Quando os "chapéus pretos" - sendo os ordenanças da floresta selvagem do ciberespaço - se revelam especialmente bem sucedidos no seu trabalho sujo, os meios de comunicação amarelos gritam de alegria. Como resultado, o mundo está começando a encarar a segurança cibernética com mais seriedade. Mas infelizmente não imediatamente. Portanto, apesar do número crescente de incidentes cibernéticos catastróficos, o mundo ainda não está maduro para medidas proativas ativas. No entanto, espera-se que num futuro próximo, graças aos “chapéus negros”, o mundo comece a levar a sério a segurança cibernética. [7]
Tão graves como os incêndios... As cidades já foram muito vulneráveis a incêndios catastróficos. No entanto, apesar do perigo potencial, não foram tomadas medidas de proteção proativas - mesmo depois do gigantesco incêndio em Chicago em 1871, que ceifou centenas de vidas e deslocou centenas de milhares de pessoas. Medidas de proteção proativas foram tomadas somente depois que um desastre semelhante ocorreu novamente, três anos depois. O mesmo acontece com a segurança cibernética – o mundo não resolverá este problema a menos que haja incidentes catastróficos. Mas mesmo que tais incidentes ocorram, o mundo não resolverá este problema imediatamente. [7] Portanto, mesmo o ditado: “Até que um bug ocorra, um homem não será corrigido” não funciona muito bem. É por isso que em 2018 comemoramos 30 anos de insegurança desenfreada.
Digressão lírica
O início deste artigo, que escrevi originalmente para a revista System Administrator, revelou-se, em certo sentido, profético. Edição de revista com este artigo literalmente dia após dia com o trágico incêndio no centro comercial Kemerovo “Winter Cherry” (2018, 20 de março).
Instale a Internet em 30 minutos
Em 1988, o lendário hacker galaxy L0pht, falando com força total diante de uma reunião das autoridades ocidentais mais influentes, declarou: “Seu equipamento computadorizado é vulnerável a ataques cibernéticos da Internet. E software, hardware e telecomunicações. Seus fornecedores não estão nem um pouco preocupados com esse estado de coisas. Porque a legislação moderna não prevê qualquer responsabilidade por uma abordagem negligente para garantir a segurança cibernética de software e hardware fabricados. A responsabilidade por potenciais falhas (sejam espontâneas ou causadas pela intervenção de cibercriminosos) é exclusivamente do utilizador do equipamento. Quanto ao governo federal, não tem capacidade nem vontade de resolver esse problema. Portanto, se você procura segurança cibernética, a Internet não é o lugar para encontrá-la. Cada uma das sete pessoas sentadas à sua frente pode quebrar completamente a Internet e, consequentemente, assumir o controle total sobre o equipamento conectado a ela. Por ele mesmo. 30 minutos de teclas coreografadas e pronto.” [7]
Os funcionários acenaram com a cabeça significativamente, deixando claro que entendiam a gravidade da situação, mas não fizeram nada. Hoje, exactamente 30 anos depois do lendário desempenho de L0pht, o mundo ainda é atormentado por uma “insegurança desenfreada”. Hackear equipamentos informatizados conectados à Internet é tão fácil que a Internet, inicialmente um reino de cientistas e entusiastas idealistas, foi gradualmente ocupada pelos mais pragmáticos dos profissionais: golpistas, vigaristas, espiões, terroristas. Todos eles exploram as vulnerabilidades dos equipamentos informatizados para obter benefícios financeiros ou outros. [7]
Fornecedores negligenciam a segurança cibernética
É claro que às vezes os fornecedores tentam corrigir algumas das vulnerabilidades identificadas, mas o fazem com muita relutância. Porque o seu lucro não vem da proteção contra hackers, mas das novas funcionalidades que fornecem aos consumidores. Estando focados exclusivamente nos lucros de curto prazo, os fornecedores investem dinheiro apenas na resolução de problemas reais, não em problemas hipotéticos. A segurança cibernética, aos olhos de muitos deles, é algo hipotético. [7]
A segurança cibernética é algo invisível e intangível. Torna-se tangível apenas quando surgem problemas com ele. Se cuidarem bem dele (gastaram muito dinheiro no fornecimento) e não houver problemas com isso, o consumidor final não vai querer pagar a mais por isso. Além disso, além de aumentar os custos financeiros, a implementação de medidas de proteção requer tempo adicional de desenvolvimento, exige limitação das capacidades do equipamento e leva à diminuição da sua produtividade. [8]
