Ko se izkaže, da so »črnoklobučarji« – skrbniki divjega gozda kibernetskega prostora – še posebej uspešni pri svojem umazanem delu, rumeni mediji zacvilijo od navdušenja. Posledično svet začenja na kibernetsko varnost gledati resneje. A žal ne takoj. Zato kljub naraščajočemu številu katastrofalnih kibernetskih incidentov svet še ni zrel za aktivne proaktivne ukrepe. Pričakuje pa se, da bo v bližnji prihodnosti, zahvaljujoč »črnim klobukom«, svet začel kibernetsko varnost jemati resno. [7]

Enako resno kot požari ... Mesta so bila nekoč zelo ranljiva za katastrofalne požare. A kljub potencialni nevarnosti proaktivni zaščitni ukrepi niso bili sprejeti – tudi po velikanskem požaru v Chicagu leta 1871, ki je terjal na stotine življenj in razselil na stotisoče ljudi. Proaktivni zaščitni ukrepi so bili sprejeti šele, ko se je podobna katastrofa ponovila tri leta pozneje. Enako je s kibernetsko varnostjo – svet ne bo rešil tega problema, razen če pride do katastrofalnih incidentov. Toda tudi če pride do takšnih incidentov, svet tega problema ne bo rešil takoj. [7] Zato tudi rek: Dokler se ne pojavi hrošč, človek ne bo pokrpan, ne drži povsem. Zato smo leta 2018 praznovali 30 let divjanja negotovosti.

Lirična digresija

Začetek tega članka, ki sem ga prvotno napisal za revijo System Administrator, se je v nekem smislu izkazal za preroškega. Številka revije s tem člankom šla ven dobesedno dan za dnem s tragičnim požarom v nakupovalnem središču Kemerovo "Zimska češnja" (2018, 20. marec).

Namestite internet v 30 minutah

Že leta 1988 je legendarna hekerska galaksija L0pht, ki je v polnem nastopu pred srečanjem najvplivnejših zahodnih uradnikov izjavila: »Vaša računalniška oprema je ranljiva za kibernetske napade iz interneta. In programska oprema, strojna oprema in telekomunikacije. Njihovih prodajalcev takšno stanje sploh ne skrbi. Ker sodobna zakonodaja ne predvideva nikakršne odgovornosti za malomaren pristop k zagotavljanju kibernetske varnosti izdelane programske in strojne opreme. Odgovornost za morebitne okvare (bodisi spontane ali povzročene s posredovanjem kibernetskih kriminalcev) je izključno na strani uporabnika opreme. Kar zadeva zvezno vlado, ta nima niti sposobnosti niti želje, da bi rešila ta problem. Če torej iščete kibernetsko varnost, potem internet ni kraj, kjer bi jo našli. Vsak od sedmih ljudi, ki sedijo pred vami, lahko popolnoma zlomi internet in s tem prevzame popoln nadzor nad opremo, ki je z njim povezana. Sam od sebe. 30 minut koreografiranih pritiskov na tipke in končano.« [7]

Uradniki so pomenljivo prikimali, s čimer so dali jasno vedeti, da razumejo resnost situacije, vendar niso storili ničesar. Danes, natanko 30 let po L0phtovem legendarnem nastopu, svet še vedno pesti "podivjana negotovost". Vdiranje v računalniško in z internetom povezano opremo je tako enostavno, da so internet, sprva kraljestvo idealističnih znanstvenikov in navdušencev, postopoma zasedli najbolj pragmatični strokovnjaki: prevaranti, goljufi, vohuni, teroristi. Vsi izkoriščajo ranljivosti računalniške opreme za finančne ali druge koristi. [7]

Prodajalci zanemarjajo kibernetsko varnost

Ponudniki včasih seveda poskušajo odpraviti nekatere ugotovljene ranljivosti, vendar to počnejo zelo neradi. Ker njihov dobiček ne izhaja iz zaščite pred hekerji, ampak iz nove funkcionalnosti, ki jo zagotavljajo potrošnikom. Ker so osredotočeni zgolj na kratkoročne dobičke, prodajalci denar vlagajo le v reševanje resničnih problemov, ne hipotetičnih. Kibernetska varnost je v očeh mnogih od njih hipotetična stvar. [7]

