Keď sa ukáže, že „čierne klobúky“ – ako správcovia divokého lesa kyberpriestoru – sú obzvlášť úspešní vo svojej špinavej práci, žlté médiá piští od radosti. V dôsledku toho sa svet začína pozerať na kybernetickú bezpečnosť vážnejšie. Ale bohužiaľ nie hneď. Preto aj napriek narastajúcemu počtu katastrofických kybernetických incidentov svet ešte nie je zrelý na aktívne proaktívne opatrenia. Očakáva sa však, že v blízkej budúcnosti svet vďaka „čiernym klobúkom“ začne brať kybernetickú bezpečnosť vážne. [7]

Rovnako vážne ako požiare... Mestá boli kedysi veľmi náchylné na katastrofické požiare. Napriek potenciálnemu nebezpečenstvu však neboli prijaté proaktívne ochranné opatrenia – ani po obrovskom požiari v Chicagu v roku 1871, ktorý si vyžiadal stovky obetí na životoch a vysídlených státisíce ľudí. Proaktívne ochranné opatrenia boli prijaté až potom, čo sa podobná katastrofa zopakovala, o tri roky neskôr. Rovnako je to aj s kybernetickou bezpečnosťou – svet tento problém nevyrieši, pokiaľ nedôjde ku katastrofickým incidentom. Ale aj keby k takýmto incidentom došlo, svet tento problém hneď nevyrieši. [7] Preto ani príslovie: „Kým sa nevyskytne chyba, človeka neopravia,“ tak celkom nefunguje. Preto sme v roku 2018 oslávili 30 rokov zúriacej neistoty.

Lyrická digresia

Začiatok tohto článku, ktorý som pôvodne napísal pre magazín System Administrator, sa ukázal byť v istom zmysle prorocký. Vydanie časopisu s týmto článkom vyšiel doslova zo dňa na deň s tragickým požiarom v kemerovskom nákupnom centre „Winter Cherry“ (2018, 20. marca).

Nainštalujte si internet za 30 minút

V roku 1988 legendárna hackerská galaxia L0pht v plnej sile pred stretnutím najvplyvnejších západných predstaviteľov vyhlásila: „Vaše počítačové vybavenie je zraniteľné voči kybernetickým útokom z internetu. A softvér, hardvér a telekomunikácie. Ich predajcovia sa o tento stav vôbec nestarajú. Pretože moderná legislatíva nestanovuje žiadnu zodpovednosť za nedbalý prístup k zabezpečeniu kybernetickej bezpečnosti vyrábaného softvéru a hardvéru. Zodpovednosť za prípadné poruchy (či už spontánne alebo spôsobené zásahom kyberzločincov) nesie výlučne používateľ zariadenia. Čo sa týka federálnej vlády, tá nemá schopnosti ani chuť tento problém riešiť. Preto, ak hľadáte kybernetickú bezpečnosť, potom internet nie je miesto, kde ju nájdete. Každý zo siedmich ľudí, ktorí sedia pred vami, môže úplne prelomiť internet, a teda získať úplnú kontrolu nad zariadením, ktoré je k nemu pripojené. Sám. 30 minút choreografických úderov do klávesov a je hotovo.“ [7]

Úradníci zmysluplne prikývli, čím dali najavo, že chápu vážnosť situácie, no neurobili nič. Dnes, presne 30 rokov po legendárnom vystúpení L0pht, je svet stále sužovaný „búrlivou neistotou“. Hacknutie počítačových zariadení pripojených na internet je také jednoduché, že internet, spočiatku kráľovstvo idealistických vedcov a nadšencov, postupne obsadili tí najpragmatickejší z profesionálov: podvodníci, podvodníci, špióni, teroristi. Všetky využívajú zraniteľnosť počítačového vybavenia na finančné alebo iné výhody. [7]

Predajcovia zanedbávajú kybernetickú bezpečnosť

Predajcovia sa samozrejme niekedy pokúšajú opraviť niektoré zo zistených zraniteľností, ale robia to veľmi neochotne. Pretože ich zisk nepochádza z ochrany pred hackermi, ale z nových funkcií, ktoré poskytujú spotrebiteľom. Predajcovia, ktorí sa zameriavajú výlučne na krátkodobé zisky, investujú peniaze iba do riešenia skutočných problémov, nie hypotetických. Kybernetická bezpečnosť je v očiach mnohých z nich hypotetická vec. [7]

