Când „pălăriile negre” – fiind ordonanții pădurii sălbatice a spațiului cibernetic – se dovedesc a avea un succes deosebit în munca lor murdară, media galbenă țipă de încântare. Drept urmare, lumea începe să se uite mai serios la securitatea cibernetică. Dar, din păcate, nu imediat. Prin urmare, în ciuda numărului tot mai mare de incidente cibernetice catastrofale, lumea nu este încă pregătită pentru măsuri active proactive. Cu toate acestea, este de așteptat ca în viitorul apropiat, datorită „pălăriilor negre”, lumea să înceapă să ia în serios securitatea cibernetică. [7]

La fel de grave ca incendiile... Orașele erau cândva foarte vulnerabile la incendii catastrofale. Cu toate acestea, în ciuda pericolului potențial, măsurile de protecție proactive nu au fost luate – chiar și după uriașul incendiu de la Chicago din 1871, care s-a soldat cu sute de vieți și a strămutat sute de mii de oameni. Măsuri de protecție proactive au fost luate abia după ce a avut loc din nou un dezastru similar, trei ani mai târziu. La fel este și cu securitatea cibernetică - lumea nu va rezolva această problemă decât dacă există incidente catastrofale. Dar chiar dacă vor avea loc astfel de incidente, lumea nu va rezolva imediat această problemă. [7] Prin urmare, chiar și zicala: „Până nu apare o eroare, un om nu va fi remediat”, nu prea funcționează. De aceea, în 2018, am sărbătorit 30 de ani de nesiguranță.

Retragerea lirică

Începutul acestui articol, pe care l-am scris inițial pentru revista System Administrator, s-a dovedit a fi profetic într-un fel. Numărul unei reviste cu acest articol a ieșit afară literalmente zi după zi cu tragicul incendiu din centrul comercial Kemerovo „Winter Cherry” (2018, 20 martie).

Instalați Internetul în 30 de minute

În 1988, legendarul hacker galaxie L0pht, vorbind în forță înaintea unei întâlniri a celor mai influenți oficiali occidentali, declara: „Echipamentul tău computerizat este vulnerabil la atacurile cibernetice de pe internet. Și software, și hardware și telecomunicații. Vânzătorii lor nu sunt deloc preocupați de această stare de lucruri. Deoarece legislația modernă nu prevede nicio răspundere pentru o abordare neglijentă a asigurării securității cibernetice a software-ului și hardware-ului fabricat. Responsabilitatea pentru eventualele defecțiuni (fie spontane sau cauzate de intervenția infractorilor cibernetici) revine exclusiv utilizatorului echipamentului. În ceea ce privește guvernul federal, acesta nu are nici competențele și nici dorința de a rezolva această problemă. Prin urmare, dacă sunteți în căutarea securității cibernetice, atunci internetul nu este locul unde să o găsiți. Fiecare dintre cele șapte persoane care stau în fața ta poate rupe complet internetul și, în consecință, poate prelua controlul complet asupra echipamentului conectat la acesta. De unul singur. 30 de minute de taste coregrafiate și gata.” [7]

Oficialii au dat din cap cu semnificație, arătând clar că au înțeles gravitatea situației, dar nu au făcut nimic. Astăzi, la exact 30 de ani de la legendara performanță a lui L0pht, lumea este încă afectată de „nesiguranță rampantă”. Hackerea echipamentelor computerizate, conectate la Internet este atât de ușoară încât Internetul, inițial un regat al oamenilor de știință și pasionaților idealiști, a fost treptat ocupat de cei mai pragmatici dintre profesioniști: escroci, escroci, spioni, teroriști. Toate exploatează vulnerabilitățile echipamentelor computerizate pentru beneficii financiare sau de altă natură. [7]

