Kur "kapelet e zeza" - duke qenë rregulltarët e pyllit të egër të hapësirës kibernetike - rezultojnë të jenë veçanërisht të suksesshëm në punën e tyre të pistë, mediat e verdha klithin me kënaqësi. Si rezultat, bota ka filluar ta shikojë më seriozisht sigurinë kibernetike. Por për fat të keq jo menjëherë. Prandaj, pavarësisht nga numri në rritje i incidenteve katastrofike kibernetike, bota nuk është ende e përgatitur për masa aktive proaktive. Megjithatë, pritet që në të ardhmen e afërt, falë “kapelave të zeza”, bota të fillojë ta marrë seriozisht sigurinë kibernetike. [7]

Po aq serioze sa zjarret... Qytetet dikur ishin shumë të prekshme nga zjarret katastrofike. Megjithatë, pavarësisht rrezikut të mundshëm, masat mbrojtëse proaktive nuk u morën - edhe pas zjarrit gjigant në Çikago në 1871, i cili mori qindra jetë dhe shpërngul qindra mijëra njerëz. Masat mbrojtëse proaktive u morën vetëm pasi një fatkeqësi e ngjashme ndodhi përsëri, tre vjet më vonë. Është e njëjta gjë me sigurinë kibernetike - bota nuk do ta zgjidhë këtë problem nëse nuk ka incidente katastrofike. Por edhe nëse ndodhin incidente të tilla, bota nuk do ta zgjidhë këtë problem menjëherë. [7] Prandaj, edhe thënia: "Derisa të ndodhë një insekt, njeriu nuk do të arnohet", nuk funksionon fare. Kjo është arsyeja pse në vitin 2018 ne festuam 30 vjet pasigurie të shfrenuar.

Digresion lirik

Fillimi i këtij artikulli, të cilin fillimisht e shkrova për revistën System Administrator, doli të ishte profetik në njëfarë kuptimi. Botimi i një reviste me këtë artikull doli jashtë fjalë për fjalë ditë pas dite me zjarrin tragjik në qendrën tregtare të Kemerovës “Winter Cherry” (2018, 20 Mars).

Instaloni internetin në 30 minuta

Në vitin 1988, galaktika legjendare e hakerëve L0pht, duke folur me forcë të plotë përpara një takimi të zyrtarëve më me ndikim perëndimorë, deklaroi: “Pajisja juaj e kompjuterizuar është e ndjeshme ndaj sulmeve kibernetike nga interneti. Dhe softuer, dhe harduer, dhe telekomunikacion. Shitësit e tyre nuk janë aspak të shqetësuar për këtë gjendje. Sepse legjislacioni modern nuk parashikon asnjë përgjegjësi për një qasje të pakujdesshme për të garantuar sigurinë kibernetike të softuerit dhe harduerit të prodhuar. Përgjegjësia për dështimet e mundshme (qofshin spontane apo të shkaktuara nga ndërhyrja e kriminelëve kibernetikë) i takon vetëm përdoruesit të pajisjes. Sa i përket qeverisë federale, ajo nuk ka as aftësi dhe as dëshirë për ta zgjidhur këtë problem. Prandaj, nëse jeni duke kërkuar për sigurinë kibernetike, atëherë Interneti nuk është vendi për ta gjetur atë. Secili nga shtatë personat e ulur para jush mund të prishë plotësisht internetin dhe, në përputhje me rrethanat, të kapë kontrollin e plotë mbi pajisjet e lidhura me të. Nga vetja. 30 minuta tastierë me koreografi dhe mbaroi.” [7]

Zyrtarët tundën kokën me kuptim, duke e bërë të qartë se e kuptonin seriozitetin e situatës, por nuk bënë asgjë. Sot, saktësisht 30 vjet pas performancës legjendare të L0pht, bota është ende e rrënuar nga "pasiguria e shfrenuar". Hakerimi i pajisjeve të kompjuterizuara dhe të lidhura me internetin është aq i lehtë sa Interneti, fillimisht një mbretëri shkencëtarësh dhe entuziastësh idealistë, gradualisht është pushtuar nga profesionistët më pragmatikë: mashtruesit, mashtruesit, spiunët, terroristët. Të gjithë ata shfrytëzojnë dobësitë e pajisjeve të kompjuterizuara për përfitime financiare ose të tjera. [7]

