cybernetycznych świat nie jest jeszcze dojrzały do ​​podjęcia aktywnych, proaktywnych działań. Oczekuje się jednak, że w niedalekiej przyszłości, dzięki „czarnym kapeluszom”, świat zacznie poważnie podchodzić do cyberbezpieczeństwa. [7]

Równie poważne jak pożary... Miasta były kiedyś bardzo podatne na katastrofalne pożary. Jednak pomimo potencjalnego zagrożenia nie podjęto proaktywnych środków ochronnych – nawet po gigantycznym pożarze w Chicago w 1871 r., w którym zginęły setki osób, a setki tysięcy ludzi zostało przesiedlonych. Proaktywne środki ochronne podjęto dopiero po ponownym wystąpieniu podobnej katastrofy, trzy lata później. Podobnie jest z cyberbezpieczeństwem – świat nie rozwiąże tego problemu, jeśli nie nastąpią katastrofalne zdarzenia. Ale nawet jeśli takie zdarzenia wystąpią, świat nie rozwiąże tego problemu od razu. [7] Zatem nawet powiedzenie: „Dopóki nie pojawi się błąd, człowiek nie zostanie załatany” nie do końca się sprawdza. Dlatego w 2018 roku świętowaliśmy 30 lat szalejącej niepewności.

Dygresja liryczna

Początek tego artykułu, który pierwotnie napisałem dla magazynu System Administrator, okazał się w pewnym sensie proroczy. Wydanie magazynu z tym artykułem wyszedł dosłownie dzień po dniu z tragicznym pożarem w centrum handlowym Kemerowo „Winter Cherry” (2018 marca 20 r.).

Zainstaluj Internet w 30 minut

Już w 1988 roku legendarna galaktyka hakerów L0pht, przemawiając z całą mocą przed spotkaniem najbardziej wpływowych zachodnich urzędników, oświadczyła: „Twój skomputeryzowany sprzęt jest podatny na cyberataki z Internetu. I oprogramowanie, i sprzęt, i telekomunikacja. Ich sprzedawcy w ogóle nie przejmują się takim stanem rzeczy. Ponieważ współczesne przepisy nie przewidują żadnej odpowiedzialności za niedbałe podejście do zapewnienia cyberbezpieczeństwa produkowanego oprogramowania i sprzętu. Odpowiedzialność za potencjalne awarie (zarówno samoistne, jak i spowodowane interwencją cyberprzestępców) ponosi wyłącznie użytkownik sprzętu. Jeśli chodzi o rząd federalny, to nie ma on ani umiejętności, ani chęci rozwiązania tego problemu. Jeśli więc szukasz cyberbezpieczeństwa, to Internet nie jest miejscem, w którym je znajdziesz. Każda z siedmiu osób siedzących przed tobą może całkowicie rozbić Internet i tym samym przejąć pełną kontrolę nad podłączonym do niego sprzętem. Samemu. 30 minut choreografii naciśnięć klawiszy i gotowe.” [7]

Urzędnicy znacząco pokiwali głowami, dając jasno do zrozumienia, że ​​rozumieją powagę sytuacji, ale nic nie zrobili. Dziś, dokładnie 30 lat po legendarnym występie L0phta, świat nadal nęka „szalająca niepewność”. Hakowanie skomputeryzowanego sprzętu podłączonego do Internetu jest tak łatwe, że Internet, początkowo królestwo idealistycznych naukowców i entuzjastów, stopniowo został zajęty przez najbardziej pragmatycznych profesjonalistów: oszustów, oszustów, szpiegów, terrorystów. Wszystkie wykorzystują luki w zabezpieczeniach sprzętu komputerowego w celu uzyskania korzyści finansowych lub innych. [7]

Sprzedawcy zaniedbują cyberbezpieczeństwo

Sprzedawcy czasami oczywiście próbują naprawić niektóre zidentyfikowane luki, ale robią to bardzo niechętnie. Ponieważ ich zysk nie pochodzi z ochrony przed hakerami, ale z nowej funkcjonalności, którą zapewniają konsumentom. Koncentrując się wyłącznie na krótkoterminowych zyskach, sprzedawcy inwestują pieniądze wyłącznie w rozwiązywanie realnych problemów, a nie hipotetycznych. Cyberbezpieczeństwo w oczach wielu z nich jest kwestią hipotetyczną. [7]