Kybernetická bezpečnosť je neviditeľná, nehmotná vec. Tá sa stáva hmatateľnou až vtedy, keď s ňou nastanú problémy. Ak sa o ňu dobre starali (vynaložili na jej poskytovanie nemalé peniaze) a nie sú s ňou žiadne problémy, konečný spotrebiteľ ju nebude chcieť preplatiť. Okrem zvyšovania finančných nákladov si implementácia ochranných opatrení navyše vyžaduje ďalší vývojový čas, obmedzuje možnosti zariadenia a vedie k zníženiu jeho produktivity. [8]

Je ťažké presvedčiť o uskutočniteľnosti uvedených nákladov aj našich vlastných obchodníkov, nehovoriac o konečných spotrebiteľoch. A keďže moderných predajcov zaujímajú len krátkodobé zisky z predaja, nie sú vôbec naklonení prevziať zodpovednosť za zabezpečenie kybernetickej bezpečnosti svojich výtvorov. [1] Na druhej strane, opatrnejší predajcovia, ktorí si dali záležať na kybernetickej bezpečnosti svojich zariadení, sa stretávajú s tým, že firemní spotrebitelia uprednostňujú lacnejšie a jednoduchšie použiteľné alternatívy. To. Je zrejmé, že firemným spotrebiteľom na kybernetickej bezpečnosti príliš nezáleží. [8]

Vo svetle vyššie uvedeného nie je prekvapujúce, že predajcovia majú tendenciu zanedbávať kybernetickú bezpečnosť a dodržiavať nasledujúcu filozofiu: „Pokračujte v budovaní, predajte a opravte, keď je to potrebné. Zrútil sa systém? Stratené informácie? Databáza s číslami kreditných kariet bola ukradnutá? Existujú nejaké fatálne zraniteľné miesta vo vašom zariadení? Žiaden problém!" Spotrebitelia sa zasa musia riadiť zásadou: „Náplasť a modliť sa“. [7]

Ako sa to deje: príklady z voľnej prírody

Pozoruhodným príkladom zanedbania kybernetickej bezpečnosti počas vývoja je firemný motivačný program spoločnosti Microsoft: „Ak nedodržíte termíny, dostanete pokutu. Ak nestihnete odoslať vydanie svojej inovácie včas, nebude implementovaná. Ak to nebude implementované, nebudete dostávať akcie spoločnosti (kúsok koláča zo ziskov spoločnosti Microsoft). Od roku 1993 začal Microsoft aktívne prepájať svoje produkty s internetom. Keďže táto iniciatíva fungovala v súlade s rovnakým motivačným programom, funkčnosť sa rozširovala rýchlejšie, ako s ňou mohla obrana držať krok. Na radosť pragmatických lovcov zraniteľnosti... [7]

Ďalším príkladom je situácia s počítačmi a notebookmi: nedodávajú sa s predinštalovaným antivírusom; a tiež neposkytujú prednastavené silné heslá. Predpokladá sa, že si koncový používateľ nainštaluje antivírus a nastaví bezpečnostné konfiguračné parametre. [1]

Ďalší, extrémnejší príklad: situácia s kybernetickou bezpečnosťou maloobchodných zariadení (pokladne, PoS terminály pre obchodné centrá a pod.). Stalo sa, že predajcovia komerčných zariadení predávajú len to, čo sa predáva, a nie to, čo je bezpečné. [2] Ak existuje niečo, na čom sa predajcovia komerčných zariadení z hľadiska kybernetickej bezpečnosti zaujímajú, je to zaistenie toho, že ak dôjde ku kontroverznému incidentu, zodpovednosť padne na iných. [3]