Shitësit neglizhojnë sigurinë kibernetike

Shitësit ndonjëherë, natyrisht, përpiqen të rregullojnë disa nga dobësitë e identifikuara, por ata e bëjnë këtë me shumë ngurrim. Sepse fitimi i tyre nuk vjen nga mbrojtja nga hakerat, por nga funksionaliteti i ri që ata ofrojnë për konsumatorët. Duke qenë të fokusuar vetëm në fitimet afatshkurtra, shitësit investojnë para vetëm në zgjidhjen e problemeve reale, jo hipotetike. Siguria kibernetike, në sytë e shumë prej tyre, është një gjë hipotetike. [7]

Siguria kibernetike është një gjë e padukshme, e paprekshme. Ai bëhet i prekshëm vetëm kur lindin probleme me të. Nëse ata kujdeseshin mirë për të (ata shpenzuan shumë para për sigurimin e tij), dhe nuk ka probleme me të, konsumatori përfundimtar nuk do të dëshirojë të paguajë më shumë për të. Përveç kësaj, përveç rritjes së kostove financiare, zbatimi i masave mbrojtëse kërkon kohë shtesë zhvillimi, kërkon kufizimin e aftësive të pajisjes dhe çon në një ulje të produktivitetit të saj. [8]

Është e vështirë të bindësh edhe vetë tregtarët tanë për realizueshmërinë e kostove të listuara, e lëre më konsumatorët fundorë. Dhe duke qenë se shitësit modernë janë të interesuar vetëm për fitimet afatshkurtra nga shitjet, ata nuk janë aspak të prirur të marrin përgjegjësinë për të siguruar sigurinë kibernetike të krijimeve të tyre. [1] Nga ana tjetër, shitësit më të kujdesshëm që janë kujdesur për sigurinë kibernetike të pajisjeve të tyre janë përballur me faktin se konsumatorët e korporatave preferojnë alternativa më të lira dhe më të lehta për t'u përdorur. Se. Është e qartë se konsumatorët e korporatave nuk kujdesen shumë as për sigurinë kibernetike. [8]

Në dritën e sa më sipër, nuk është për t'u habitur që shitësit priren të neglizhojnë sigurinë kibernetike dhe t'i përmbahen filozofisë së mëposhtme: "Vazhdoni të ndërtoni, vazhdoni të shisni dhe rregulloni kur është e nevojshme. A është rrëzuar sistemi? Humbi informacion? Vjedhur baza e të dhënave me numrat e kartave të kreditit? A ka ndonjë dobësi fatale të identifikuar në pajisjet tuaja? Nuk ka problem!" Konsumatorët, nga ana tjetër, duhet të ndjekin parimin: "Patch dhe lutu". [7]

Si ndodh kjo: shembuj nga e egra

Një shembull i mrekullueshëm i neglizhencës së sigurisë kibernetike gjatë zhvillimit është programi nxitës i korporatës i Microsoft: "Nëse i humbisni afatet, do të gjobiteni. Nëse nuk keni kohë për të paraqitur publikimin e inovacionit tuaj në kohë, ai nuk do të zbatohet. Nëse nuk zbatohet, nuk do të merrni aksione të kompanisë (një pjesë e byrekut nga fitimet e Microsoft). Që nga viti 1993, Microsoft filloi të lidhte në mënyrë aktive produktet e saj me internetin. Meqenëse kjo nismë funksionoi në përputhje me të njëjtin program motivues, funksionaliteti u zgjerua më shpejt sesa mbrojtja mund të vazhdonte me të. Për kënaqësinë e gjuetarëve pragmatikë të cenueshmërisë... [7]