Cyberbezpieczeństwo jest rzeczą niewidzialną i nieuchwytną. Staje się namacalny dopiero wtedy, gdy pojawiają się z nim problemy. Jeśli dobrze o to zadbali (wydali na jego dostarczenie mnóstwo pieniędzy) i nie ma z nim żadnych problemów, to końcowy konsument nie będzie chciał za niego przepłacać. Ponadto, oprócz rosnących kosztów finansowych, wdrożenie działań ochronnych wymaga dodatkowego czasu na rozwój, wymaga ograniczenia możliwości sprzętu i prowadzi do spadku jego produktywności. [8]

Trudno przekonać nawet naszych własnych marketerów o wykonalności wymienionych kosztów, nie mówiąc już o konsumentach końcowych. A ponieważ współczesnym sprzedawcom zależy jedynie na krótkoterminowych zyskach ze sprzedaży, wcale nie są skłonni brać odpowiedzialności za zapewnienie cyberbezpieczeństwa swoich tworów. [1] Z drugiej strony bardziej ostrożni dostawcy, którzy zadbali o cyberbezpieczeństwo swojego sprzętu, spotykają się z faktem, że konsumenci korporacyjni wolą tańsze i łatwiejsze w obsłudze alternatywy. To. Oczywiste jest, że konsumenci korporacyjni również nie przywiązują dużej wagi do cyberbezpieczeństwa. [8]

W świetle powyższego nie jest zaskakujące, że dostawcy mają tendencję do zaniedbywania cyberbezpieczeństwa i trzymają się następującej filozofii: „Tworzyj, sprzedawaj i łataj, jeśli to konieczne. Czy system się zawiesił? Utracone informacje? Skradziona baza danych z numerami kart kredytowych? Czy w Twoim sprzęcie wykryto jakieś krytyczne luki? Bez problemu!" Konsumenci z kolei muszą kierować się zasadą: „Napraw i módl się”. [7]

Jak to się dzieje: przykłady z dzikiej przyrody

Uderzającym przykładem zaniedbania cyberbezpieczeństwa podczas rozwoju jest korporacyjny program motywacyjny Microsoftu: „Jeśli nie dotrzymasz terminów, zostaniesz ukarany grzywną. Jeżeli nie zdążysz zgłosić w terminie wydania swojej innowacji, nie zostanie ona wdrożona. Jeżeli nie zostanie to wdrożone, nie otrzymacie akcji spółki (kawałek tortu z zysków Microsoftu).” Od 1993 roku Microsoft zaczął aktywnie łączyć swoje produkty z Internetem. Ponieważ inicjatywa ta działała w oparciu o ten sam program motywacyjny, funkcjonalność rozwijała się szybciej, niż obrona była w stanie za nią nadążać. Ku uciesze pragmatycznych łowców luk w zabezpieczeniach... [7]

Innym przykładem jest sytuacja z komputerami i laptopami: nie są one dostarczane z preinstalowanym programem antywirusowym; i nie zapewniają również ustawienia silnych haseł. Zakłada się, że użytkownik końcowy zainstaluje program antywirusowy i ustawi parametry konfiguracji zabezpieczeń. [1]

Inny, bardziej skrajny przykład: sytuacja z cyberbezpieczeństwem urządzeń handlowych (kasy fiskalne, terminale PoS dla centrów handlowych itp.). Tak się złożyło, że sprzedawcy sprzętu komercyjnego sprzedają tylko to, co jest sprzedawane, a nie to, co jest bezpieczne. [2] Jeśli jest jedna rzecz, na której zależy dostawcom sprzętu komercyjnego w zakresie cyberbezpieczeństwa, to upewnienie się, że w przypadku wystąpienia kontrowersyjnego incydentu odpowiedzialność spadnie na innych. [3]