Kibernetska varnost je nevidna, neotipljiva stvar. Oprijemljiva postane šele, ko se z njo pojavijo težave. Če so zanj dobro poskrbeli (za njegovo pripravo so porabili veliko denarja) in z njim ni težav, ga končni potrošnik ne bo želel preplačati. Poleg tega uvedba zaščitnih ukrepov poleg povečanja finančnih stroškov zahteva dodaten razvojni čas, zahteva omejitev zmogljivosti opreme in vodi do zmanjšanja njene produktivnosti. [8]

O izvedljivosti naštetih stroškov je težko prepričati celo lastne tržnike, kaj šele končne potrošnike. In ker sodobne prodajalce zanimajo le kratkoročni dobički od prodaje, sploh niso nagnjeni k prevzemanju odgovornosti za zagotavljanje kibernetske varnosti svojih stvaritev. [1] Po drugi strani pa se previdnejši ponudniki, ki so poskrbeli za kibernetsko varnost svoje opreme, soočajo z dejstvom, da imajo poslovni potrošniki raje cenejše in enostavnejše alternative. to. Očitno je, da tudi korporativni potrošniki ne skrbijo veliko za kibernetsko varnost. [8]

Glede na zgoraj navedeno ni presenetljivo, da prodajalci običajno zanemarjajo kibernetsko varnost in se držijo naslednje filozofije: »Nadaljujte z gradnjo, nadaljujte s prodajo in popravite, ko je potrebno. Se je sistem zrušil? Izgubljene informacije? Ukradena zbirka podatkov s številkami kreditnih kartic? Ali so v vaši opremi odkrite usodne ranljivosti? Ni problema!" Potrošniki pa morajo slediti načelu: »Krpaj in moli«. [7]

Kako se to zgodi: primeri iz narave

Osupljiv primer zanemarjanja kibernetske varnosti med razvojem je Microsoftov korporativni program spodbud: »Če zamudite roke, boste kaznovani. Če nimate časa, da bi pravočasno oddali izdajo svoje inovacije, ta ne bo implementirana. Če se ne izvede, ne boste prejeli delnic podjetja (kos pogače od Microsoftovega dobička).« Od leta 1993 je Microsoft začel aktivno povezovati svoje izdelke z internetom. Ker je ta pobuda delovala v skladu z istim motivacijskim programom, se je funkcionalnost širila hitreje, kot ji je obramba lahko sledila. Na veselje pragmatičnih lovcev na ranljivost ... [7]

Drug primer je situacija z računalniki in prenosniki: nimajo vnaprej nameščenega protivirusnega programa; prav tako ne zagotavljajo prednastavitve močnih gesel. Predpostavlja se, da bo končni uporabnik namestil protivirusni program in nastavil varnostne konfiguracijske parametre. [1]

Drug, bolj ekstremen primer: situacija s kibernetsko varnostjo maloprodajne opreme (blagajne, PoS terminali za nakupovalne centre itd.). Tako se je zgodilo, da prodajalci trgovske opreme prodajajo samo tisto, kar se prodaja, in ne tistega, kar je varno. [2] Če obstaja ena stvar, ki jo prodajalci komercialne opreme skrbijo v smislu kibernetske varnosti, je to zagotavljanje, da če pride do spornega incidenta, odgovornost prevzamejo drugi. [3]