Furnizorii neglijează securitatea cibernetică

Bineînțeles, uneori, vânzătorii încearcă să repare unele dintre vulnerabilitățile identificate, dar o fac foarte fără tragere de inimă. Pentru că profitul lor nu provine din protecția împotriva hackerilor, ci din noua funcționalitate pe care o oferă consumatorilor. Fiind concentrați exclusiv pe profituri pe termen scurt, vânzătorii investesc bani doar în rezolvarea problemelor reale, nu a celor ipotetice. Securitatea cibernetică, în ochii multora dintre ei, este un lucru ipotetic. [7]

Securitatea cibernetică este un lucru invizibil, intangibil. Devine tangibil doar atunci când apar probleme cu el. Dacă au avut grijă de el (au cheltuit o mulțime de bani pe furnizarea lui) și nu sunt probleme cu el, consumatorul final nu va dori să plătească în exces pentru el. În plus, pe lângă creșterea costurilor financiare, implementarea măsurilor de protecție necesită timp suplimentar de dezvoltare, necesită limitarea capacităților echipamentului și duce la o scădere a productivității acestuia. [8]

Este dificil să convingem chiar și pe propriii noștri marketeri de fezabilitatea costurilor enumerate, darămite consumatorii finali. Și întrucât vânzătorii moderni sunt interesați doar de profiturile vânzărilor pe termen scurt, ei nu sunt deloc înclinați să își asume responsabilitatea pentru asigurarea securității cibernetice a creațiilor lor. [1] Pe de altă parte, vânzătorii mai atenți care s-au ocupat de securitatea cibernetică a echipamentelor lor se confruntă cu faptul că consumatorii corporativi preferă alternative mai ieftine și mai ușor de utilizat. Acea. Este evident că nici consumatorilor corporativi nu le pasă prea mult de securitatea cibernetică. [8]

În lumina celor de mai sus, nu este surprinzător că vânzătorii tind să neglijeze securitatea cibernetică și să adere la următoarea filozofie: „Continuați să construiți, să continuați să vindeți și să corectați atunci când este necesar. S-a prăbușit sistemul? Informații pierdute? Baza de date cu numere de card de credit furate? Există vulnerabilități fatale identificate în echipamentul dvs.? Nici o problemă!" Consumatorii, la rândul lor, trebuie să urmeze principiul: „Peticică și roagă-te”. [7]

Cum se întâmplă asta: exemple din sălbăticie

Un exemplu izbitor de neglijare a securității cibernetice în timpul dezvoltării este programul de stimulare corporativă al Microsoft: „Dacă ratezi termenele limită, vei fi amendat. Dacă nu aveți timp să trimiteți lansarea inovației dvs. la timp, aceasta nu va fi implementată. Dacă nu este implementat, nu veți primi acțiuni ale companiei (o bucată din plăcintă din profiturile Microsoft).” Din 1993, Microsoft a început să-și conecteze în mod activ produsele la Internet. Deoarece această inițiativă a funcționat în conformitate cu același program motivațional, funcționalitatea s-a extins mai repede decât a putut apărarea să țină pasul cu ea. Spre bucuria vânătorilor de vulnerabilități pragmatici... [7]

Un alt exemplu este situația cu computerele și laptopurile: acestea nu vin cu un antivirus preinstalat; și, de asemenea, nu oferă pentru presetarea parolelor puternice. Se presupune că utilizatorul final va instala antivirusul și va stabili parametrii de configurare a securității. [1]

Un alt exemplu, mai extrem: situația cu securitatea cibernetică a echipamentelor de retail (case de marcat, terminale PoS pentru centre comerciale etc.). S-a întâmplat că vânzătorii de echipamente comerciale vând doar ceea ce se vinde, și nu ceea ce este sigur. [2] Dacă există un lucru la care vânzătorii de echipamente comerciale le pasă în ceea ce privește securitatea cibernetică, este să se asigure că, dacă are loc un incident controversat, responsabilitatea revine altora. [3]