Orientacyjnym przykładem takiego rozwoju wydarzeń jest popularyzacja standardu EMV dla kart bankowych, który dzięki kompetentnej pracy marketerów bankowych jawi się w oczach niezbyt zaawansowanego technicznie społeczeństwa jako bezpieczniejsza alternatywa dla „przestarzałych” karty magnetyczne. Jednocześnie główną motywacją branży bankowej, która była odpowiedzialna za opracowanie standardu EMV, było przeniesienie odpowiedzialności za zdarzenia oszukańcze (powstające z winy karterów) – ze sklepów na konsumentów. Podczas gdy wcześniej (kiedy płatności dokonywano kartami magnetycznymi) odpowiedzialność finansowa za rozbieżności w debetach/kredytach spoczywała na sklepach. [3] Zatem banki przetwarzające płatności przenoszą odpowiedzialność albo na akceptantów (którzy korzystają z ich systemów bankowości zdalnej), albo na banki wydające karty płatnicze; te dwa ostatnie z kolei przenoszą odpowiedzialność na posiadacza karty. [2]

Dostawcy utrudniają cyberbezpieczeństwo

W miarę nieubłaganego rozszerzania się powierzchni ataków cyfrowych — w wyniku eksplozji urządzeń podłączonych do Internetu — śledzenie tego, co jest podłączone do sieci firmowej, staje się coraz trudniejsze. Jednocześnie sprzedawcy przenoszą obawy dotyczące bezpieczeństwa całego sprzętu podłączonego do Internetu na użytkownika końcowego [1]: „Ratowanie tonących ludzi jest dziełem samych tonących”.

Sprzedawcy nie tylko nie dbają o cyberbezpieczeństwo swoich tworów, ale w niektórych przypadkach także ingerują w jego zapewnienie. Przykładowo, kiedy w 2009 roku robak sieciowy Conficker przedostał się do Centrum Medycznego Beth Israel i zainfekował część znajdującego się w nim sprzętu medycznego, dyrektor techniczny tego centrum medycznego, aby zapobiec podobnym incydentom w przyszłości, podjął decyzję o wyłączeniu funkcja wspomagania działania na sprzęcie dotkniętym robakiem w sieci. Stanął jednak przed faktem, że „nie można zaktualizować sprzętu ze względu na ograniczenia regulacyjne”. Negocjacje ze sprzedawcą w sprawie wyłączenia funkcji sieciowych wymagały od niego znacznego wysiłku. [4]

Podstawowa cyberniepewność Internetu

David Clarke, legendarny profesor MIT, którego geniusz przyniósł mu przydomek „Albus Dumbledore”, pamięta dzień, w którym ukazała się światu ciemna strona Internetu. Clark przewodniczył konferencji telekomunikacyjnej w listopadzie 1988 roku, kiedy rozeszła się wiadomość, że pierwszy w historii robak komputerowy prześliznął się przez przewody sieciowe. Clark zapamiętał ten moment, ponieważ obecny na jego konferencji mówca (pracownik jednej z wiodących firm telekomunikacyjnych) został pociągnięty do odpowiedzialności za rozprzestrzenianie się tego robaka. Ten mówca pod wpływem emocji niechcący powiedział: „Proszę bardzo!” Wygląda na to, że załatałem tę lukę” – zapłacił za te słowa. [5]

Jednak później okazało się, że luka, poprzez którą rozprzestrzeniał się wspomniany robak, nie była zasługą żadnej konkretnej osoby. I to, ściśle rzecz biorąc, nie była nawet luka w zabezpieczeniach, ale podstawowa cecha Internetu: twórcy Internetu, opracowując swój pomysł, skupili się wyłącznie na szybkości przesyłania danych i odporności na awarie. Nie postawili sobie zadania zapewnienia cyberbezpieczeństwa. [5]

Dzisiaj, kilkadziesiąt lat po powstaniu Internetu – kiedy na daremne próby zapewnienia cyberbezpieczeństwa wydano już setki miliardów dolarów – Internet jest nie mniej podatny na ataki. Problemy z cyberbezpieczeństwem pogłębiają się z roku na rok. Czy jednak mamy prawo potępiać za to twórców Internetu? Przecież nikt np. nie będzie potępiał budowniczych dróg ekspresowych za to, że na „ich drogach” zdarzają się wypadki; i nikt nie będzie potępiał urbanistów za to, że w „ich miastach zdarzają się rabunki”. [5]

Jak narodziła się subkultura hakerów

Subkultura hakerska narodziła się na początku lat 1960. XX wieku w „Klubie Modelowania Technicznego Kolejnictwa” (działającym w murach Massachusetts Institute of Technology). Klubowi pasjonaci zaprojektowali i złożyli model kolei, tak ogromny, że wypełnił całą salę. Członkowie klubu spontanicznie podzielili się na dwie grupy: rozjemców i specjalistów systemowych. [6]