Indikativni primer tega razvoja dogodkov: popularizacija standarda EMV za bančne kartice, ki se zaradi kompetentnega dela bančnih tržnikov v očeh tehnično nedovršene javnosti kaže kot varnejša alternativa »zastarelim« magnetne kartice. Hkrati je bila glavna motivacija bančne industrije, ki je bila odgovorna za razvoj standarda EMV, prenos odgovornosti za goljufive incidente (ki se zgodijo po krivdi kartičarjev) – s trgovin na potrošnike. Medtem ko so prej (ko so bila plačila opravljena z magnetnimi karticami) finančno odgovorne trgovine za neskladja v bremenitvi/kreditu. [3] Tako banke, ki procesirajo plačila, prelagajo odgovornost bodisi na trgovce (ki uporabljajo svoje sisteme za oddaljeno bančništvo) bodisi na banke, ki izdajajo plačilne kartice; zadnja dva pa prelagata odgovornost na imetnika kartice. [2]

Prodajalci ovirajo kibernetsko varnost

Ker se površina digitalnih napadov nezadržno širi – zahvaljujoč eksploziji naprav, povezanih z internetom – postaja spremljanje, kaj je povezano z omrežjem podjetja, vse težje. Obenem pa prodajalci skrbi glede varnosti vse opreme, povezane z internetom, prelagajo na končnega uporabnika [1]: »Reševanje utapljajočih se dela utapljajočih se samih.«

Ne samo, da prodajalci ne skrbijo za kibernetsko varnost svojih stvaritev, ampak v nekaterih primerih tudi posegajo v njeno zagotavljanje. Ko je na primer leta 2009 omrežni črv Conficker pricurljal v medicinski center Beth Israel in okužil del tamkajšnje medicinske opreme, se je tehnični direktor tega zdravstvenega centra, da bi preprečil podobne incidente v prihodnje, odločil onemogočiti funkcija podpore delovanju opreme, ki jo je prizadel črv z omrežjem. Soočil pa se je z dejstvom, da "opreme ni bilo mogoče posodobiti zaradi zakonskih omejitev." Potreboval je precej truda, da se je s prodajalcem dogovoril za onemogočanje omrežnih funkcij. [4]

Temeljna kibernetska nevarnost interneta

David Clarke, legendarni profesor MIT, katerega genialnost mu je prinesla vzdevek "Albus Dumbledore", se spominja dneva, ko je bila svetu razkrita temna stran interneta. Clark je predsedoval telekomunikacijski konferenci novembra 1988, ko je odjeknila novica, da je prvi računalniški črv v zgodovini zdrsnil skozi omrežne žice. Clark si je zapomnil ta trenutek, ker je bil govornik, prisoten na njegovi konferenci (zaposleni v enem od vodilnih telekomunikacijskih podjetij), odgovoren za širjenje tega črva. Ta govornik je v vročini čustev nehote rekel: "Izvolite!" Zdi se, da sem zaprl to ranljivost,« je plačal za te besede. [5]

Kasneje pa se je izkazalo, da ranljivost, prek katere se je omenjeni črv razširil, ni bila zasluga katere koli posamezne osebe. In to, strogo gledano, niti ni bila ranljivost, ampak temeljna značilnost interneta: ustanovitelji interneta so se pri razvoju svoje zamisli osredotočili izključno na hitrost prenosa podatkov in odpornost na napake. Niso si zadali naloge zagotavljanja kibernetske varnosti. [5]

Danes, desetletja po ustanovitvi interneta – ko je že na stotine milijard dolarjev porabljenih za jalove poskuse kibernetske varnosti – internet ni nič manj ranljiv. Njegove težave s kibernetsko varnostjo so vsako leto samo hujše. Vendar, ali imamo pravico zaradi tega obsojati ustanovitelje interneta? Konec koncev, na primer, nihče ne bo obsojal graditeljev hitrih cest, ker se nesreče dogajajo na "njihovih cestah"; in nihče ne bo obsojal urbanistov zaradi dejstva, da se ropi dogajajo v "njihovih mestih". [5]

Kako se je rodila hekerska subkultura

Hekerska subkultura je nastala v zgodnjih šestdesetih letih prejšnjega stoletja v "Railway Technical Modeling Clubu" (deluje v stenah Massachusetts Institute of Technology). Klubski navdušenci so zasnovali in sestavili maketo železnice, tako ogromno, da je zapolnila celotno sobo. Člani kluba so se spontano razdelili v dve skupini: mirovnike in sistemske specialiste. [1960]