É difícil convencer até mesmo os nossos próprios profissionais de marketing da viabilidade dos custos listados, e muito menos os consumidores finais. E uma vez que os fornecedores modernos estão apenas interessados nos lucros das vendas a curto prazo, não estão de todo inclinados a assumir a responsabilidade de garantir a segurança cibernética das suas criações. [1] Por outro lado, os fornecedores mais cuidadosos que têm cuidado da segurança cibernética dos seus equipamentos deparam-se com o facto de os consumidores empresariais preferirem alternativas mais baratas e fáceis de utilizar. Que. É óbvio que os consumidores corporativos também não se importam muito com a segurança cibernética. [8]
À luz do que foi dito acima, não é surpreendente que os fornecedores tendam a negligenciar a segurança cibernética e a aderir à seguinte filosofia: “Continue construindo, continue vendendo e corrija quando necessário. O sistema travou? Informações perdidas? Banco de dados com números de cartão de crédito roubados? Há alguma vulnerabilidade fatal identificada em seu equipamento? Sem problemas!" Os consumidores, por sua vez, devem seguir o princípio: “Remendar e orar”. [7]
Como isso acontece: exemplos da natureza
Um exemplo marcante de negligência com a segurança cibernética durante o desenvolvimento é o programa de incentivo corporativo da Microsoft: “Se você perder os prazos, será multado. Se você não tiver tempo para enviar o lançamento de sua inovação dentro do prazo, ela não será implementada. Se não for implementado, você não receberá ações da empresa (uma fatia do bolo dos lucros da Microsoft).” Desde 1993, a Microsoft começou a vincular ativamente seus produtos à Internet. Como esta iniciativa funcionou em linha com o mesmo programa motivacional, a funcionalidade expandiu-se mais rapidamente do que a defesa conseguia acompanhá-la. Para deleite dos caçadores pragmáticos de vulnerabilidades... [7]
Outro exemplo é a situação dos computadores e laptops: eles não vêm com antivírus pré-instalado; e também não fornecem a predefinição de senhas fortes. Presume-se que o usuário final instalará o antivírus e definirá os parâmetros de configuração de segurança. [1]
Outro exemplo mais extremo: a situação da cibersegurança dos equipamentos retalhistas (caixas registadoras, terminais PoS para centros comerciais, etc.). Acontece que os vendedores de equipamentos comerciais vendem apenas o que é vendido e não o que é seguro. [2] Se há uma coisa que preocupa os fornecedores de equipamentos comerciais em termos de segurança cibernética, é garantir que, se ocorrer um incidente controverso, a responsabilidade recaia sobre outros. [3]
Um exemplo indicativo desse desenvolvimento de acontecimentos: a popularização do padrão EMV para cartões bancários, que, graças ao trabalho competente dos profissionais de marketing bancário, aparece aos olhos do público não sofisticado tecnicamente como uma alternativa mais segura aos “ultrapassados”. cartões magnéticos. Ao mesmo tempo, a principal motivação do setor bancário, responsável pelo desenvolvimento do padrão EMV, foi transferir a responsabilidade por incidentes fraudulentos (ocorridos por culpa dos cardadores) - das lojas para os consumidores. Enquanto anteriormente (quando os pagamentos eram feitos por cartões magnéticos), a responsabilidade financeira era das lojas pelas discrepâncias no débito/crédito. [3] Assim os bancos que processam pagamentos transferem a responsabilidade para os comerciantes (que utilizam os seus sistemas bancários remotos) ou para os bancos que emitem cartões de pagamento; os dois últimos, por sua vez, transferem a responsabilidade para o titular do cartão. [2]
Os fornecedores estão prejudicando a segurança cibernética
À medida que a superfície de ataque digital se expande inexoravelmente – graças à explosão de dispositivos conectados à Internet – manter o controle do que está conectado à rede corporativa torna-se cada vez mais difícil. Ao mesmo tempo, os fornecedores transferem as preocupações sobre a segurança de todos os equipamentos conectados à Internet para o usuário final [1]: “O resgate de pessoas que estão se afogando é trabalho das próprias pessoas que estão se afogando”.