Pierwszy pracował z nadziemną częścią modelu, drugi - z podziemiem. Pierwsi zbierali i dekorowali modele pociągów i miast: modelowali cały świat w miniaturze. Ten ostatni pracował nad wsparciem technicznym całego tego procesu przywracania pokoju: skomplikowanymi przewodami, przekaźnikami i przełącznikami współrzędnych umieszczonymi w podziemnej części modelu – wszystkim, co kontrolowało część „nadziemną” i zasilało ją energią. [6]

Kiedy pojawił się problem z ruchem drogowym i ktoś wpadł na nowe, genialne rozwiązanie, aby go naprawić, rozwiązanie to nazywano „hackem”. Dla członków klubu poszukiwanie nowych hacków stało się nieodłącznym znaczeniem życia. Dlatego zaczęli nazywać siebie „hakerami”. [6]

Pierwsze pokolenie hakerów wdrażało umiejętności nabyte w Symulacyjnym Klubie Kolejowym, pisząc programy komputerowe na kartach perforowanych. Następnie, gdy w 1969 roku na terenie kampusu pojawiła się sieć ARPANET (poprzednik Internetu), hakerzy stali się jej najbardziej aktywnymi i wykwalifikowanymi użytkownikami. [6]

Teraz, kilkadziesiąt lat później, współczesny Internet przypomina tę bardzo „podziemną” część makiety kolejowej. Bo jego założycielami byli ci sami hakerzy, studenci „Klubu Symulacji Kolejnictwa”. Tylko hakerzy zarządzają teraz prawdziwymi miastami, a nie symulowanymi miniaturami. [6]

Jak powstał routing BGP

Pod koniec lat 80., w wyniku lawinowego wzrostu liczby urządzeń podłączonych do Internetu, Internet zbliżył się do twardej matematycznej granicy wbudowanej w jeden z podstawowych protokołów internetowych. Dlatego każda rozmowa między ówczesnymi inżynierami ostatecznie przerodziła się w dyskusję na ten temat. Dwóch przyjaciół nie było wyjątkiem: Jacob Rechter (inżynier z IBM) i Kirk Lockheed (założyciel Cisco). Spotkawszy się przypadkowo przy stole, zaczęli omawiać środki mające na celu zachowanie funkcjonalności Internetu. Przyjaciele zapisywali pomysły, które zrodziły się na wszystkim, co im wpadło w ręce – serwetce poplamionej ketchupem. Potem drugi. Potem trzeci. „Protokół trzech serwetek”, jak żartobliwie nazywali go jego twórcy – znany w kręgach oficjalnych jako BGP (Border Gateway Protocol) – wkrótce zrewolucjonizował Internet. [8]

Dla Rechtera i Lockheeda BGP był po prostu przypadkowym hackiem, opracowanym w duchu wspomnianego Model Railroad Club, rozwiązaniem tymczasowym, które wkrótce miało zostać zastąpione. Kumpelowie opracowali protokół BGP w 1989 roku. Jednak dziś, 30 lat później, większość ruchu internetowego nadal jest kierowana przy użyciu „protokołu trzech serwetek” – pomimo coraz bardziej niepokojących wezwań dotyczących krytycznych problemów z cyberbezpieczeństwem. Tymczasowy hack stał się jednym z podstawowych protokołów internetowych, a jego twórcy z własnego doświadczenia nauczyli się, że „nie ma nic trwalszego niż rozwiązania tymczasowe”. [8]

Sieci na całym świecie przeszły na protokół BGP. Wpływowi dostawcy, zamożni klienci i firmy telekomunikacyjne szybko pokochali BGP i przyzwyczaili się do niego. Dlatego też, pomimo coraz większej liczby sygnałów alarmowych o braku bezpieczeństwa tego protokołu, środowisko IT nadal nie wykazuje entuzjazmu wobec przejścia na nowy, bezpieczniejszy sprzęt. [8]