Prvi je delal z nadzemnim delom modela, drugi - s podzemnim. Prvi so zbirali in krasili makete vlakov in mest: v malem so modelirali ves svet. Slednji je delal na tehnični podpori vsega tega miroljubja: zapletenost žic, relejev in koordinatnih stikal, ki se nahajajo v podzemnem delu modela - vse, kar je nadzorovalo "nadzemni" del in ga napajalo z energijo. [6]

Ko je prišlo do prometne težave in se je nekdo domislil nove in domiselne rešitve, da bi jo rešil, se je rešitev imenovala "kramp". Za člane kluba je iskanje novih hekov postalo bistveni smisel življenja. Zato so se začeli imenovati "hekerji". [6]

Prva generacija hekerjev je znanje, pridobljeno v Železničarskem klubu Simulation, implementirala v pisanje računalniških programov na luknjane kartice. Potem, ko je ARPANET (predhodnik interneta) leta 1969 prišel v kampus, so hekerji postali njegovi najbolj aktivni in spretni uporabniki. [6]

Zdaj, desetletja pozneje, je sodobni internet podoben tistemu »podzemnemu« delu makete železnice. Ker so bili njeni ustanovitelji ti isti hekerji, učenci »Railroad Simulation Cluba«. Samo hekerji zdaj upravljajo s pravimi mesti namesto simuliranih miniatur. [6]

Kako je nastalo usmerjanje BGP

Proti koncu 80. let se je zaradi plazovitega naraščanja števila naprav, povezanih v internet, internet približal trdi matematični meji, ki je vgrajena v enega od osnovnih internetnih protokolov. Zato se je vsak pogovor med takratnimi inženirji sčasoma spremenil v razpravo o tem problemu. Dva prijatelja nista bila izjema: Jacob Rechter (inženir iz IBM-a) in Kirk Lockheed (ustanovitelj Cisca). Ko sta se naključno srečala za večerjo, sta začela razpravljati o ukrepih za ohranitev funkcionalnosti interneta. Prijatelji so ideje, ki so se porodile, zapisovali na vse, kar jim je prišlo pod roko – s kečapom umazan prtiček. Potem drugi. Potem tretji. »Protokol treh prtičkov«, kot so ga v šali poimenovali njegovi izumitelji – v uradnih krogih znan kot BGP (Border Gateway Protocol) – je kmalu revolucioniral internet. [8]

Za Rechterja in Lockheed je bil BGP le priložnostni vdor, razvit v duhu prej omenjenega Kluba modelov železnic, začasna rešitev, ki bo kmalu zamenjana. Prijatelja sta razvila BGP leta 1989. Danes, 30 let pozneje, pa je večina internetnega prometa še vedno usmerjena z uporabo »protokola treh prtičkov« – kljub vse bolj zaskrbljujočim klicem o kritičnih težavah s kibernetsko varnostjo. Začasni vdor je postal eden od osnovnih internetnih protokolov, njegovi razvijalci pa so se iz lastnih izkušenj naučili, da »ni trajnejšega od začasnih rešitev«. [8]

Omrežja po vsem svetu so prešla na BGP. Vplivni prodajalci, premožne stranke in telekomunikacijska podjetja so BGP hitro vzljubili in se nanj navadili. Zato tudi kljub vse pogostejšim alarmom o nevarnosti tega protokola informacijska javnost še vedno ne kaže navdušenja nad prehodom na novo, varnejšo opremo. [8]