Os fornecedores não só não se preocupam com a segurança cibernética das suas criações, como, em alguns casos, também interferem no seu fornecimento. Por exemplo, quando em 2009 o worm da rede Conficker vazou para o Centro Médico Beth Israel e infectou parte do equipamento médico local, o diretor técnico deste centro médico, a fim de evitar que incidentes semelhantes ocorressem no futuro, decidiu desativar o função de suporte à operação dos equipamentos afetados pelo worm com a rede. No entanto, deparou-se com o facto de “o equipamento não poder ser atualizado devido a restrições regulamentares”. Ele precisou de um esforço considerável para negociar com o fornecedor a desativação das funções de rede. [4]
Insegurança cibernética fundamental da Internet
David Clarke, o lendário professor do MIT cuja genialidade lhe valeu o apelido de “Alvo Dumbledore”, lembra-se do dia em que o lado negro da Internet foi revelado ao mundo. Clark estava presidindo uma conferência de telecomunicações em novembro de 1988, quando surgiu a notícia de que o primeiro worm de computador da história havia se infiltrado nos fios da rede. Clark lembrou-se deste momento porque o orador presente na sua conferência (um funcionário de uma das principais empresas de telecomunicações) foi responsabilizado pela propagação deste worm. Este orador, no calor da emoção, disse inadvertidamente: “Aqui está!” Parece que fechei essa vulnerabilidade”, ele pagou por essas palavras. [5]
No entanto, mais tarde descobriu-se que a vulnerabilidade através da qual o worm mencionado se espalhou não era mérito de qualquer pessoa individual. E isso, a rigor, não era nem uma vulnerabilidade, mas uma característica fundamental da Internet: os fundadores da Internet, ao desenvolverem sua ideia, focaram exclusivamente na velocidade de transferência de dados e na tolerância a falhas. Não se propuseram a tarefa de garantir a segurança cibernética. [5]
Hoje, décadas após a fundação da Internet – com centenas de milhares de milhões de dólares já gastos em tentativas fúteis de cibersegurança – a Internet não é menos vulnerável. Seus problemas de segurança cibernética só pioram a cada ano. No entanto, temos o direito de condenar os fundadores da Internet por isso? Afinal, por exemplo, ninguém condenará os construtores de vias expressas pelo fato de acidentes acontecerem em “suas estradas”; e ninguém condenará os urbanistas pelo facto de os roubos ocorrerem nas “suas cidades”. [5]
Como nasceu a subcultura hacker
A subcultura hacker originou-se no início dos anos 1960, no “Railway Technical Modeling Club” (operando dentro dos muros do Massachusetts Institute of Technology). Os entusiastas do clube projetaram e montaram um modelo de ferrovia, tão grande que ocupava toda a sala. Os membros do clube dividiram-se espontaneamente em dois grupos: pacificadores e especialistas em sistemas. [6]
O primeiro trabalhou com a parte aérea da maquete, o segundo - com a parte subterrânea. Os primeiros colecionavam e decoravam maquetes de trens e cidades: modelavam o mundo inteiro em miniatura. Este último trabalhou no suporte técnico para toda essa pacificação: uma complexidade de fios, relés e interruptores de coordenadas localizados na parte subterrânea do modelo - tudo que controlava a parte “acima do solo” e a alimentava com energia. [6]
Quando havia um problema de trânsito e alguém apresentava uma solução nova e engenhosa para resolvê-lo, a solução era chamada de “hack”. Para os associados do clube, a busca por novos hacks tornou-se um sentido intrínseco da vida. É por isso que eles começaram a se autodenominar “hackers”. [6]
A primeira geração de hackers implementou as habilidades adquiridas no Simulation Railway Club escrevendo programas de computador em cartões perfurados. Depois, quando a ARPANET (a antecessora da Internet) chegou ao campus em 1969, os hackers tornaram-se os seus utilizadores mais activos e qualificados. [6]
Agora, décadas mais tarde, a Internet moderna assemelha-se àquela parte “subterrânea” do modelo ferroviário. Porque seus fundadores foram esses mesmos hackers, alunos do “Railroad Simulation Club”. Somente hackers agora operam cidades reais em vez de miniaturas simuladas. [6]