Niebezpieczny dla cyberbezpieczeństwa routing BGP

Dlaczego routing BGP jest tak dobry i dlaczego społeczność IT nie spieszy się z jego porzuceniem? BGP pomaga routerom podejmować decyzje dotyczące trasy ogromnych strumieni danych przesyłanych przez ogromną sieć przecinających się linii komunikacyjnych. BGP pomaga routerom wybrać odpowiednie ścieżki, nawet jeśli sieć stale się zmienia, a na popularnych trasach często występują korki. Problem polega na tym, że Internet nie ma globalnej mapy routingu. Routery korzystające z BGP podejmują decyzje o wyborze tej czy innej ścieżki na podstawie informacji otrzymanych od sąsiadów w cyberprzestrzeni, którzy z kolei zbierają informacje od swoich sąsiadów itp. Informacje te można jednak łatwo sfałszować, co oznacza, że ​​routing BGP jest bardzo podatny na ataki MiTM. [8]

W związku z tym regularnie pojawiają się pytania typu: „Dlaczego ruch między dwoma komputerami w Denver przeszedł gigantyczny objazd przez Islandię?”, „Dlaczego dane Pentagonu zostały tajne po przesłaniu ich przez Pekin?” Istnieją techniczne odpowiedzi na tego typu pytania, ale wszystkie sprowadzają się do tego, że BGP działa w oparciu o zaufanie: zaufanie do rekomendacji otrzymanych od sąsiednich routerów. Dzięki zaufanej naturze protokołu BGP tajemniczy władcy ruchu mogą, jeśli chcą, zwabić przepływ danych innych osób do swojej domeny. [8]

Żywym przykładem jest atak Chin BGP na amerykański Pentagon. W kwietniu 2010 r. państwowy gigant telekomunikacyjny China Telecom wysłał dziesiątki tysięcy routerów na cały świat, w tym 16 8 w Stanach Zjednoczonych, z wiadomością BGP informującą ich, że mają lepsze trasy. Bez systemu, który mógłby zweryfikować ważność wiadomości BGP od China Telecom, routery na całym świecie zaczęły wysyłać dane w drodze przez Pekin. W tym ruch z Pentagonu i innych siedzib Departamentu Obrony USA. Łatwość przekierowania ruchu i brak skutecznej ochrony przed tego typu atakami to kolejna oznaka niepewności routingu BGP. [XNUMX]

Protokół BGP jest teoretycznie podatny na jeszcze groźniejszy cyberatak. W przypadku eskalacji konfliktów międzynarodowych w cyberprzestrzeni z pełną siłą China Telecom lub inny gigant telekomunikacyjny mógłby próbować rościć sobie prawo własności do części Internetu, które w rzeczywistości do niego nie należą. Takie posunięcie zmyliłoby routery, które musiałyby przeskakiwać pomiędzy konkurencyjnymi ofertami na te same bloki adresów internetowych. Bez możliwości odróżnienia legalnej aplikacji od fałszywej routery zaczęłyby działać nieprawidłowo. W rezultacie stanęlibyśmy w obliczu internetowego odpowiednika wojny nuklearnej – otwartego przejawu wrogości na dużą skalę. Taki rozwój sytuacji w czasach względnego pokoju wydaje się nierealny, ale technicznie jest całkiem wykonalny. [8]

Daremna próba przejścia z BGP na BGPSEC

Podczas opracowywania protokołu BGP nie brano pod uwagę cyberbezpieczeństwa, ponieważ w tamtym czasie hacki były rzadkością, a szkody z nich wynikające były znikome. Twórcy BGP, ponieważ pracowali dla firm telekomunikacyjnych i byli zainteresowani sprzedażą ich sprzętu sieciowego, mieli pilniejsze zadanie: uniknąć spontanicznych awarii Internetu. Ponieważ przerwy w działaniu Internetu mogłyby zniechęcić użytkowników, a tym samym zmniejszyć sprzedaż sprzętu sieciowego. [8]

Po incydencie z transmisją amerykańskiego ruchu wojskowego przez Pekin w kwietniu 2010 roku, tempo prac nad zapewnieniem cyberbezpieczeństwa routingu BGP z pewnością przyspieszyło. Jednak dostawcy usług telekomunikacyjnych nie wykazali entuzjazmu w ponoszeniu kosztów związanych z migracją do nowego bezpiecznego protokołu routingu BGPSEC, proponowanego jako zamiennik niepewnego protokołu BGP. Dostawcy nadal uważają protokół BGP za całkiem akceptowalny, nawet pomimo niezliczonych przypadków przechwytywania ruchu. [8]