Kibernetsko nezaščiteno usmerjanje BGP

Zakaj je usmerjanje BGP tako dobro in zakaj se ga skupnost IT ne mudi opustiti? BGP usmerjevalnikom pomaga pri odločanju o tem, kam usmeriti ogromne tokove podatkov, poslanih po ogromnem omrežju sekajočih se komunikacijskih linij. BGP usmerjevalnikom pomaga pri izbiri ustreznih poti, čeprav se omrežje nenehno spreminja in priljubljene poti pogosto naletijo na prometne zastoje. Težava je v tem, da internet nima globalnega zemljevida usmerjanja. Usmerjevalniki, ki uporabljajo BGP, se odločajo o izbiri ene ali druge poti na podlagi informacij, ki jih prejmejo od sosedov v kibernetskem prostoru, ti pa zbirajo informacije od svojih sosedov itd. Vendar je te informacije mogoče zlahka ponarediti, kar pomeni, da je usmerjanje BGP zelo ranljivo za napade MiTM. [8]

Zato se redno pojavljajo vprašanja, kot so naslednja: "Zakaj je promet med dvema računalnikoma v Denverju ubral velikanski ovinek skozi Islandijo?", "Zakaj so bili zaupni podatki Pentagona nekoč preneseni v tranzitu skozi Peking?" Obstajajo tehnični odgovori na takšna vprašanja, vendar se vsi spuščajo v dejstvo, da BGP deluje na podlagi zaupanja: zaupanja v priporočila, prejeta od sosednjih usmerjevalnikov. Zahvaljujoč zaupljivi naravi protokola BGP lahko skrivnostni gospodarji prometa zvabijo tokove podatkov drugih ljudi v svojo domeno, če želijo. [8]

Živ primer je kitajski BGP napad na ameriški Pentagon. Aprila 2010 je državni telekomunikacijski velikan China Telecom poslal več deset tisoč usmerjevalnikov po vsem svetu, vključno s 16 v Združenih državah, s sporočilom BGP, ki jim je povedal, da imajo boljše poti. Brez sistema, ki bi lahko preveril veljavnost sporočila BGP podjetja China Telecom, so usmerjevalniki po vsem svetu začeli pošiljati podatke v tranzitu skozi Peking. Vključno s prometom iz Pentagona in drugih mest Ministrstva za obrambo ZDA. Enostavnost, s katero je bil promet preusmerjen, in pomanjkanje učinkovite zaščite pred to vrsto napadov je še en znak negotovosti usmerjanja BGP. [8]

Protokol BGP je teoretično ranljiv za še bolj nevaren kibernetski napad. V primeru, da bi mednarodni konflikti v kibernetskem prostoru eskalirali s polno močjo, bi lahko China Telecom ali kakšen drug telekomunikacijski velikan poskušal zahtevati lastništvo nad deli interneta, ki mu dejansko ne pripadajo. Takšna poteza bi zmedla usmerjevalnike, ki bi morali preskočiti med konkurenčnimi ponudbami za iste bloke internetnih naslovov. Brez zmožnosti razlikovanja zakonite aplikacije od lažne bi usmerjevalniki začeli delovati nepravilno. Posledično bi se soočili z internetnim ekvivalentom jedrske vojne – odprtim, obsežnim prikazom sovražnosti. Takšen razvoj v času relativnega miru se zdi nerealen, vendar je tehnično povsem izvedljiv. [8]

Jalov poskus prehoda z BGP na BGPSEC

Pri razvoju BGP kibernetska varnost ni bila upoštevana, saj so bili takrat vdori redki in škoda zaradi njih zanemarljiva. Razvijalci BGP so imeli, ker so delali za telekomunikacijska podjetja in jih je zanimala prodaja njihove omrežne opreme, bolj perečo nalogo: preprečiti spontane izpade interneta. Kajti motnje v internetu bi lahko odtujile uporabnike in s tem zmanjšale prodajo omrežne opreme. [8]

Po incidentu s prenosom ameriškega vojaškega prometa skozi Peking aprila 2010 se je tempo dela za zagotavljanje kibernetske varnosti usmerjanja BGP vsekakor pospešil. Vendar pa so prodajalci telekomunikacij pokazali malo navdušenja nad kritjem stroškov, povezanih s prehodom na novi protokol varnega usmerjanja BGPSEC, ki je bil predlagan kot zamenjava za nevarni BGP. Prodajalci še vedno menijo, da je BGP povsem sprejemljiv, kljub neštetim primerom prestrezanja prometa. [8]