Një shembull tjetër është situata me kompjuterët dhe laptopët: ata nuk vijnë me një antivirus të para-instaluar; dhe gjithashtu nuk parashikojnë paracaktimin e fjalëkalimeve të forta. Supozohet se përdoruesi përfundimtar do të instalojë antivirusin dhe do të vendosë parametrat e konfigurimit të sigurisë. [1]

Një shembull tjetër, më ekstrem: situata me sigurinë kibernetike të pajisjeve të shitjes me pakicë (arka, terminale PoS për qendrat tregtare, etj.). Kështu ndodhi që shitësit e pajisjeve tregtare shesin vetëm atë që shitet, dhe jo atë që është e sigurt. [2] Nëse ka një gjë për të cilën shitësit e pajisjeve komerciale kujdesen përsa i përket sigurisë kibernetike, është sigurimi që nëse ndodh një incident i diskutueshëm, përgjegjësia bie mbi të tjerët. [3]

Një shembull tregues i këtij zhvillimi të ngjarjeve: popullarizimi i standardit EMV për kartat bankare, i cili, falë punës kompetente të tregtarëve të bankave, shfaqet në sytë e publikut që nuk është teknikisht i sofistikuar si një alternativë më e sigurt ndaj "të vjetruara" kartat magnetike. Në të njëjtën kohë, motivimi kryesor i industrisë bankare, e cila ishte përgjegjëse për zhvillimin e standardit EMV, ishte zhvendosja e përgjegjësisë për incidentet mashtruese (që ndodhin për fajin e kartësve) - nga dyqanet te konsumatorët. Ndërsa më parë (kur pagesat bëheshin me karta magnetike), përgjegjësia financiare ishte e dyqaneve për mospërputhjet në debit/kredi. [3] Kështu bankat që përpunojnë pagesat e zhvendosin përgjegjësinë ose te tregtarët (të cilët përdorin sistemet e tyre bankare në distancë) ose te bankat që lëshojnë karta pagese; dy të fundit, nga ana tjetër, ia kalojnë përgjegjësinë mbajtësit të kartës. [2]

Shitësit po pengojnë sigurinë kibernetike

Ndërsa sipërfaqja e sulmit dixhital zgjerohet në mënyrë të pashmangshme - falë shpërthimit të pajisjeve të lidhura me internetin - mbajtja e gjurmëve të asaj që është e lidhur me rrjetin e korporatës bëhet gjithnjë e më e vështirë. Në të njëjtën kohë, shitësit i zhvendosin shqetësimet për sigurinë e të gjitha pajisjeve të lidhura në internet tek përdoruesi përfundimtar [1]: "Shpëtimi i njerëzve që mbyten është punë e vetë njerëzve që mbyten."

Jo vetëm që shitësit nuk kujdesen për sigurinë kibernetike të krijimeve të tyre, por në disa raste ata ndërhyjnë edhe në ofrimin e saj. Për shembull, kur në vitin 2009 krimbi i rrjetit Conficker derdhi në Qendrën Mjekësore Beth Israel dhe infektoi një pjesë të pajisjeve mjekësore atje, drejtori teknik i kësaj qendre mjekësore, për të parandaluar incidente të ngjashme në të ardhmen, vendosi të çaktivizojë funksioni i mbështetjes së funksionimit në pajisjet e prekura nga krimbi me rrjetin. Megjithatë, ai u përball me faktin se "pajisja nuk mund të përditësohej për shkak të kufizimeve rregullatore". Atij iu deshën përpjekje të konsiderueshme për të negociuar me shitësin për të çaktivizuar funksionet e rrjetit. [4]