Un exemplu indicativ al acestei dezvoltări a evenimentelor: popularizarea standardului EMV pentru cardurile bancare, care, datorită muncii competente a marketerilor bănci, apare în ochii publicului care nu este sofisticat din punct de vedere tehnic ca o alternativă mai sigură la „învechit” carduri magnetice. În același timp, principala motivație a industriei bancare, care a fost responsabilă de dezvoltarea standardului EMV, a fost de a transfera responsabilitatea incidentelor frauduloase (care apar din vina cardatorilor) - de la magazine la consumatori. În timp ce anterior (când plățile se făceau cu carduri magnetice), responsabilitatea financiară revine magazinelor pentru discrepanțe de debit/credit. [3] Astfel băncile care procesează plăți transferă responsabilitatea fie către comercianți (care folosesc sistemele lor bancare la distanță), fie către băncile care emit carduri de plată; ultimii doi, la rândul lor, transferă responsabilitatea deținătorului cardului. [2]

Furnizorii împiedică securitatea cibernetică

Pe măsură ce suprafața de atac digital se extinde inexorabil – datorită exploziei dispozitivelor conectate la internet – urmărirea a ceea ce este conectat la rețeaua corporativă devine din ce în ce mai dificilă. În același timp, vânzătorii își schimbă îngrijorările cu privire la siguranța tuturor echipamentelor conectate la internet către utilizatorul final [1]: „Salvarea oamenilor care se înec este munca oamenilor care se înecă”.

Nu numai că vânzătorilor nu le pasă de securitatea cibernetică a creațiilor lor, dar în unele cazuri interferează și cu furnizarea acesteia. De exemplu, când în 2009 viermele rețelei Conficker s-a scurs în Centrul Medical Beth Israel și a infectat o parte din echipamentul medical de acolo, directorul tehnic al acestui centru medical, pentru a preveni incidente similare pe viitor, a decis să dezactiveze funcția de sprijinire a funcționării pe echipamentul afectat de vierme cu rețea. Cu toate acestea, s-a confruntat cu faptul că „echipamentul nu a putut fi actualizat din cauza restricțiilor de reglementare”. A fost nevoie de un efort considerabil pentru a negocia cu vânzătorul pentru a dezactiva funcțiile de rețea. [4]

Insecuritatea cibernetică fundamentală a internetului

David Clarke, legendarul profesor MIT al cărui geniu i-a adus porecla „Albus Dumbledore”, își amintește ziua în care partea întunecată a internetului a fost dezvăluită lumii. Clark conducea o conferință de telecomunicații în noiembrie 1988, când a apărut vestea că primul vierme de computer din istorie s-a strecurat prin firele de rețea. Clark și-a amintit acest moment pentru că vorbitorul prezent la conferința sa (un angajat al uneia dintre cele mai importante companii de telecomunicații) a fost tras la răspundere pentru răspândirea acestui vierme. Acest vorbitor, în căldura emoției, a spus din neatenție: „Uite-o!” Se pare că am închis această vulnerabilitate”, a plătit el pentru aceste cuvinte. [5]

Cu toate acestea, mai târziu s-a dovedit că vulnerabilitatea prin care viermele menționat s-a răspândit nu a fost meritul nici unei persoane individuale. Și aceasta, strict vorbind, nu a fost nici măcar o vulnerabilitate, ci o trăsătură fundamentală a Internetului: fondatorii Internetului, atunci când și-au dezvoltat ideea, s-au concentrat exclusiv pe viteza de transfer de date și pe toleranța la erori. Nu și-au propus sarcina de a asigura securitatea cibernetică. [5]

Astăzi, la zeci de ani de la înființarea Internetului – cu sute de miliarde de dolari deja cheltuiți pentru încercări zadarnice de securitate cibernetică – Internetul nu este mai puțin vulnerabil. Problemele sale de securitate cibernetică se agravează în fiecare an. Cu toate acestea, avem dreptul să-i condamnăm pe fondatorii Internetului pentru asta? La urma urmei, de exemplu, nimeni nu-i va condamna pe constructorii de autostrăzi pentru faptul că accidentele au loc pe „drumurile lor”; și nimeni nu va condamna urbaniștii pentru faptul că jafurile au loc în „orașele lor”. [5]