Radia Perlman, ki so jo poimenovali »mati interneta«, ker je leta 1988 izumila še en večji omrežni protokol (leto pred BGP), je na MIT pridobila preroško doktorsko disertacijo. Perlman je napovedal, da je usmerjevalni protokol, ki je odvisen od poštenosti sosedov v kibernetskem prostoru, v osnovi nevaren. Perlman je zagovarjal uporabo kriptografije, ki bi pomagala omejiti možnost ponarejanja. A implementacija BGP je bila že v polnem teku, vplivna IT skupnost je bila tega vajena in ni želela ničesar spremeniti. Zato se po argumentiranih opozorilih Perlmana, Clarka in nekaterih drugih uglednih svetovnih strokovnjakov relativni delež kriptografsko varnega usmerjanja BGP ni prav nič povečal in je še vedno 0 %. [8]

Usmerjanje BGP ni edini vdor

In usmerjanje BGP ni edini vdor, ki potrjuje idejo, da "nič ni bolj trajno kot začasne rešitve." Včasih se internet, ki nas potopi v domišljijske svetove, zdi eleganten kot dirkalni avtomobil. Vendar je v resnici internet zaradi vdorov, ki se nalagajo drug na drugega, bolj podoben Frankensteinu kot Ferrariju. Ker teh vdorov (bolj uradno imenovanih popravki) nikoli ne nadomesti zanesljiva tehnologija. Posledice tega pristopa so strašne: dnevno in vsako uro kibernetski kriminalci vdrejo v ranljive sisteme, s čimer razširijo obseg kibernetske kriminalitete do prej nepredstavljivih razsežnosti. [8]

Številne napake, ki jih izkoriščajo kiberkriminalci, so znane že dolgo in so se ohranile izključno zaradi težnje IT skupnosti, da nastajajoče težave rešuje – z začasnimi vdori/popravi. Včasih se zaradi tega zastarele tehnologije dolgo kopičijo druga na drugi in ljudem otežujejo življenja in jih spravljajo v nevarnost. Kaj bi si mislili, če bi izvedeli, da vaša banka gradi svoj trezor na temelju iz slame in blata? Bi mu zaupali, da bo obdržal vaše prihranke? [8]

Brezskrben odnos Linusa Torvaldsa

Trajala so leta, preden je internet dosegel prvih sto računalnikov. Danes je vsako sekundo nanj priključenih 100 novih računalnikov in drugih naprav. Ko naprave, povezane z internetom, eksplodirajo, narašča tudi nujnost vprašanj kibernetske varnosti. Največji vpliv na reševanje teh problemov pa bi lahko imel tisti, ki na kibernetsko varnost gleda s prezirom. Tega človeka so imenovali genij, nasilnež, duhovni vodja in dobrohotni diktator. Linus Torvalds. Velika večina naprav, povezanih z internetom, poganja njegov operacijski sistem Linux. Hiter, prilagodljiv, brezplačen - Linux sčasoma postaja vse bolj priljubljen. Hkrati se obnaša zelo stabilno. In lahko deluje brez ponovnega zagona več let. Zato ima Linux čast prevladujočega operacijskega sistema. Skoraj vsa računalniška oprema, ki nam je danes na voljo, poganja Linux: strežniki, medicinska oprema, letalski računalniki, majhni brezpilotni letali, vojaška letala in še veliko več. [9]

Linux je uspešen predvsem zato, ker Torvalds poudarja zmogljivost in toleranco na napake. Vendar ta poudarek daje na račun kibernetske varnosti. Čeprav se kibernetski prostor in realni fizični svet prepletata in kibernetska varnost postaja globalno vprašanje, se Torvalds še naprej upira uvajanju varnih inovacij v svoj operacijski sistem. [9]