Como surgiu o roteamento BGP
No final da década de 80, como resultado de um aumento semelhante a uma avalanche no número de dispositivos conectados à Internet, a Internet aproximou-se do limite matemático rígido embutido em um dos protocolos básicos da Internet. Portanto, qualquer conversa entre os engenheiros da época acabou se transformando em uma discussão sobre esse problema. Dois amigos não foram exceção: Jacob Rechter (engenheiro da IBM) e Kirk Lockheed (fundador da Cisco). Encontrados por acaso à mesa de jantar, começaram a discutir medidas para preservar a funcionalidade da Internet. Os amigos anotavam as ideias que surgiam em tudo o que tinham à mão - um guardanapo manchado de ketchup. Depois o segundo. Depois o terceiro. O “protocolo dos três guardanapos”, como seus inventores o chamaram brincando – conhecido nos círculos oficiais como BGP (Border Gateway Protocol) – logo revolucionou a Internet. [8]
Para Rechter e Lockheed, o BGP era simplesmente um hack casual, desenvolvido no espírito do já mencionado Model Railroad Club, uma solução temporária que logo seria substituída. Os amigos desenvolveram o BGP em 1989. Hoje, porém, 30 anos depois, a maior parte do tráfego da Internet ainda é encaminhado utilizando o “protocolo de três guardanapos” – apesar dos apelos cada vez mais alarmantes sobre problemas críticos com a sua segurança cibernética. O hack temporário tornou-se um dos protocolos básicos da Internet, e seus desenvolvedores aprenderam com sua própria experiência que “não há nada mais permanente do que soluções temporárias”. [8]
Redes em todo o mundo mudaram para BGP. Fornecedores influentes, clientes ricos e empresas de telecomunicações rapidamente se apaixonaram pelo BGP e se acostumaram com ele. Portanto, mesmo apesar de cada vez mais sinais de alarme sobre a insegurança deste protocolo, o público de TI ainda não demonstra entusiasmo pela transição para equipamentos novos e mais seguros. [8]
Roteamento BGP cibernético e inseguro
Por que o roteamento BGP é tão bom e por que a comunidade de TI não tem pressa em abandoná-lo? O BGP ajuda os roteadores a tomar decisões sobre para onde encaminhar os enormes fluxos de dados enviados através de uma enorme rede de linhas de comunicação que se cruzam. O BGP ajuda os roteadores a escolher os caminhos apropriados, mesmo que a rede esteja em constante mudança e as rotas populares frequentemente enfrentem engarrafamentos. O problema é que a Internet não possui um mapa de roteamento global. Os roteadores que usam BGP tomam decisões sobre a escolha de um caminho ou outro com base nas informações recebidas dos vizinhos no ciberespaço, que por sua vez coletam informações de seus vizinhos, etc. No entanto, esta informação pode ser facilmente falsificada, o que significa que o roteamento BGP é altamente vulnerável a ataques MiTM. [8]
Portanto, surgem regularmente questões como as seguintes: “Porque é que o tráfego entre dois computadores em Denver fez um desvio gigante através da Islândia?”, “Porque é que os dados confidenciais do Pentágono foram transferidos em trânsito através de Pequim?” Existem respostas técnicas para perguntas como essas, mas todas se resumem ao fato de que o BGP funciona com base na confiança: confiança nas recomendações recebidas de roteadores vizinhos. Graças à natureza confiável do protocolo BGP, misteriosos senhores do tráfego podem atrair fluxos de dados de outras pessoas para seus domínios, se desejarem. [8]
Um exemplo vivo é o ataque do BGP da China ao Pentágono americano. Em abril de 2010, a gigante estatal de telecomunicações China Telecom enviou dezenas de milhares de roteadores ao redor do mundo, incluindo 16 mil nos Estados Unidos, uma mensagem BGP dizendo-lhes que tinham rotas melhores. Sem um sistema que pudesse verificar a validade de uma mensagem BGP da China Telecom, roteadores de todo o mundo começaram a enviar dados em trânsito por Pequim. Incluindo tráfego do Pentágono e de outros sites do Departamento de Defesa dos EUA. A facilidade com que o tráfego foi redirecionado e a falta de proteção eficaz contra esse tipo de ataque é outro sinal da insegurança do roteamento BGP. [8]