Cum s-a născut subcultura hackerilor

Subcultura hackerilor a apărut la începutul anilor 1960, în „Clubul de modelare tehnică feroviară” (care funcționează în interiorul zidurilor Institutului de Tehnologie din Massachusetts). Pasionații clubului au proiectat și asamblat un model de cale ferată, atât de uriașă încât a umplut întreaga cameră. Membrii clubului s-au împărțit spontan în două grupuri: pacificatori și specialiști în sistem. [6]

Primul a lucrat cu partea de deasupra solului a modelului, al doilea - cu subteranul. Primii au adunat și au decorat machete de trenuri și orașe: au modelat întreaga lume în miniatură. Acesta din urmă a lucrat la suportul tehnic pentru toată această pace: o complexitate de fire, relee și comutatoare de coordonate situate în partea subterană a modelului - tot ceea ce controla partea „asupra pământului” și o alimenta cu energie. [6]

Când a existat o problemă de trafic și cineva a venit cu o soluție nouă și ingenioasă pentru a o remedia, soluția se numea „hack”. Pentru membrii clubului, căutarea de noi hack-uri a devenit un sens intrinsec al vieții. De aceea au început să se autointituleze „hackeri”. [6]

Prima generație de hackeri a implementat abilitățile dobândite la Simulation Railway Club prin scrierea de programe de calculator pe carduri perforate. Apoi, când ARPANET (predecesorul Internetului) a ajuns în campus în 1969, hackerii au devenit cei mai activi și mai pricepuți utilizatori ai săi. [6]

Acum, decenii mai târziu, internetul modern seamănă cu acea parte „subterană” a modelului de cale ferată. Pentru că fondatorii săi au fost aceiași hackeri, studenți ai „Railroad Simulation Club”. Doar hackerii operează acum orașe reale în loc de miniaturi simulate. [6]

Cum a apărut rutarea BGP

Până la sfârșitul anilor 80, ca urmare a unei creșteri asemănătoare unei avalanșe a numărului de dispozitive conectate la Internet, Internetul s-a apropiat de limita matematică rigidă încorporată într-unul dintre protocoalele de bază ale Internetului. Prin urmare, orice conversație între inginerii de atunci s-a transformat în cele din urmă într-o discuție despre această problemă. Doi prieteni nu au făcut excepție: Jacob Rechter (un inginer de la IBM) și Kirk Lockheed (fondatorul Cisco). Întâlnindu-se întâmplător la masă, au început să discute despre măsurile de păstrare a funcționalității internetului. Prietenii au notat ideile care au apărut pe orice le-a venit la îndemână - un șervețel pătat cu ketchup. Apoi al doilea. Apoi al treilea. „Protocolul celor trei șervețele”, așa cum l-au numit în glumă inventatorii săi – cunoscut în cercurile oficiale ca BGP (Border Gateway Protocol) – a revoluționat în curând internetul. [8]

Pentru Rechter și Lockheed, BGP a fost pur și simplu un hack casual, dezvoltat în spiritul Model Railroad Club menționat mai sus, o soluție temporară care avea să fie înlocuită în curând. Prietenii au dezvoltat BGP în 1989. Astăzi, totuși, 30 de ani mai târziu, majoritatea traficului de internet este încă direcționat folosind „protocolul trei șervețele” – în ciuda apelurilor din ce în ce mai alarmante despre problemele critice ale securității sale cibernetice. Hack-ul temporar a devenit unul dintre protocoalele de bază ale Internetului, iar dezvoltatorii săi au învățat din propria experiență că „nu există nimic mai permanent decât soluții temporare”. [8]

Rețelele din întreaga lume au trecut la BGP. Furnizorii influenți, clienții bogați și companiile de telecomunicații s-au îndrăgostit rapid de BGP și s-au obișnuit cu el. Prin urmare, chiar și în ciuda din ce în ce mai multe clopote de alarmă cu privire la insecuritatea acestui protocol, publicul IT încă nu se arată entuziasmat pentru trecerea la echipamente noi, mai sigure. [8]