Zato tudi med številnimi oboževalci Linuxa narašča zaskrbljenost zaradi ranljivosti tega operacijskega sistema. Predvsem najbolj intimni del Linuxa, njegovo jedro, na katerem Torvalds dela osebno. Ljubitelji Linuxa vidijo, da Torvalds vprašanj kibernetske varnosti ne jemlje resno. Poleg tega se je Torvalds obdal z razvijalci, ki delijo ta brezskrbni odnos. Če nekdo iz Torvaldsovega ožjega kroga začne govoriti o uvajanju varnih novosti, je takoj anatemiziran. Torvalds je zavrnil eno skupino takšnih inovatorjev in jih poimenoval »masturbirajoče opice«. Ko se je Torvalds poslavljal od druge skupine razvijalcev, ki se zavedajo varnosti, jim je rekel: »Ali bi bili tako prijazni, da bi se ubili. Zaradi tega bi bil svet boljši.” Kadarkoli je šlo za dodajanje varnostnih funkcij, je bil Torvalds vedno proti. [9] Torvalds ima v zvezi s tem celo celo filozofijo, ki ni brez zrna zdrave pameti:

»Absolutna varnost je nedosegljiva. Zato ga je treba vedno obravnavati le v povezavi z drugimi prioritetami: hitrostjo, prilagodljivostjo in enostavnostjo uporabe. Ljudje, ki se popolnoma posvetijo zagotavljanju zaščite, so nori. Njihovo razmišljanje je omejeno, črno-belo. Varnost sama po sebi je neuporabna. Bistvo je vedno nekje drugje. Absolutne varnosti torej ne morete zagotoviti, tudi če bi si to zelo želeli. Seveda so ljudje, ki varnosti posvečajo več pozornosti kot Torvalds. Vendar ti fantje preprosto delajo na tem, kar jih zanima, in zagotavljajo varnost znotraj ozkega relativnega okvira, ki razmejuje te interese. Nič več. Torej nikakor ne prispevajo k povečanju absolutne varnosti.« [9]

Stranska vrstica: OpenSource je kot sod smodnika [10]

Odprtokodna koda je prihranila milijarde pri stroških razvoja programske opreme in odpravila potrebo po podvojenih prizadevanjih: z odprtokodno kodo imajo programerji možnost uporabe trenutnih inovacij brez omejitev ali plačil. OpenSource se uporablja povsod. Tudi če ste najeli razvijalca programske opreme, da reši vašo specializirano težavo iz nič, bo ta razvijalec najverjetneje uporabil nekakšno knjižnico OpenSource. In verjetno več kot enega. Tako so elementi OpenSource prisotni skoraj povsod. Hkrati je treba razumeti, da nobena programska oprema ni statična, njena koda se nenehno spreminja. Zato načelo »nastavi in ​​pozabi« nikoli ne deluje za kodo. Vključno z odprtokodno kodo: prej ali slej bo potrebna posodobljena različica.

Leta 2016 smo videli posledice takšnega stanja: 28-letni razvijalec je za kratek čas »razbil« internet tako, da je izbrisal svojo OpenSource kodo, ki jo je pred tem javno objavil. Ta zgodba poudarja, da je naša kibernetska infrastruktura zelo krhka. Nekateri ljudje – ki podpirajo odprtokodne projekte – so tako pomembni za njegovo vzdrževanje, da če jih, bog ne daj, zbije avtobus, bo internet prekinil.

Koda, ki jo je težko vzdrževati, je tista, kjer se skrivajo najresnejše ranljivosti kibernetske varnosti. Nekatera podjetja se sploh ne zavedajo, kako ranljiva so zaradi kode, ki jo je težko vzdrževati. Ranljivosti, povezane s takšno kodo, lahko zelo počasi dozorijo v pravi problem: sistemi počasi gnijejo, ne da bi pokazali vidne napake v procesu gnitja. In ko jim ne uspe, so posledice usodne.