O protocolo BGP é teoricamente vulnerável a um ataque cibernético ainda mais perigoso. No caso de os conflitos internacionais aumentarem com força total no ciberespaço, a China Telecom, ou algum outro gigante das telecomunicações, poderia tentar reivindicar a propriedade de partes da Internet que na verdade não lhe pertencem. Tal medida confundiria os roteadores, que teriam de alternar entre ofertas concorrentes pelos mesmos blocos de endereços de Internet. Sem a capacidade de distinguir um aplicativo legítimo de um falso, os roteadores começariam a agir de forma irregular. Como resultado, seríamos confrontados com o equivalente na Internet à guerra nuclear – uma demonstração aberta e em grande escala de hostilidade. Tal desenvolvimento em tempos de relativa paz parece irrealista, mas tecnicamente é bastante viável. [8]
Uma tentativa fútil de passar do BGP para o BGPSEC
A segurança cibernética não foi levada em consideração quando o BGP foi desenvolvido, porque naquela época os hacks eram raros e os danos causados por eles eram insignificantes. Os desenvolvedores do BGP, por trabalharem para empresas de telecomunicações e terem interesse em vender seus equipamentos de rede, tinham uma tarefa mais urgente: evitar quebras espontâneas da Internet. Porque as interrupções na Internet podem afastar os utilizadores e, assim, reduzir as vendas de equipamentos de rede. [8]
Após o incidente com a transmissão do tráfego militar americano através de Pequim, em abril de 2010, o ritmo de trabalho para garantir a segurança cibernética do roteamento BGP certamente acelerou. No entanto, os fornecedores de telecomunicações têm demonstrado pouco entusiasmo em arcar com os custos associados à migração para o novo protocolo de roteamento seguro BGPSEC, proposto como substituto do inseguro BGP. Os fornecedores ainda consideram o BGP bastante aceitável, mesmo apesar dos inúmeros incidentes de interceptação de tráfego. [8]
Radia Perlman, apelidada de “Mãe da Internet” por inventar outro importante protocolo de rede em 1988 (um ano antes do BGP), obteve uma profética tese de doutorado no MIT. Perlman previu que um protocolo de roteamento que depende da honestidade dos vizinhos no ciberespaço é fundamentalmente inseguro. Perlman defendeu o uso de criptografia, o que ajudaria a limitar a possibilidade de falsificação. Porém, a implementação do BGP já estava a todo vapor, a influente comunidade de TI estava acostumada e não queria mudar nada. Portanto, após avisos fundamentados de Perlman, Clark e alguns outros especialistas mundiais proeminentes, a participação relativa do roteamento BGP criptograficamente seguro não aumentou em nada e ainda é de 0%. [8]
O roteamento BGP não é o único hack
E o roteamento BGP não é o único hack que confirma a ideia de que “nada é mais permanente do que soluções temporárias”. Às vezes, a Internet, imergindo-nos em mundos de fantasia, parece tão elegante quanto um carro de corrida. No entanto, na realidade, devido aos hacks empilhados uns sobre os outros, a Internet é mais parecida com Frankenstein do que com Ferrari. Porque esses hacks (mais oficialmente chamados de patches) nunca são substituídos por tecnologia confiável. As consequências desta abordagem são terríveis: diariamente e de hora em hora, os cibercriminosos invadem sistemas vulneráveis, expandindo o âmbito do crime cibernético para proporções anteriormente inimagináveis. [8]
Muitas das falhas exploradas pelos cibercriminosos são conhecidas há muito tempo e foram preservadas apenas devido à tendência da comunidade de TI em resolver problemas emergentes - com hacks/patches temporários. Às vezes, por causa disso, tecnologias ultrapassadas se acumulam por muito tempo, dificultando a vida das pessoas e colocando-as em perigo. O que você pensaria se soubesse que seu banco está construindo seu cofre sobre uma base de palha e lama? Você confiaria nele para manter suas economias? [8]
A atitude despreocupada de Linus Torvalds