Rutare BGP nesigură cibernetică

De ce este rutarea BGP atât de bună și de ce comunitatea IT nu se grăbește să o abandoneze? BGP ajută routerele să ia decizii cu privire la unde să direcționeze fluxurile uriașe de date trimise printr-o rețea uriașă de linii de comunicație care se intersectează. BGP ajută ruterele să aleagă căi adecvate, chiar dacă rețeaua se schimbă constant și rutele populare se confruntă adesea cu blocaje de trafic. Problema este că Internetul nu are o hartă globală de rutare. Routerele care folosesc BGP iau decizii cu privire la alegerea unei căi sau alteia pe baza informațiilor primite de la vecinii din spațiul cibernetic, care la rândul lor colectează informații de la vecinii lor etc. Cu toate acestea, aceste informații pot fi ușor falsificate, ceea ce înseamnă că rutarea BGP este foarte vulnerabilă la atacurile MiTM. [8]

Prin urmare, apar în mod regulat întrebări precum următoarele: „De ce traficul dintre două computere din Denver a făcut un ocol gigant prin Islanda?”, „De ce au fost transferate odată datele clasificate de la Pentagon în tranzit prin Beijing?” Există răspunsuri tehnice la astfel de întrebări, dar toate se reduc la faptul că BGP funcționează pe baza de încredere: încredere în recomandările primite de la routerele vecine. Datorită naturii de încredere a protocolului BGP, stăpânii misterioși ai traficului pot atrage fluxurile de date ale altor persoane în domeniul lor, dacă doresc. [8]

Un exemplu viu este atacul BGP al Chinei asupra Pentagonului american. În aprilie 2010, gigantul de telecomunicații de stat China Telecom a trimis zeci de mii de routere în întreaga lume, inclusiv 16 în Statele Unite, un mesaj BGP spunându-le că au rute mai bune. Fără un sistem care ar putea verifica validitatea unui mesaj BGP de la China Telecom, routerele din întreaga lume au început să trimită date în tranzit prin Beijing. Inclusiv traficul de la Pentagon și alte site-uri ale Departamentului de Apărare al SUA. Ușurința cu care traficul a fost redirecționat și lipsa protecției efective împotriva acestui tip de atac este un alt semn al insecurității rutării BGP. [8]

Protocolul BGP este teoretic vulnerabil la un atac cibernetic și mai periculos. În cazul în care conflictele internaționale escaladează în plină forță în spațiul cibernetic, China Telecom sau un alt gigant al telecomunicațiilor ar putea încerca să pretindă dreptul de proprietate asupra unor părți ale Internetului care nu îi aparțin de fapt. O astfel de mișcare ar pune în confuzie routerele, care ar trebui să treacă între ofertele concurente pentru aceleași blocuri de adrese de internet. Fără capacitatea de a distinge o aplicație legitimă de una falsă, routerele ar începe să acționeze neregulat. Drept urmare, ne-am confrunta cu echivalentul pe Internet al războiului nuclear – o manifestare deschisă, la scară largă, de ostilitate. O astfel de dezvoltare în vremuri de relativă pace pare nerealistă, dar din punct de vedere tehnic este destul de fezabilă. [8]

O încercare zadarnică de a trece de la BGP la BGPSEC

Securitatea cibernetică nu a fost luată în considerare atunci când a fost dezvoltat BGP, deoarece la acea vreme hack-urile erau rare, iar pagubele cauzate de acestea erau neglijabile. Dezvoltatorii BGP, pentru că lucrau pentru companii de telecomunicații și erau interesați să-și vândă echipamentele de rețea, au avut o sarcină mai presantă: să evite defecțiunile spontane ale internetului. Deoarece întreruperile internetului ar putea înstrăina utilizatorii și, prin urmare, pot reduce vânzările de echipamente de rețea. [8]