Pasiguria themelore kibernetike e internetit

David Clarke, profesori legjendar i MIT, gjenia e të cilit i dha pseudonimin "Albus Dumbledore", kujton ditën kur ana e errët e internetit iu zbulua botës. Clark po drejtonte një konferencë telekomunikacioni në nëntor 1988 kur u publikua lajmi se krimbi i parë kompjuterik në histori kishte rrëshqitur nëpër telat e rrjetit. Klark e kujtoi këtë moment sepse folësi i pranishëm në konferencën e tij (një punonjës i një prej kompanive kryesore të telekomunikacionit) u mbajt përgjegjës për përhapjen e këtij krimbi. Ky folës, në nxehtësinë e emocioneve, tha pa dashje: "Ja ku shko!" Më duket se e kam mbyllur këtë dobësi”, ka paguar ai për këto fjalë. [5]

Megjithatë, më vonë doli se dobësia përmes së cilës u përhap krimbi i përmendur nuk ishte meritë e ndonjë personi individual. Dhe kjo, në mënyrë rigoroze, nuk ishte as një dobësi, por një tipar themelor i Internetit: themeluesit e internetit, kur zhvillonin idenë e tyre, u përqendruan ekskluzivisht në shpejtësinë e transferimit të të dhënave dhe tolerancën e gabimeve. Ata nuk i vunë vetes detyrën për të garantuar sigurinë kibernetike. [5]

Sot, dekada pas themelimit të Internetit – me qindra miliarda dollarë të shpenzuar tashmë në përpjekje të kota për sigurinë kibernetike – Interneti nuk është më pak i prekshëm. Problemet e saj të sigurisë kibernetike po përkeqësohen çdo vit. Megjithatë, a kemi të drejtë të dënojmë themeluesit e internetit për këtë? Në fund të fundit, për shembull, askush nuk do t'i dënojë ndërtuesit e autostradave për faktin se aksidentet ndodhin në "rrugët e tyre"; dhe askush nuk do t'i dënojë urbanistët për faktin se grabitjet ndodhin në "qytetet e tyre". [5]

Si lindi nënkultura e hakerëve

Subkultura e hakerëve filloi në fillim të viteve 1960, në "Klubin e Modelimit Teknik të Hekurudhave" (që vepron brenda mureve të Institutit të Teknologjisë në Massachusetts). Të apasionuarit pas klubit projektuan dhe montuan një model hekurudhe, aq të madh sa mbushi të gjithë dhomën. Anëtarët e klubit ndahen spontanisht në dy grupe: paqebërës dhe specialistë të sistemit. [6]

E para punoi me pjesën mbitokësore të modelit, e dyta - me nëntokën. Të parët mblodhën dhe dekoruan modele trenash dhe qytetesh: modeluan të gjithë botën në miniaturë. Ky i fundit punoi në mbështetjen teknike për gjithë këtë paqebërje: një ndërlikim telash, stafetësh dhe çelsash koordinatash të vendosura në pjesën nëntokësore të modelit - gjithçka që kontrollonte pjesën "mbi tokë" dhe e ushqente atë me energji. [6]

Kur kishte një problem trafiku dhe dikush doli me një zgjidhje të re dhe të zgjuar për ta rregulluar atë, zgjidhja quhej "hak". Për anëtarët e klubit, kërkimi për hakime të reja është bërë një kuptim i brendshëm i jetës. Kjo është arsyeja pse ata filluan ta quajnë veten “hakerë”. [6]

Gjenerata e parë e hakerëve zbatoi aftësitë e fituara në Simulation Railway Club duke shkruar programe kompjuterike në kartat me grushta. Më pas, kur ARPANET (paraardhësi i Internetit) mbërriti në kampus në vitin 1969, hakerët u bënë përdoruesit e tij më aktivë dhe më të aftë. [6]

Tani, dekada më vonë, interneti modern i ngjan asaj pjese shumë “nëntokësore” të modelit të hekurudhës. Sepse themeluesit e saj ishin po këta hakerë, studentë të "Klubit të Simulimit të Hekurudhave". Tani vetëm hakerët përdorin qytete reale në vend të miniaturave të simuluara. [6]