Demorou anos até que a Internet alcançasse seus primeiros cem computadores. Hoje, 100 novos computadores e outros dispositivos estão conectados a ele a cada segundo. À medida que os dispositivos ligados à Internet explodem, aumenta também a urgência das questões de segurança cibernética. No entanto, quem pode ter maior impacto na resolução destes problemas é aquele que vê a segurança cibernética com desdém. Este homem foi chamado de gênio, valentão, líder espiritual e ditador benevolente. Linus Torvalds. A grande maioria dos dispositivos conectados à Internet executa seu sistema operacional, Linux. Rápido, flexível e gratuito – o Linux está se tornando cada vez mais popular com o tempo. Ao mesmo tempo, ele se comporta de maneira muito estável. E pode funcionar sem reiniciar por muitos anos. É por isso que o Linux tem a honra de ser o sistema operacional dominante. Quase todos os equipamentos informatizados disponíveis hoje rodam Linux: servidores, equipamentos médicos, computadores de voo, pequenos drones, aeronaves militares e muito mais. [9]
O Linux tem sucesso em grande parte porque Torvalds enfatiza o desempenho e a tolerância a falhas. No entanto, ele coloca esta ênfase em detrimento da segurança cibernética. Mesmo quando o ciberespaço e o mundo físico real se entrelaçam e a segurança cibernética se torna uma questão global, Torvalds continua a resistir à introdução de inovações seguras no seu sistema operativo. [9]
Portanto, mesmo entre muitos fãs do Linux, há uma preocupação crescente com as vulnerabilidades deste sistema operacional. Em particular, a parte mais íntima do Linux, o seu kernel, no qual Torvalds trabalha pessoalmente. Os fãs do Linux percebem que Torvalds não leva a sério as questões de segurança cibernética. Além disso, Torvalds cercou-se de desenvolvedores que compartilham essa atitude despreocupada. Se alguém do círculo íntimo de Torvalds começar a falar sobre a introdução de inovações seguras, será imediatamente anatematizado. Torvalds rejeitou um grupo desses inovadores, chamando-os de “macacos masturbadores”. Ao se despedir de outro grupo de desenvolvedores preocupados com a segurança, Torvalds disse a eles: “Vocês poderiam fazer a gentileza de se matar? O mundo seria um lugar melhor por causa disso.” Sempre que se tratava de adicionar recursos de segurança, Torvalds sempre foi contra. [9] Torvalds ainda tem toda uma filosofia a esse respeito, que não deixa de ter um grão de bom senso:
“A segurança absoluta é inatingível. Portanto, deve ser sempre considerado apenas em relação a outras prioridades: rapidez, flexibilidade e facilidade de uso. Pessoas que se dedicam inteiramente a fornecer proteção são loucas. Seu pensamento é limitado, preto e branco. A segurança por si só é inútil. A essência está sempre em outro lugar. Portanto, você não pode garantir segurança absoluta, mesmo que realmente queira. Claro, existem pessoas que prestam mais atenção à segurança do que Torvalds. No entanto, estes indivíduos estão simplesmente a trabalhar naquilo que lhes interessa e a proporcionar segurança dentro do estreito quadro relativo que delineia esses interesses. Não mais. Portanto, eles não contribuem de forma alguma para aumentar a segurança absoluta.” [9]
Barra lateral: OpenSource é como um barril de pólvora [10]
O código OpenSource economizou bilhões em custos de desenvolvimento de software, eliminando a necessidade de esforços duplicados: com o OpenSource, os programadores têm a oportunidade de usar as inovações atuais sem restrições ou pagamento. OpenSource é usado em todos os lugares. Mesmo que você tenha contratado um desenvolvedor de software para resolver seu problema especializado do zero, esse desenvolvedor provavelmente usará algum tipo de biblioteca OpenSource. E provavelmente mais de um. Assim, os elementos OpenSource estão presentes em quase todos os lugares. Ao mesmo tempo, deve ser entendido que nenhum software é estático; seu código está em constante mudança. Portanto, o princípio “configure e esqueça” nunca funciona para código. Incluindo o código OpenSource: mais cedo ou mais tarde será necessária uma versão atualizada.