Názorným príkladom tohto vývoja udalostí: popularizácia štandardu EMV pre bankové karty, ktorý sa vďaka kompetentnej práci bankových marketérov objavuje v očiach technicky nevyspelej verejnosti ako bezpečnejšia alternatíva k „zastaraným“ magnetické karty. Zároveň hlavnou motiváciou bankového sektora, ktorý bol zodpovedný za vývoj štandardu EMV, bolo presunúť zodpovednosť za podvodné incidenty (vyskytujúce sa vinou kartárov) – z obchodov na spotrebiteľov. Kým predtým (keď sa platby uskutočňovali magnetickými kartami), finančnú zodpovednosť za nezrovnalosti v debetných/kreditných údajoch mali obchody. [3] Teda banky, ktoré spracovávajú platby, presúvajú zodpovednosť buď na obchodníkov (ktorí využívajú ich vzdialené bankové systémy) alebo na banky, ktoré vydávajú platobné karty; posledné dve zas presúvajú zodpovednosť na držiteľa karty. [2]

Predajcovia bránia kybernetickej bezpečnosti

Ako sa plocha digitálneho útoku neúprosne rozširuje – vďaka explózii zariadení pripojených k internetu – sledovanie toho, čo je pripojené k podnikovej sieti, je čoraz ťažšie. Zároveň predajcovia presúvajú obavy o bezpečnosť všetkých zariadení pripojených na internet na koncového používateľa [1]: „Záchrana topiacich sa je dielom samotných topiacich sa ľudí.“

Predajcovia sa nielenže nestarajú o kybernetickú bezpečnosť svojich výtvorov, ale v niektorých prípadoch zasahujú aj do jej poskytovania. Napríklad, keď v roku 2009 unikol sieťový červ Conficker do Beth Israel Medical Center a infikoval tam časť lekárskeho vybavenia, technický riaditeľ tohto zdravotného strediska, aby v budúcnosti zabránil podobným incidentom, sa rozhodol vypnúť funkcia podpory prevádzky na zariadení ovplyvnenom červom so sieťou. Stretol sa však so skutočnosťou, že „zariadenie nebolo možné aktualizovať kvôli regulačným obmedzeniam“. Vyjednávanie s predajcom o deaktivácii sieťových funkcií ho stálo značné úsilie. [4]

Základná kybernetická bezpečnosť internetu

David Clarke, legendárny profesor MIT, ktorého genialita mu vyniesla prezývku „Albus Dumbledore“, si spomína na deň, keď bola svetu odhalená temná strana internetu. Clark predsedal telekomunikačnej konferencii v novembri 1988, keď sa objavila správa, že prvý počítačový červ v histórii prekĺzol cez sieťové káble. Clark si na tento moment spomenul, pretože rečník prítomný na jeho konferencii (zamestnanec jednej z popredných telekomunikačných spoločností) bol braný na zodpovednosť za šírenie tohto červa. Tento rečník v zápale emócií neúmyselne povedal: "Tu máš!" Zdá sa, že som túto zraniteľnosť uzavrel,“ doplatil na tieto slová. [5]

Neskôr sa však ukázalo, že zraniteľnosť, cez ktorú sa spomínaný červ šíril, nebola zásluhou žiadneho jednotlivého človeka. A to, prísne vzaté, nebola ani zraniteľnosť, ale základná vlastnosť internetu: zakladatelia internetu sa pri vývoji svojho duchovného dieťaťa zamerali výlučne na rýchlosť prenosu dát a odolnosť voči chybám. Nedali si za úlohu zabezpečiť kybernetickú bezpečnosť. [5]

Dnes, desaťročia po založení internetu – so stovkami miliárd dolárov, ktoré sa už minuli na márne pokusy o kybernetickú bezpečnosť – nie je internet o nič menej zraniteľný. Jeho problémy s kybernetickou bezpečnosťou sa každým rokom len zhoršujú. Máme však právo za to odsúdiť zakladateľov internetu? Nikto predsa nebude odsudzovať staviteľov rýchlostných ciest za to, že na „ich cestách“ sa stávajú nehody; a nikto nebude odsudzovať urbanistov za to, že v „ich mestách“ dochádza k lúpežiam. [5]