Si lindi drejtimi BGP

Nga fundi i viteve 80, si rezultat i një rritjeje në formë orteku të numrit të pajisjeve të lidhura në internet, Interneti iu afrua kufirit të vështirë matematikor të ndërtuar në një nga protokollet bazë të Internetit. Prandaj, çdo bisedë mes inxhinierëve të asaj kohe u kthye përfundimisht në një diskutim të këtij problemi. Dy miq nuk ishin përjashtim: Jacob Rechter (një inxhinier nga IBM) dhe Kirk Lockheed (themelues i Cisco). Pasi u takuan rastësisht në tryezën e darkës, ata filluan të diskutojnë masat për të ruajtur funksionalitetin e internetit. Miqtë shkruanin idetë që lindën në çdo gjë që u vinte në dorë - një pecetë e lyer me ketchup. Pastaj i dyti. Pastaj i treti. "Protokolli i tre pecetave", siç e quajtën me shaka shpikësit e tij - i njohur në qarqet zyrtare si BGP (Border Gateway Protocol) - shpejt revolucionarizoi internetin. [8]

Për Rechter dhe Lockheed, BGP ishte thjesht një hak i rastësishëm, i zhvilluar në frymën e Modelit Railroad Club të lartpërmendur, një zgjidhje e përkohshme që së shpejti do të zëvendësohej. Miqtë zhvilluan BGP në 1989. Megjithatë, sot, 30 vjet më vonë, shumica e trafikut të internetit ende drejtohet duke përdorur "protokollin e tre pecetave" - ​​pavarësisht thirrjeve gjithnjë e më alarmante për probleme kritike me sigurinë e tij kibernetike. Hakimi i përkohshëm u bë një nga protokollet bazë të Internetit dhe zhvilluesit e tij mësuan nga përvoja e tyre se "nuk ka asgjë më të përhershme se zgjidhjet e përkohshme". [8]

Rrjetet në mbarë botën kanë kaluar në BGP. Shitësit me ndikim, klientët e pasur dhe kompanitë e telekomunikacionit shpejt ranë në dashuri me BGP dhe u mësuan me të. Ndaj, edhe përkundër gjithnjë e më shumë këmbanave të alarmit për pasigurinë e këtij protokolli, publiku i IT ende nuk shfaq entuziazëm për kalimin në pajisje të reja, më të sigurta. [8]

Rrugë BGP e pasigurt kibernetike

Pse është kaq i mirë drejtimi BGP dhe pse komuniteti i IT nuk po nxiton ta braktisë atë? BGP i ndihmon ruterat të marrin vendime se ku të drejtojnë rrjedhat e mëdha të të dhënave të dërguara nëpër një rrjet të madh linjash komunikimi të kryqëzuara. BGP i ndihmon ruterat të zgjedhin shtigjet e duhura edhe pse rrjeti po ndryshon vazhdimisht dhe rrugët e njohura shpesh përjetojnë bllokime trafiku. Problemi është se interneti nuk ka një hartë globale të rrugës. Routerët që përdorin BGP marrin vendime për zgjedhjen e një rruge ose një tjetër bazuar në informacionin e marrë nga fqinjët në hapësirën kibernetike, të cilët nga ana e tyre mbledhin informacion nga fqinjët e tyre, etj. Megjithatë, ky informacion mund të falsifikohet lehtësisht, që do të thotë se rutimi i BGP është shumë i prekshëm ndaj sulmeve MiTM. [8]

Prandaj, lindin rregullisht pyetje si kjo e mëposhtme: "Pse trafiku midis dy kompjuterëve në Denver mori një devijim gjigant përmes Islandës?", "Pse të dhënat e klasifikuara të Pentagonit u transferuan një herë në tranzit përmes Pekinit?" Ka përgjigje teknike për pyetje si këto, por të gjitha ato vijnë në faktin se BGP funksionon në bazë të besimit: besimi në rekomandimet e marra nga ruterat fqinjë. Falë natyrës së besueshme të protokollit BGP, zotëruesit misterioz të trafikut mund të joshin flukset e të dhënave të njerëzve të tjerë në domenin e tyre nëse dëshirojnë. [8]