Radia Perlman, nazywana „Matką Internetu” za wynalezienie w 1988 roku (rok przed BGP) kolejnego ważnego protokołu sieciowego, obroniła proroczą rozprawę doktorską na MIT. Perlman przewidział, że protokół routingu zależny od uczciwości sąsiadów w cyberprzestrzeni jest zasadniczo niebezpieczny. Perlman zalecał stosowanie kryptografii, która pomogłaby ograniczyć możliwość fałszerstw. Jednak wdrażanie BGP szło już pełną parą, wpływowa społeczność IT była do tego przyzwyczajona i nie chciała niczego zmieniać. Dlatego też, po uzasadnionych ostrzeżeniach Perlmana, Clarka i kilku innych wybitnych światowych ekspertów, względny udział kryptograficznie bezpiecznego routingu BGP wcale nie wzrósł i nadal wynosi 0%. [8]

Routing BGP nie jest jedynym hackiem

A routing BGP nie jest jedynym hackiem, który potwierdza pogląd, że „nie ma nic trwalszego niż rozwiązania tymczasowe”. Czasami Internet, zanurzając nas w światy fantasy, wydaje się równie elegancki jak samochód wyścigowy. Jednak w rzeczywistości, dzięki nałożonym na siebie hackom, Internet bardziej przypomina Frankensteina niż Ferrari. Ponieważ te hacki (bardziej oficjalnie zwane łatkami) nigdy nie są zastępowane niezawodną technologią. Konsekwencje takiego podejścia są tragiczne: codziennie i co godzinę cyberprzestępcy włamują się do podatnych na ataki systemów, rozszerzając zakres cyberprzestępczości do wcześniej niewyobrażalnych rozmiarów. [8]

Wiele luk wykorzystywanych przez cyberprzestępców jest znanych od dawna i zostało utrwalonych wyłącznie dzięki tendencji społeczności IT do rozwiązywania pojawiających się problemów - za pomocą tymczasowych hacków/łatek. Czasami z tego powodu przestarzałe technologie nakładają się na siebie przez długi czas, utrudniając życie ludzi i narażając je na niebezpieczeństwo. Co byś pomyślał, gdybyś dowiedział się, że Twój bank buduje swój skarbiec na fundamencie ze słomy i błota? Czy zaufałbyś mu, że zatrzyma Twoje oszczędności? [8]

Beztroska postawa Linusa Torvaldsa

Minęło wiele lat, zanim Internet dotarł do pierwszych stu komputerów. Dziś co sekundę podłącza się do niego 100 nowych komputerów i innych urządzeń. Wraz z eksplozją urządzeń podłączonych do Internetu rośnie pilność kwestii cyberbezpieczeństwa. Jednak największy wpływ na rozwiązanie tych problemów może mieć osoba, która z pogardą podchodzi do cyberbezpieczeństwa. Tego człowieka nazywano geniuszem, tyranem, przywódcą duchowym i życzliwym dyktatorem. Linus Torvalds. Zdecydowana większość urządzeń podłączonych do Internetu działa pod kontrolą systemu operacyjnego Linux. Szybki, elastyczny, darmowy – Linux z biegiem czasu staje się coraz bardziej popularny. Jednocześnie zachowuje się bardzo stabilnie. I może działać bez ponownego uruchamiania przez wiele lat. Właśnie dlatego Linux ma zaszczyt być dominującym systemem operacyjnym. Prawie cały dostępny nam dziś sprzęt komputerowy działa pod kontrolą systemu Linux: serwery, sprzęt medyczny, komputery pokładowe, małe drony, samoloty wojskowe i wiele innych. [9]

Linux odniósł sukces w dużej mierze dzięki temu, że Torvalds kładzie nacisk na wydajność i odporność na awarie. Jednak kładzie ten nacisk kosztem cyberbezpieczeństwa. Nawet gdy cyberprzestrzeń i rzeczywisty świat fizyczny przeplatają się, a cyberbezpieczeństwo staje się problemem globalnym, Torvalds w dalszym ciągu sprzeciwia się wprowadzaniu bezpiecznych innowacji do swojego systemu operacyjnego. [9]