Ako sa zrodila hackerská subkultúra

Hackerská subkultúra vznikla začiatkom 1960. rokov 6. storočia v „Klube pre technické modelovanie železníc“ (fungujúcom medzi múrmi Massachusettského technologického inštitútu). Kluboví nadšenci navrhli a zostavili model železnice, taký obrovský, že zaplnil celú miestnosť. Členovia klubu sa spontánne rozdelili do dvoch skupín: mierotvorcovia a systémoví špecialisti. [XNUMX]

Prvý pracoval s nadzemnou časťou modelu, druhý - s podzemím. Prví zbierali a zdobili modely vlakov a miest: v miniatúre vymodelovali celý svet. Ten pracoval na technickej podpore pre toto všetko mierové: zložitosť drôtov, relé a súradnicových spínačov umiestnených v podzemnej časti modelu - všetko, čo ovládalo „nadzemnú“ časť a napájalo ju energiou. [6]

Keď sa vyskytol dopravný problém a niekto prišiel s novým a dômyselným riešením na jeho odstránenie, riešenie sa nazývalo „hack“. Pre členov klubu sa hľadanie nových hackov stalo skutočným zmyslom života. Preto sa začali nazývať „hackeri“. [6]

Prvá generácia hackerov implementovala zručnosti získané v Simulation Railway Club písaním počítačových programov na dierne štítky. Keď potom ARPANET (predchodca internetu) prišiel na univerzitu v roku 1969, hackeri sa stali jeho najaktívnejšími a najkvalifikovanejšími používateľmi. [6]

Teraz, o desaťročia neskôr, sa moderný internet podobá tej „podzemnej“ časti modelovej železnice. Pretože jeho zakladatelia boli tí istí hackeri, študenti „Railroad Simulation Club“. Iba hackeri teraz namiesto simulovaných miniatúr prevádzkujú skutočné mestá. [6]

Ako vzniklo smerovanie BGP

Koncom 80. rokov sa internet v dôsledku lavínovitého nárastu počtu zariadení pripojených na internet priblížil k tvrdým matematickým hraniciam zabudovaným do jedného zo základných internetových protokolov. Akýkoľvek rozhovor medzi vtedajšími inžiniermi sa preto nakoniec zmenil na diskusiu o tomto probléme. Výnimkou neboli ani dvaja priatelia: Jacob Rechter (inžinier z IBM) a Kirk Lockheed (zakladateľ Cisco). Náhodne sa stretli pri jedálenskom stole a začali diskutovať o opatreniach na zachovanie funkčnosti internetu. Priatelia zapisovali nápady, ktoré vznikli na čokoľvek, čo im prišlo pod ruku – na obrúsok zafarbený kečupom. Potom druhý. Potom tretí. „Protokol troch obrúskov“, ako ho žartovne nazvali jeho vynálezcovia – v oficiálnych kruhoch známy ako BGP (Border Gateway Protocol) – čoskoro spôsobil revolúciu na internete. [8]

Pre Rechtera a Lockheeda bol BGP jednoducho neformálny hack, vyvinutý v duchu spomínaného Model Railroad Club, dočasné riešenie, ktoré bude čoskoro nahradené. Kamaráti vyvinuli BGP v roku 1989. Dnes, o 30 rokov neskôr, je však väčšina internetovej prevádzky stále smerovaná pomocou „protokolu troch obrúskov“ – napriek čoraz znepokojivejším výzvam o kritických problémoch s jeho kybernetickou bezpečnosťou. Dočasný hack sa stal jedným zo základných internetových protokolov a jeho vývojári sa z vlastnej skúsenosti naučili, že „neexistuje nič trvalejšie ako dočasné riešenia“. [8]

Siete po celom svete prešli na BGP. Vplyvní predajcovia, bohatí klienti a telekomunikačné spoločnosti si BGP rýchlo obľúbili a zvykli si naň. Preto, aj napriek čoraz viac poplašným zvonom o neistote tohto protokolu, IT verejnosť stále neprejavuje nadšenie z prechodu na nové, bezpečnejšie zariadenia. [8]