Një shembull i gjallë është sulmi BGP i Kinës ndaj Pentagonit Amerikan. Në prill të vitit 2010, gjigandi shtetëror i telekomit China Telecom dërgoi dhjetëra mijëra ruterë në mbarë botën, duke përfshirë 16 në Shtetet e Bashkuara, një mesazh BGP që u thoshte atyre se kishin rrugë më të mira. Pa një sistem që mund të verifikonte vlefshmërinë e një mesazhi BGP nga China Telecom, ruterat në mbarë botën filluan të dërgonin të dhëna në tranzit përmes Pekinit. Përfshirë trafikun nga Pentagoni dhe vende të tjera të Departamentit të Mbrojtjes të SHBA. Lehtësia me të cilën u ridrejtua trafiku dhe mungesa e mbrojtjes efektive kundër këtij lloj sulmi është një tjetër shenjë e pasigurisë së drejtimit të BGP. [8]

Protokolli BGP është teorikisht i prekshëm ndaj një sulmi kibernetik edhe më të rrezikshëm. Në rast se konfliktet ndërkombëtare përshkallëzohen me forcë të plotë në hapësirën kibernetike, China Telecom, ose ndonjë gjigant tjetër i telekomunikacionit, mund të përpiqet të pretendojë pronësinë e pjesëve të internetit që në fakt nuk i përkasin atij. Një lëvizje e tillë do të ngatërronte ruterat, të cilët do të duhet të kërcejnë midis ofertave konkurruese për të njëjtat blloqe adresash interneti. Pa aftësinë për të dalluar një aplikacion legjitim nga ai i rremë, ruterët do të fillonin të vepronin në mënyrë të çrregullt. Si rezultat, ne do të përballeshim me ekuivalentin e internetit të luftës bërthamore - një shfaqje e hapur, në shkallë të gjerë armiqësie. Një zhvillim i tillë në kohë paqeje relative duket jorealist, por teknikisht është mjaft i realizueshëm. [8]

Një përpjekje e kotë për të kaluar nga BGP në BGPSEC

Siguria kibernetike nuk u mor parasysh kur u zhvillua BGP, sepse në atë kohë hakimet ishin të rralla dhe dëmi prej tyre ishte i papërfillshëm. Zhvilluesit e BGP, për shkak se ata punonin për kompanitë e telekomunikacionit dhe ishin të interesuar të shisnin pajisjet e tyre të rrjetit, kishin një detyrë më të ngutshme: të shmangnin prishjet spontane të internetit. Sepse ndërprerjet në internet mund të largojnë përdoruesit, dhe në këtë mënyrë të reduktojnë shitjet e pajisjeve të rrjetit. [8]

Pas incidentit me transmetimin e trafikut ushtarak amerikan përmes Pekinit në prill 2010, ritmi i punës për të siguruar sigurinë kibernetike të rrugëtimit të BGP sigurisht u përshpejtua. Megjithatë, shitësit e telekomit kanë treguar pak entuziazëm për të përballuar kostot që lidhen me migrimin në protokollin e ri të rrugëtimit të sigurt BGPSEC, i propozuar si një zëvendësim për BGP-në e pasigurt. Shitësit ende e konsiderojnë BGP mjaft të pranueshme, edhe përkundër incidenteve të panumërta të përgjimit të trafikut. [8]

Radia Perlman, e quajtur "Nëna e Internetit" për shpikjen e një protokolli tjetër të madh të rrjetit në 1988 (një vit para BGP), fitoi një disertacion doktorature profetike në MIT. Perlman parashikoi se një protokoll rrugëtimi që varet nga ndershmëria e fqinjëve në hapësirën kibernetike është thelbësisht i pasigurt. Perlman mbrojti përdorimin e kriptografisë, e cila do të ndihmonte në kufizimin e mundësisë së falsifikimit. Sidoqoftë, zbatimi i BGP ishte tashmë në lëvizje të plotë, komuniteti me ndikim i IT ishte mësuar me të dhe nuk dëshironte të ndryshonte asgjë. Prandaj, pas paralajmërimeve të arsyetuara nga Perlman, Clark dhe disa ekspertë të tjerë të shquar botërorë, pjesa relative e rrugëtimit të sigurt kriptografikisht BGP nuk është rritur fare dhe është ende 0%. [8]