Dlatego nawet wśród wielu fanów Linuksa rosną obawy dotyczące luk w zabezpieczeniach tego systemu operacyjnego. W szczególności najbardziej intymna część Linuksa, jego jądro, nad którym Torvalds pracuje osobiście. Fani Linuksa widzą, że Torvalds nie traktuje poważnie kwestii cyberbezpieczeństwa. Co więcej, Torvalds otoczył się programistami, którzy podzielają to beztroskie podejście. Jeśli ktoś z najbliższego otoczenia Torvaldsa zacznie mówić o wprowadzeniu bezpiecznych innowacji, zostaje natychmiast wyklęty. Torvalds odrzucił jedną grupę takich innowatorów, nazywając ich „masturbującymi się małpami”. Gdy Torvalds żegnał się z inną grupą programistów dbających o bezpieczeństwo, powiedział do nich: „Czy bylibyście tak uprzejmi i popełniliby samobójstwo. Dzięki temu świat byłby lepszym miejscem.” Ilekroć przyszło do dodawania funkcji bezpieczeństwa, Torvalds zawsze był temu przeciwny. [9] Torvalds ma nawet całą filozofię w tym zakresie, która nie jest pozbawiona odrobiny zdrowego rozsądku:

„Całkowite bezpieczeństwo jest nieosiągalne. Dlatego należy to zawsze rozważać wyłącznie w odniesieniu do innych priorytetów: szybkości, elastyczności i łatwości użytkowania. Ludzie, którzy całkowicie poświęcają się zapewnianiu ochrony, są szaleni. Ich myślenie jest ograniczone, czarno-białe. Bezpieczeństwo samo w sobie jest bezużyteczne. Esencja jest zawsze gdzie indziej. Dlatego nie możesz zapewnić absolutnego bezpieczeństwa, nawet jeśli naprawdę tego chcesz. Oczywiście są ludzie, którzy przywiązują większą wagę do bezpieczeństwa niż Torvalds. Jednak ci goście po prostu pracują nad tym, co ich interesuje i zapewniają bezpieczeństwo w wąskich względnych ramach wyznaczających te interesy. Już nie. Zatem w żaden sposób nie przyczyniają się do zwiększenia absolutnego bezpieczeństwa.” [9]

Pasek boczny: OpenSource jest jak beczka prochu [10]

Kod OpenSource pozwolił zaoszczędzić miliardy na kosztach tworzenia oprogramowania, eliminując potrzebę powielania wysiłków: dzięki OpenSource programiści mają możliwość korzystania z aktualnych innowacji bez ograniczeń i opłat. OpenSource jest używany wszędzie. Nawet jeśli zatrudnisz programistę do rozwiązania Twojego specjalistycznego problemu od zera, programista ten najprawdopodobniej użyje jakiejś biblioteki OpenSource. I prawdopodobnie więcej niż jeden. Dlatego elementy OpenSource są obecne niemal wszędzie. Jednocześnie należy rozumieć, że żadne oprogramowanie nie jest statyczne, jego kod ulega ciągłym zmianom. Dlatego zasada „ustaw i zapomnij” nigdy nie działa w przypadku kodu. Łącznie z kodem OpenSource: prędzej czy później wymagana będzie zaktualizowana wersja.

W 2016 roku widzieliśmy skutki takiego stanu rzeczy: 28-letni programista na krótko „złamał” Internet, usuwając swój kod OpenSource, który wcześniej udostępnił publicznie. Ta historia pokazuje, że nasza cyberinfrastruktura jest bardzo delikatna. Niektórzy ludzie - wspierający projekty OpenSource - są tak ważni w jego utrzymaniu, że jeśli, nie daj Boże, wpadną pod autobus, Internet się zepsuje.

Kod trudny w utrzymaniu to miejsce, w którym czają się najpoważniejsze luki w zabezpieczeniach cyberbezpieczeństwa. Niektóre firmy nawet nie zdają sobie sprawy, jak bardzo są podatne na ataki ze względu na trudny w utrzymaniu kod. Luki związane z takim kodem mogą bardzo powoli przekształcić się w prawdziwy problem: systemy powoli gniją, nie wykazując widocznych usterek w procesie gnicia. A kiedy zawiodą, konsekwencje będą fatalne.