Kyberneticky nezabezpečené smerovanie BGP

Prečo je smerovanie BGP také dobré a prečo sa IT komunita neponáhľa, aby ho opustila? BGP pomáha smerovačom pri rozhodovaní o tom, kam smerovať obrovské toky údajov odosielané cez obrovskú sieť pretínajúcich sa komunikačných liniek. BGP pomáha smerovačom vybrať si vhodné cesty, aj keď sa sieť neustále mení a obľúbené trasy často zažívajú dopravné zápchy. Problém je v tom, že internet nemá globálnu mapu smerovania. Smerovače používajúce BGP sa rozhodujú o výbere jednej alebo druhej cesty na základe informácií získaných od susedov v kybernetickom priestore, ktorí zase zbierajú informácie od svojich susedov atď. Tieto informácie však možno ľahko sfalšovať, čo znamená, že smerovanie BGP je vysoko zraniteľné voči útokom MiTM. [8]

Preto sa pravidelne vynárajú otázky, ako napríklad: „Prečo doprava medzi dvoma počítačmi v Denveri viedla obrovskou obchádzkou cez Island?“, „Prečo boli klasifikované údaje Pentagonu prenesené pri tranzite cez Peking?“ Na podobné otázky existujú technické odpovede, ale všetky vychádzajú zo skutočnosti, že BGP funguje na základe dôvery: dôvery v odporúčania prijaté od susedných smerovačov. Vďaka dôveryhodnej povahe protokolu BGP môžu tajomní vládcovia prevádzky prilákať toky údajov iných ľudí do svojej domény, ak si to želajú. [8]

Živým príkladom je čínsky útok BGP na americký Pentagon. V apríli 2010 štátny telekomunikačný gigant China Telecom poslal desaťtisíce smerovačov do celého sveta, vrátane 16 8 v Spojených štátoch, správu BGP, ktorá im povedala, že majú lepšie trasy. Bez systému, ktorý by dokázal overiť platnosť správy BGP od China Telecom, začali smerovače po celom svete posielať dáta cez Peking. Vrátane dopravy z Pentagonu a iných miest ministerstva obrany USA. Ľahkosť, s akou bola prevádzka presmerovaná, a nedostatok účinnej ochrany proti tomuto typu útoku je ďalším znakom neistoty smerovania BGP. [XNUMX]

Protokol BGP je teoreticky zraniteľný voči ešte nebezpečnejšiemu kybernetickému útoku. V prípade, že by v kybernetickom priestore naplno eskalovali medzinárodné konflikty, China Telecom alebo nejaký iný telekomunikačný gigant by sa mohol pokúsiť uplatniť si nárok na vlastníctvo častí internetu, ktoré mu v skutočnosti nepatria. Takýto krok by zmiatol smerovače, ktoré by museli poskakovať medzi konkurenčnými ponukami o rovnaké bloky internetových adries. Bez schopnosti rozlíšiť legitímnu aplikáciu od falošnej by sa routery začali správať nepravidelne. V dôsledku toho by sme boli konfrontovaní s internetovým ekvivalentom jadrovej vojny – otvoreným a rozsiahlym prejavom nepriateľstva. Takýto vývoj v časoch relatívneho pokoja sa zdá byť nereálny, no technicky je celkom uskutočniteľný. [8]

Márny pokus prejsť z BGP na BGPSEC

Kybernetická bezpečnosť nebola pri vývoji BGP braná do úvahy, pretože v tom čase boli hacky zriedkavé a škody spôsobené nimi boli zanedbateľné. Vývojári BGP, pretože pracovali pre telekomunikačné spoločnosti a mali záujem predávať svoje sieťové zariadenia, mali naliehavú úlohu: vyhnúť sa spontánnym výpadkom internetu. Pretože prerušenia internetu by mohli odcudziť používateľov, a tým znížiť predaj sieťových zariadení. [8]

Po incidente s prenosom americkej vojenskej dopravy cez Peking v apríli 2010 sa tempo prác na zabezpečení kybernetickej bezpečnosti smerovania BGP určite zrýchlilo. Dodávatelia telekomunikácií však neprejavili veľké nadšenie pre znášanie nákladov spojených s migráciou na nový bezpečný smerovací protokol BGPSEC, ktorý je navrhnutý ako náhrada za nezabezpečený BGP. Predajcovia stále považujú BGP za celkom prijateľné, a to aj napriek nespočetným prípadom zachytenia premávky. [8]