După incidentul cu transmiterea traficului militar american prin Beijing din aprilie 2010, ritmul de lucru pentru asigurarea securității cibernetice a rutării BGP s-a accelerat cu siguranță. Cu toate acestea, furnizorii de telecomunicații au arătat puțin entuziasm pentru a suporta costurile asociate cu migrarea la noul protocol de rutare securizat BGPSEC, propus ca înlocuitor pentru BGP nesigur. Furnizorii încă consideră BGP destul de acceptabil, chiar și în ciuda nenumăratelor incidente de interceptare a traficului. [8]

Radia Perlman, supranumită „Mama Internetului” pentru că a inventat un alt protocol de rețea major în 1988 (cu un an înainte de BGP), a câștigat o teză de doctorat profetică la MIT. Perlman a prezis că un protocol de rutare care depinde de onestitatea vecinilor din spațiul cibernetic este fundamental nesigur. Perlman a susținut utilizarea criptografiei, care ar contribui la limitarea posibilității de contrafacere. Cu toate acestea, implementarea BGP era deja în plină desfășurare, influența comunitate IT era obișnuită cu asta și nu dorea să schimbe nimic. Prin urmare, după avertismente motivate de la Perlman, Clark și alți experți proeminenti din lume, ponderea relativă a rutare BGP sigură criptografic nu a crescut deloc și este încă de 0%. [8]

Rutarea BGP nu este singurul hack

Iar rutarea BGP nu este singurul hack care confirmă ideea că „nimic nu este mai permanent decât soluțiile temporare”. Uneori, internetul, scufundându-ne în lumi fantastice, pare la fel de elegant ca o mașină de curse. Cu toate acestea, în realitate, din cauza hackurilor îngrămădite unul peste altul, internetul seamănă mai mult cu Frankenstein decât cu Ferrari. Deoarece aceste hack-uri (numite mai oficial patch-uri) nu sunt niciodată înlocuite cu tehnologie de încredere. Consecințele acestei abordări sunt îngrozitoare: zilnic și în fiecare oră, infractorii cibernetici intră în sistemele vulnerabile, extinzând sfera criminalității cibernetice la proporții până acum de neimaginat. [8]

Multe dintre defecte exploatate de infractorii cibernetici sunt cunoscute de mult timp și au fost păstrate doar datorită tendinței comunității IT de a rezolva problemele emergente - cu hack-uri/patch-uri temporare. Uneori, din această cauză, tehnologiile învechite se adună una peste alta pentru o lungă perioadă de timp, îngreunând viața oamenilor și punându-i în pericol. Ce ai crede dacă ai afla că banca ta își construiește bolta pe o fundație de paie și noroi? Ai avea încredere în el pentru a-ți păstra economiile? [8]

Atitudinea lipsită de griji a lui Linus Torvalds

Au trecut ani înainte ca Internetul să ajungă la prima sută de computere. Astăzi, 100 de computere noi și alte dispozitive sunt conectate la acesta în fiecare secundă. Pe măsură ce dispozitivele conectate la internet explodează, la fel și urgența problemelor de securitate cibernetică. Cu toate acestea, persoana care ar putea avea cel mai mare impact asupra soluționării acestor probleme este cea care privește securitatea cibernetică cu dispreț. Acest om a fost numit un geniu, un bătăuș, un lider spiritual și un dictator binevoitor. Linus Torvalds. Marea majoritate a dispozitivelor conectate la Internet rulează sistemul său de operare, Linux. Rapid, flexibil, gratuit - Linux devine din ce în ce mai popular în timp. În același timp, se comportă foarte stabil. Și poate funcționa fără repornire timp de mulți ani. Acesta este motivul pentru care Linux are onoarea de a fi sistemul de operare dominant. Aproape toate echipamentele computerizate disponibile astăzi rulează Linux: servere, echipamente medicale, calculatoare de zbor, drone minuscule, avioane militare și multe altele. [9]

Linux reușește în mare măsură pentru că Torvalds pune accent pe performanță și toleranță la erori. Cu toate acestea, el pune acest accent în detrimentul securității cibernetice. Chiar dacă spațiul cibernetic și lumea fizică reală se împletesc, iar securitatea cibernetică devine o problemă globală, Torvalds continuă să reziste la introducerea de inovații sigure în sistemul său de operare. [9]