Em 2016, vimos as consequências deste estado de coisas: um programador de 28 anos “quebrou” brevemente a Internet ao eliminar o seu código OpenSource, que anteriormente tinha disponibilizado publicamente. Esta história mostra que a nossa ciberinfraestrutura é muito frágil. Algumas pessoas - que apoiam projetos OpenSource - são tão importantes para mantê-lo que se, Deus me livre, forem atropeladas por um ônibus, a Internet irá quebrar.
Código de difícil manutenção é onde se escondem as vulnerabilidades de segurança cibernética mais graves. Algumas empresas nem percebem o quão vulneráveis são devido à dificuldade de manutenção do código. As vulnerabilidades associadas a esse código podem se transformar em um problema real muito lentamente: os sistemas apodrecem lentamente, sem demonstrar falhas visíveis no processo de apodrecimento. E quando falham, as consequências são fatais.
Finalmente, como os projetos OpenSource são geralmente desenvolvidos por uma comunidade de entusiastas, como Linus Torvalds ou como os hackers do Model Railroad Club mencionados no início do artigo, problemas com códigos de difícil manutenção não podem ser resolvidos das formas tradicionais (usando alavancas comerciais e governamentais). Porque os membros dessas comunidades são obstinados e valorizam a sua independência acima de tudo.
Barra lateral: Talvez os serviços de inteligência e os desenvolvedores de antivírus nos protejam?
Em 2013, soube-se que a Kaspersky Lab possuía uma unidade especial que realizava investigações personalizadas de incidentes de segurança da informação. Até recentemente, este departamento era chefiado por um antigo major da polícia, Ruslan Stoyanov, que anteriormente trabalhou no Departamento “K” da capital (USTM da Direcção Principal de Assuntos Internos de Moscovo). Todos os funcionários desta unidade especial da Kaspersky Lab vêm de agências de aplicação da lei, incluindo o Comitê de Investigação e a Diretoria “K”. [onze]
No final de 2016, o FSB prendeu Ruslan Stoyanov e acusou-o de traição. No mesmo caso, foi preso Sergei Mikhailov, alto representante do FSB CIB (centro de segurança da informação), a quem, antes da prisão, estava vinculada toda a segurança cibernética do país. [onze]
Barra lateral: Segurança cibernética aplicada
Em breve, os empresários russos serão forçados a prestar muita atenção à segurança cibernética. Em janeiro de 2017, Nikolai Murashov, representante do Centro de Proteção de Informações e Comunicações Especiais, afirmou que na Rússia, somente os objetos CII (infraestrutura crítica de informação) foram atacados mais de 2016 milhões de vezes em 70. Os objetos CII incluem sistemas de informação de agências governamentais, empresas da indústria de defesa, setores de transporte, crédito e financeiro, energia, combustíveis e indústrias nucleares. Para protegê-los, em 26 de julho, o presidente russo, Vladimir Putin, assinou um pacote de leis “Sobre a segurança do CII”. Até 1 de janeiro de 2018, data da entrada em vigor da lei, os proprietários das instalações CII devem implementar um conjunto de medidas para proteger a sua infraestrutura contra ataques de hackers, nomeadamente, ligar-se ao GosSOPKA. [12]
Bibliografia
- Jonathan Millet. //2017.
- Ross Anderson. Como os sistemas de pagamento com cartão inteligente falham // Black Hat. 2014.
- SJ Murdoch. Chip e PIN estão quebrados // Procedimentos do Simpósio IEEE sobre Segurança e Privacidade. 2010. pp. 433-446.
- David Talbot. // Revisão de Tecnologia do MIT (Digital). 2012.
- Craig Timberg. //O Washington Post. 2015.
- Michael Lista. // Vida em Toronto. 2018.
- Craig Timberg. //O Washington Post. 2015.
- Craig Timberg. //O Washington Post. 2015.
- Craig Timberg. //O Washington Post. 2015.
- Josué Gans. // Harvard Business Review (Digital). 2017.
- //CNews. 2017. URL.
- Maria Kolomichenko. //RBC. 2017.
Fonte: habr.com