Radia Perlman, prezývaná „Matka internetu“ za vynájdenie ďalšieho hlavného sieťového protokolu v roku 1988 (rok pred BGP), získala prorocký doktorát na MIT. Perlman predpovedal, že smerovací protokol, ktorý závisí od čestnosti susedov v kybernetickom priestore, je zásadne neistý. Perlman obhajoval používanie kryptografie, ktorá by pomohla obmedziť možnosť falšovania. Implementácia BGP však už bola v plnom prúde, vplyvná IT komunita bola na to zvyknutá a nechcela nič meniť. Preto po odôvodnených varovaniach od Perlmana, Clarka a niektorých ďalších významných svetových odborníkov sa relatívny podiel kryptograficky bezpečného smerovania BGP vôbec nezvýšil a je stále 0 %. [8]

Smerovanie BGP nie je jediným hackom

A smerovanie BGP nie je jediným hackom, ktorý potvrdzuje myšlienku, že „nič nie je trvalejšie ako dočasné riešenia“. Niekedy sa internet, ktorý nás ponorí do fantasy svetov, zdá byť elegantný ako pretekárske auto. V skutočnosti je však internet vďaka hackom nahromadeným jeden na druhom skôr ako Frankenstein ako Ferrari. Pretože tieto hacky (oficiálnejšie nazývané patche) nie sú nikdy nahradené spoľahlivou technológiou. Dôsledky tohto prístupu sú hrozné: počítačoví zločinci sa denne a každú hodinu nabúravajú do zraniteľných systémov, čím sa rozsah počítačovej kriminality rozširuje do predtým nepredstaviteľných rozmerov. [8]

Mnohé z nedostatkov využívaných kybernetickými zločincami sú známe už dlho a zachovali sa len vďaka tendencii IT komunity riešiť vznikajúce problémy – dočasnými hackmi/záplatami. Niekedy sa preto zastarané technológie hromadia jedna na druhej na dlhú dobu, čo sťažuje ľuďom život a vystavuje ich nebezpečenstvu. Čo by ste si pomysleli, keby ste sa dozvedeli, že vaša banka stavia svoj trezor na základoch zo slamy a blata? Verili by ste mu, že si nechá vaše úspory? [8]

Bezstarostný prístup Linusa Torvaldsa

Trvalo roky, kým internet dosiahol svojich prvých sto počítačov. Dnes je k nemu každú sekundu pripojených 100 nových počítačov a iných zariadení. S explodovaním zariadení pripojených na internet rastie aj naliehavosť problémov s kybernetickou bezpečnosťou. Najväčší vplyv na riešenie týchto problémov však môže mať ten, kto sa na kybernetickú bezpečnosť pozerá s dešpektom. Tento muž bol nazývaný géniom, tyranom, duchovným vodcom a dobromyseľným diktátorom. Linus Torvalds. Prevažná väčšina zariadení pripojených na internet používa operačný systém Linux. Rýchly, flexibilný, bezplatný – Linux sa postupom času stáva čoraz obľúbenejším. Zároveň sa chová veľmi stabilne. A môže fungovať bez reštartu po mnoho rokov. To je dôvod, prečo má Linux tú česť byť dominantným operačným systémom. Takmer všetko počítačové vybavenie, ktoré máme dnes k dispozícii, používa Linux: servery, lekárske vybavenie, letecké počítače, malé drony, vojenské lietadlá a mnoho ďalšieho. [9]

Linux je úspešný najmä preto, že Torvalds kladie dôraz na výkon a odolnosť voči chybám. Tento dôraz však kladie na úkor kybernetickej bezpečnosti. Aj keď sa kyberpriestor a skutočný fyzický svet prelínajú a kybernetická bezpečnosť sa stáva globálnym problémom, Torvalds naďalej odoláva zavádzaniu bezpečných inovácií do svojho operačného systému. [9]