Prin urmare, chiar și printre mulți fani Linux, există o îngrijorare tot mai mare cu privire la vulnerabilitățile acestui sistem de operare. În special, cea mai intimă parte a Linux, kernel-ul său, la care Torvalds lucrează personal. Fanii Linux văd că Torvalds nu ia în serios problemele de securitate cibernetică. Mai mult, Torvalds s-a înconjurat de dezvoltatori care împărtășesc această atitudine lipsită de griji. Dacă cineva din cercul interior al lui Torvalds începe să vorbească despre introducerea de inovații sigure, el este imediat anatematizat. Torvalds a respins un grup de astfel de inovatori, numindu-le „maimuțe care se masturbează”. În timp ce Torvalds își lua rămas bun de la un alt grup de dezvoltatori conștienți de securitate, el le-a spus: „Ați fi atât de amabil încât să vă sinucideți. Din cauza asta, lumea ar fi un loc mai bun.” Ori de câte ori a fost vorba de adăugarea de funcții de securitate, Torvalds a fost întotdeauna împotrivă. [9] Torvalds are chiar și o întreagă filozofie în acest sens, care nu este lipsită de un sâmbure de bun simț:

„Securitatea absolută este de neatins. Prin urmare, ar trebui să fie întotdeauna luată în considerare numai în raport cu alte priorități: rapiditate, flexibilitate și ușurință în utilizare. Oamenii care se dedică în totalitate asigurării protecției sunt nebuni. Gândirea lor este limitată, alb-negru. Securitatea în sine este inutilă. Esența este întotdeauna în altă parte. Prin urmare, nu puteți asigura securitatea absolută, chiar dacă doriți cu adevărat. Desigur, există oameni care acordă mai multă atenție siguranței decât Torvalds. Cu toate acestea, acești tipi lucrează pur și simplu la ceea ce îi interesează și oferă securitate în cadrul relativ îngust care delimitează aceste interese. Nu mai. Deci ele nu contribuie în niciun fel la creșterea securității absolute.” [9]

Bară laterală: OpenSource este ca un butoi de pulbere [10]

Codul OpenSource a economisit miliarde în costurile de dezvoltare software, eliminând necesitatea eforturilor duplicate: cu OpenSource, programatorii au posibilitatea de a folosi inovațiile actuale fără restricții sau plăți. OpenSource este folosit peste tot. Chiar dacă ați angajat un dezvoltator de software pentru a vă rezolva problema specializată de la zero, acest dezvoltator va folosi cel mai probabil un fel de bibliotecă OpenSource. Și probabil mai mult de unul. Astfel, elementele OpenSource sunt prezente aproape peste tot. În același timp, trebuie înțeles că niciun software nu este static; codul său se schimbă constant. Prin urmare, principiul „setează-l și uită-l” nu funcționează niciodată pentru cod. Inclusiv codul OpenSource: mai devreme sau mai târziu va fi necesară o versiune actualizată.

În 2016, am văzut consecințele acestei stări de lucruri: un dezvoltator de 28 de ani a „rupt” pentru scurt timp internetul ștergându-și codul OpenSource, pe care anterior îl făcuse public. Această poveste arată că infrastructura noastră cibernetică este foarte fragilă. Unii oameni - care susțin proiecte OpenSource - sunt atât de importanți pentru a le menține, încât dacă, Doamne ferește, sunt loviți de un autobuz, internetul se va rupe.

Codul greu de întreținut este locul în care pândesc cele mai grave vulnerabilități de securitate cibernetică. Unele companii nici nu realizează cât de vulnerabile sunt din cauza codului greu de întreținut. Vulnerabilitățile asociate cu un astfel de cod se pot maturiza într-o problemă reală foarte lent: sistemele putrezesc încet, fără a demonstra defecțiuni vizibile în procesul de putrezire. Și când eșuează, consecințele sunt fatale.