Nazadnje, ker odprtokodne projekte običajno razvija skupnost navdušencev, kot je Linus Torvalds ali hekerji iz kluba Model Railroad Club, omenjenega na začetku članka, težav s kodo, ki jo je težko vzdrževati, ni mogoče rešiti na tradicionalne načine (z uporabo komercialni in državni vzvodi). Ker so člani takšnih skupnosti samovoljni in cenijo svojo neodvisnost nad vsem drugim.

Stranska vrstica: Mogoče nas bodo zaščitile obveščevalne službe in razvijalci protivirusnih programov?

Leta 2013 je postalo znano, da ima Kaspersky Lab posebno enoto, ki izvaja preiskave incidentov informacijske varnosti po meri. Do nedavnega je ta oddelek vodil nekdanji major policije Ruslan Stojanov, ki je prej delal v oddelku K prestolnice (USTM glavnega direktorata za notranje zadeve Moskve). Vsi zaposleni v tej posebni enoti Kaspersky Laba prihajajo iz organov kazenskega pregona, vključno s preiskovalnim odborom in direktoratom "K". [enajst]

Konec leta 2016 je FSB aretirala Ruslana Stojanova in ga obtožila izdaje. V istem primeru je bil aretiran Sergej Mikhailov, visoki predstavnik FSB CIB (centra za informacijsko varnost), na katerega je bila pred aretacijo vezana celotna kibernetska varnost države. [enajst]

Stranska vrstica: Uveljavljena kibernetska varnost

Kmalu bodo ruski podjetniki prisiljeni posvetiti resno pozornost kibernetski varnosti. Januarja 2017 je Nikolaj Murashov, predstavnik Centra za zaščito informacij in posebne komunikacije, izjavil, da so bili v Rusiji samo CII objekti (kritična informacijska infrastruktura) leta 2016 napadeni več kot 70-milijonkrat. Predmeti CII vključujejo informacijske sisteme vladnih agencij, podjetij obrambne industrije, transportnega, kreditnega in finančnega sektorja, energetike, goriva in jedrske industrije. Da bi jih zaščitil, je ruski predsednik Vladimir Putin 26. julija podpisal paket zakonov "O varnosti KII". Do 1. januarja 2018, ko začne veljati zakon, morajo lastniki objektov CII izvesti niz ukrepov za zaščito svoje infrastrukture pred hekerskimi napadi, zlasti se povezati z GosSOPKA. [12]

Bibliografija

1. Jonathan Millet. IoT: pomen varovanja vaših pametnih naprav // 2017.
2. Ross Anderson. Kako ne uspejo plačilni sistemi s pametnimi karticami // Black Hat. 2014.
3. SJ Murdoch. Čip in PIN sta pokvarjena // Proceedings of the IEEE Symposium on Security and Privacy. 2010. str. 433-446.
4. David Talbot. Računalniški virusi »divjajo« na medicinskih napravah v bolnišnicah // MIT Technology Review (Digital). 2012.
5. Craig Timberg. Mreža negotovosti: Tok v oblikovanju // Washington Post. 2015.
6. Michael Lista. Bil je najstniški heker, ki je svoje milijone zapravljal za avtomobile, oblačila in ure – dokler ga ni ujel FBI // Toronto Life. 2018.
7. Craig Timberg. Mreža negotovosti: katastrofa, napovedana – in prezrta // Washington Post. 2015.
8. Craig Timberg. Dolga življenjska doba hitrega 'popravila': internetni protokol iz leta 1989 pušča podatke ranljive za ugrabitelje // Washington Post. 2015.
9. Craig Timberg. Mreža negotovosti: jedro argumenta // Washington Post. 2015.
10. Joshua Gans. Bi lahko odprtokodna koda končno uresničila naše strahove glede Y2K? // Harvard Business Review (Digital). 2017.
11. FSB aretirala glavnega menedžerja Kasperskyja // CNews. 2017. URL.
12. Marija Kolomičenko. Kibernetska obveščevalna služba: Sberbank je predlagala ustanovitev štaba za boj proti hekerjem // RBC. 2017.

Vir: www.habr.com