Preto aj medzi mnohými fanúšikmi Linuxu narastajú obavy zo zraniteľnosti tohto operačného systému. Najmä najintímnejšia časť Linuxu, jeho jadro, na ktorom Torvalds osobne pracuje. Fanúšikovia Linuxu vidia, že Torvalds neberie problémy kybernetickej bezpečnosti vážne. Torvalds sa navyše obklopil vývojármi, ktorí zdieľajú tento bezstarostný postoj. Ak niekto z Torvaldsovho vnútorného kruhu začne hovoriť o zavádzaní bezpečných inovácií, je okamžite prekliaty. Torvalds zamietol jednu skupinu takýchto inovátorov a nazval ich „masturbujúce opice“. Keď sa Torvalds lúčil s ďalšou skupinou vývojárov, ktorí si uvedomovali bezpečnosť, povedal im: „Boli by ste taký láskavý a zabil sa. Svet by bol vďaka tomu lepším miestom.“ Kedykoľvek došlo k pridávaniu bezpečnostných prvkov, Torvalds bol vždy proti. [9] Torvalds má v tomto smere dokonca celú filozofiu, ktorá nie je bez zrnka zdravého rozumu:

„Absolútna bezpečnosť je nedosiahnuteľná. Preto ho treba vždy posudzovať len vo vzťahu k ostatným prioritám: rýchlosť, flexibilita a jednoduchosť použitia. Ľudia, ktorí sa venujú výlučne poskytovaniu ochrany, sú blázni. Ich myslenie je obmedzené, čiernobiele. Bezpečnosť sama o sebe je zbytočná. Podstata je vždy niekde inde. Absolútnu bezpečnosť teda nezabezpečíte, aj keby ste veľmi chceli. Samozrejme, sú ľudia, ktorí dbajú na bezpečnosť viac ako Torvaldovci. Títo chlapci však jednoducho pracujú na tom, čo ich zaujíma, a poskytujú bezpečnosť v úzkom relatívnom rámci, ktorý tieto záujmy vymedzuje. Nikdy viac. V žiadnom prípade teda neprispievajú k zvýšeniu absolútnej bezpečnosti.“ [9]

Bočný panel: OpenSource je ako sud s prachom [10]

Kód OpenSource ušetril miliardy nákladov na vývoj softvéru, čím sa eliminovala potreba duplicitného úsilia: s OpenSource majú programátori možnosť využívať aktuálne inovácie bez obmedzení a platieb. OpenSource sa používa všade. Aj keď ste si najali vývojára softvéru, aby vyriešil váš špecializovaný problém od začiatku, tento vývojár s najväčšou pravdepodobnosťou použije nejaký druh knižnice OpenSource. A pravdepodobne viac ako jeden. Prvky OpenSource sú teda prítomné takmer všade. Zároveň je potrebné pochopiť, že žiadny softvér nie je statický, jeho kód sa neustále mení. Preto princíp „nastav a zabudni“ pre kód nikdy nefunguje. Vrátane kódu OpenSource: skôr či neskôr bude potrebná aktualizovaná verzia.

V roku 2016 sme videli dôsledky tohto stavu: 28-ročný vývojár nakrátko „rozbil“ internet vymazaním svojho OpenSource kódu, ktorý predtým verejne sprístupnil. Tento príbeh poukazuje na to, že naša kybernetická infraštruktúra je veľmi krehká. Niektorí ľudia – ktorí podporujú projekty OpenSource – sú takí dôležití pre jeho udržanie, že ak ich, nedajbože, zrazí autobus, internet sa rozbije.

Ťažko udržiavateľný kód je miestom, kde číhajú najzávažnejšie slabé miesta v oblasti kybernetickej bezpečnosti. Niektoré spoločnosti si ani neuvedomujú, aké zraniteľné sú kvôli ťažko udržiavateľnému kódu. Zraniteľnosti spojené s takýmto kódom môžu dozrieť na skutočný problém veľmi pomaly: systémy pomaly hnijú bez toho, aby sa v procese hniloby prejavili viditeľné zlyhania. A keď zlyhajú, následky sú fatálne.