În sfârșit, întrucât proiectele OpenSource sunt de obicei dezvoltate de o comunitate de entuziaști, precum Linus Torvalds sau ca hackerii de la Model Railroad Club menționați la începutul articolului, problemele cu codul greu de întreținut nu pot fi rezolvate în mod tradițional (folosind pârghii comerciale și guvernamentale). Pentru că membrii acestor comunități sunt intenționați și își prețuiesc independența mai presus de orice.

Bara laterală: Poate că serviciile de informații și dezvoltatorii de antivirus ne vor proteja?

În 2013, a devenit cunoscut faptul că Kaspersky Lab avea o unitate specială care efectua investigații personalizate ale incidentelor de securitate a informațiilor. Până de curând, acest departament era condus de un fost maior al poliției, Ruslan Stoyanov, care a lucrat anterior în Departamentul „K” al capitalei (USTM al Direcției Principale Afaceri Interne din Moscova). Toți angajații acestei unități speciale a Kaspersky Lab provin din agenții de aplicare a legii, inclusiv din Comitetul de investigație și Direcția „K”. [unsprezece]

La sfârșitul anului 2016, FSB l-a arestat pe Ruslan Stoyanov și l-a acuzat de trădare. În același caz, a fost arestat Serghei Mihailov, un înalt reprezentant al FSB CIB (centrul de securitate a informațiilor), de care, înainte de arestare, era legată întreaga securitate cibernetică a țării. [unsprezece]

Bara laterală: securitate cibernetică impusă

În curând, antreprenorii ruși vor fi obligați să acorde o atenție deosebită securității cibernetice. În ianuarie 2017, Nikolai Murashov, reprezentant al Centrului pentru Protecția Informației și Comunicații Speciale, a declarat că în Rusia, numai obiectele CII (infrastructura critică a informațiilor) au fost atacate de peste 2016 de milioane de ori în 70. Obiectele CII includ sisteme informatice ale agențiilor guvernamentale, întreprinderilor din industria de apărare, transporturilor, creditelor și sectoarelor financiare, energiei, combustibililor și industriilor nucleare. Pentru a-i proteja, pe 26 iulie, președintele rus Vladimir Putin a semnat un pachet de legi „Cu privire la siguranța CII”. Până la 1 ianuarie 2018, când legea intră în vigoare, proprietarii instalațiilor CII trebuie să implementeze un set de măsuri pentru a-și proteja infrastructura de atacurile hackerilor, în special să se conecteze la GosSOPKA. [12]

Bibliografie

1. Jonathan Millet. IoT: importanța securizării dispozitivelor dvs. inteligente // 2017.
2. Ross Anderson. Cum eșuează sistemele de plată cu carduri inteligente // Black Hat. 2014.
3. SJ Murdoch. Cipul și PIN-ul sunt sparte // Proceedings of the IEEE Symposium on Security and Privacy. 2010. pp. 433-446.
4. David Talbot. Virușii informatici sunt „raganți” pe dispozitivele medicale din spitale // MIT Technology Review (Digital). 2012.
5. Craig Timberg. Net of Insecurity: Un flux în proiectare // The Washington Post. 2015.
6. Michael Lista. Era un adolescent hacker care și-a cheltuit milioanele pe mașini, haine și ceasuri – până când FBI-ul a prins // Toronto Life. 2018.
7. Craig Timberg. Net of Insecurity: Un dezastru prezis – și ignorat // The Washington Post. 2015.
8. Craig Timberg. Durata lungă de viață a unei „remedieri” rapide: protocolul Internet din 1989 lasă datele vulnerabile la piratați // The Washington Post. 2015.
9. Craig Timberg. Net of Insecurity: nucleul argumentului // The Washington Post. 2015.
10. Joshua Gans. Codul open-source ar putea face temerile noastre din anul 2 să devină realitate? // Harvard Business Review (Digital). 2017.
11. Top manager al Kaspersky arestat de FSB // CNews. 2017. URL.
12. Maria Kolomicenko. Serviciul de informații cibernetice: Sberbank a propus crearea unui sediu pentru combaterea hackerilor // RBC. 2017.

Sursa: www.habr.com