Wreszcie, ponieważ projekty OpenSource tworzone są zazwyczaj przez społeczność entuzjastów, jak Linus Torvalds czy wspomniani na początku artykułu hakerzy z Model Railroad Club, problemów z trudnym w utrzymaniu kodem nie da się rozwiązać w tradycyjny sposób (za pomocą dźwignie komercyjne i rządowe). Ponieważ członkowie takich społeczności są świadomi i ponad wszystko cenią sobie niezależność.

Sidebar: Może służby wywiadowcze i twórcy antywirusów nas ochronią?

W 2013 roku okazało się, że Kaspersky Lab posiada specjalną jednostkę, która przeprowadza niestandardowe dochodzenia w sprawie incydentów związanych z bezpieczeństwem informacji. Do niedawna na czele tego wydziału stał były major policji Rusłan Stojanow, który wcześniej pracował w stołecznym Wydziale „K” (USTM Moskiewskiego Głównego Zarządu Spraw Wewnętrznych). Wszyscy pracownicy tej specjalnej jednostki Kaspersky Lab pochodzą z organów ścigania, w tym z Komitetu Śledczego i Dyrekcji „K”. [jedenaście]

Pod koniec 2016 roku FSB aresztowała Rusłana Stojanowa i postawiła mu zarzuty zdrady stanu. W tej samej sprawie aresztowano Siergieja Michajłowa, wysokiego rangą przedstawiciela FSB CIB (centrum bezpieczeństwa informacji), z którym przed aresztowaniem wiązało się całe cyberbezpieczeństwo kraju. [jedenaście]

Pasek boczny: Wymuszone cyberbezpieczeństwo

Wkrótce rosyjscy przedsiębiorcy będą zmuszeni zwrócić szczególną uwagę na cyberbezpieczeństwo. W styczniu 2017 roku przedstawiciel Centrum Ochrony Informacji i Łączności Specjalnej Nikołaj Muraszow stwierdził, że w Rosji w 2016 roku same obiekty CII (krytyczna infrastruktura informacyjna) zostały zaatakowane ponad 70 milionów razy. Obiekty CII obejmują systemy informacyjne agencji rządowych, przedsiębiorstw przemysłu obronnego, sektora transportowego, kredytowego i finansowego, przemysłu energetycznego, paliwowego i nuklearnego. Aby je chronić, 26 lipca prezydent Rosji Władimir Putin podpisał pakiet ustaw „O bezpieczeństwie CII”. Do 1 stycznia 2018 roku, kiedy ustawa wejdzie w życie, właściciele obiektów CII muszą wdrożyć szereg działań mających na celu ochronę swojej infrastruktury przed atakami hakerskimi, w szczególności połączyć się z GosSOPKA. [12]

Bibliografia

1. Jonathana Milleta. Internet Rzeczy: Znaczenie Zabezpieczania Inteligentnych Urządzeń // jeden.
2. Rossa Andersona. Jak zawodzą systemy płatności kartami inteligentnymi // Black Hat. 2014.
3. SJ Murdocha. Uszkodzony chip i PIN // Materiały z sympozjum IEEE na temat bezpieczeństwa i prywatności. 2010. s. 433-446.
4. Davida Talbota. Wirusy komputerowe „szerzą się” na urządzeniach medycznych w szpitalach // Przegląd technologii MIT (cyfrowy). 2012.
5. Craiga Timberga. Sieć niepewności: przepływ w projekcie //Washington Post. 2015.
6. Michał Lista. Był nastoletnim hakerem, który wydał miliony na samochody, ubrania i zegarki – dopóki nie zauważyło tego FBI // Życie Toronto. 2018.
7. Craiga Timberga. Sieć niepewności: przepowiedziana katastrofa – i ignorowana //Washington Post. 2015.
8. Craiga Timberga. Długa żywotność szybkiej „poprawki”: protokół internetowy z 1989 r. naraża dane na ataki porywaczy //Washington Post. 2015.
9. Craiga Timberga. Sieć niepewności: jądro argumentu //Washington Post. 2015.
10. Joshua Gans. Czy kod open source może w końcu spełnić nasze obawy dotyczące roku 2? // Harvard Business Review (cyfrowy). 2017.
11. Najwyższy menedżer Kaspersky aresztowany przez FSB // CNews. 2017. Adres URL.
12. Maria Kołomyczenko. Służba wywiadu cybernetycznego: Sberbank zaproponował utworzenie siedziby do zwalczania hakerów //RBC. 2017.

Źródło: www.habr.com