Napokon, keďže OpenSource projekty zvyčajne vyvíja komunita nadšencov, ako Linus Torvalds alebo ako hackeri z Model Railroad Club spomínaní na začiatku článku, problémy s ťažko udržiavateľným kódom nemožno vyriešiť tradičnými spôsobmi (pomocou komerčné a vládne páky). Pretože členovia takýchto komunít sú svojvoľní a nadovšetko si cenia svoju nezávislosť.

Bočný panel: Možno nás budú chrániť spravodajské služby a vývojári antivírusov?

V roku 2013 sa zistilo, že spoločnosť Kaspersky Lab mala špeciálnu jednotku, ktorá vykonávala vlastné vyšetrovanie incidentov v oblasti bezpečnosti informácií. Toto oddelenie donedávna viedol bývalý policajný major Ruslan Stoyanov, ktorý predtým pracoval na oddelení „K“ hlavného mesta (USTM hlavného riaditeľstva pre vnútorné záležitosti v Moskve). Všetci zamestnanci tejto špeciálnej jednotky Kaspersky Lab pochádzajú z orgánov činných v trestnom konaní, vrátane vyšetrovacieho výboru a riaditeľstva „K“. [jedenásť]

Koncom roka 2016 FSB zatkla Ruslana Stoyanova a obvinila ho z vlastizrady. V tom istom prípade bol zatknutý Sergej Michajlov, vysoký predstaviteľ FSB CIB (centrum informačnej bezpečnosti), na ktorého bola pred zatknutím viazaná celá kybernetická bezpečnosť krajiny. [jedenásť]

Bočný panel: Vynútená kybernetická bezpečnosť

Čoskoro budú ruskí podnikatelia nútení venovať kybernetickej bezpečnosti vážnu pozornosť. V januári 2017 Nikolaj Murašov, zástupca Centra pre ochranu informácií a špeciálne komunikácie, uviedol, že len v Rusku boli objekty CII (kritická informačná infraštruktúra) v roku 2016 napadnuté viac ako 70 miliónov krát. Objekty CII zahŕňajú informačné systémy vládnych agentúr, podnikov obranného priemyslu, dopravy, úverových a finančných sektorov, energetiky, palivového a jadrového priemyslu. Na ich ochranu podpísal ruský prezident Vladimir Putin 26. júla balík zákonov „O bezpečnosti CII“. Do 1. januára 2018, keď zákon nadobudne účinnosť, musia vlastníci zariadení CII zaviesť súbor opatrení na ochranu svojej infraštruktúry pred útokmi hackerov, najmä sa pripojiť k GosSOPKA. [12]

Bibliografia

1. Jonathan Millet. IoT: Dôležitosť zabezpečenia vašich inteligentných zariadení // 2017.
2. Ross Anderson. Ako zlyhávajú platobné systémy smartcard // Black Hat. 2014.
3. SJ Murdoch. Chip and PIN is Broken // Zborník sympózia IEEE o bezpečnosti a súkromí. 2010. s. 433-446.
4. David Talbot. Počítačové vírusy sa „množia“ na zdravotníckych pomôckach v nemocniciach // MIT Technology Review (digital). 2012.
5. Craig Timberg. Sieť neistoty: tok v dizajne // The Washington Post. 2015.
6. Michael Lista. Bol to hacker v tínedžerskom veku, ktorý míňal svoje milióny na autá, oblečenie a hodinky – kým to nezachytila ​​FBI // Život v Toronte. 2018.
7. Craig Timberg. Sieť neistoty: Predpovedaná katastrofa – a ignorovaná // The Washington Post. 2015.
8. Craig Timberg. Dlhá životnosť rýchlej „opravy“: internetový protokol z roku 1989 ponecháva údaje zraniteľné voči únoscom // The Washington Post. 2015.
9. Craig Timberg. Net of Insecurity: Jadro argumentu // The Washington Post. 2015.
10. Joshua Gans. Mohol by open-source kód konečne naplniť naše obavy z Y2K? // Harvard Business Review (digitálne). 2017.
11. Vrchný manažér Kaspersky zatknutý FSB // CNews. 2017. URL.
12. Mária Kolomyčenková. Kybernetická spravodajská služba: Sberbank navrhla vytvorenie ústredia na boj proti hackerom // RBC. 2017.

Zdroj: hab.com