Rutimi i BGP nuk është hakimi i vetëm

Dhe rutimi i BGP nuk është hakimi i vetëm që konfirmon idenë se "asgjë nuk është më e përhershme se zgjidhjet e përkohshme". Ndonjëherë interneti, duke na zhytur në botët e fantazisë, duket po aq elegant sa një makinë garash. Sidoqoftë, në realitet, për shkak të hakimeve të grumbulluara njëra mbi tjetrën, Interneti është më shumë si Frankenstein sesa Ferrari. Sepse këto hakime (më të quajtura zyrtarisht arna) nuk zëvendësohen kurrë nga teknologjia e besueshme. Pasojat e kësaj qasjeje janë të tmerrshme: çdo ditë dhe çdo orë, kriminelët kibernetikë hakojnë sisteme vulnerabël, duke e zgjeruar fushën e krimit kibernetik në përmasa të paimagjinueshme më parë. [8]

Shumë nga të metat e shfrytëzuara nga kriminelët kibernetikë janë të njohura për një kohë të gjatë dhe janë ruajtur vetëm për shkak të tendencës së komunitetit të IT-së për të zgjidhur problemet e shfaqura - me hake/patch të përkohshëm. Ndonjëherë, për shkak të kësaj, teknologjitë e vjetruara grumbullohen njëra mbi tjetrën për një kohë të gjatë, duke e vështirësuar jetën e njerëzve dhe duke i vënë ata në rrezik. Çfarë do të mendonit nëse do të mësoni se banka juaj po e ndërton kasafortën e saj mbi një themel prej kashte dhe balte? A do t'i besoni atij për të mbajtur kursimet tuaja? [8]

Qëndrimi i shkujdesur i Linus Torvalds

U deshën vite përpara se interneti të arrinte në njëqind kompjuterët e tij të parë. Sot, 100 kompjuterë të rinj dhe pajisje të tjera lidhen me të çdo sekondë. Ndërsa pajisjet e lidhura me internetin shpërthejnë, po kështu shpërthen urgjenca e çështjeve të sigurisë kibernetike. Megjithatë, personi që mund të ketë ndikimin më të madh në zgjidhjen e këtyre problemeve është ai që e sheh me përbuzje sigurinë kibernetike. Ky njeri është quajtur një gjeni, një ngacmues, një udhëheqës shpirtëror dhe një diktator dashamirës. Linus Torvalds. Shumica dërrmuese e pajisjeve të lidhura me internetin përdorin sistemin e tij operativ, Linux. I shpejtë, fleksibël, falas - Linux po bëhet gjithnjë e më i popullarizuar me kalimin e kohës. Në të njëjtën kohë, ajo sillet shumë e qëndrueshme. Dhe mund të funksionojë pa rindezje për shumë vite. Kjo është arsyeja pse Linux ka nderin të jetë sistemi operativ dominues. Pothuajse të gjitha pajisjet e kompjuterizuara që disponojmë sot funksionojnë Linux: serverë, pajisje mjekësore, kompjuterë fluturimi, drone të vegjël, avionë ushtarakë dhe shumë më tepër. [9]

Linux ka sukses kryesisht sepse Torvalds thekson performancën dhe tolerancën e gabimeve. Megjithatë, ai e vendos këtë theks në kurriz të sigurisë kibernetike. Edhe pse hapësira kibernetike dhe bota reale fizike ndërthuren dhe siguria kibernetike bëhet një çështje globale, Torvalds vazhdon t'i rezistojë futjes së inovacioneve të sigurta në sistemin e tij operativ. [9]

Prandaj, edhe në mesin e shumë fansave të Linux-it, ka një shqetësim në rritje për dobësitë e këtij sistemi operativ. Në veçanti, pjesa më intime e Linux-it, kerneli i tij, mbi të cilin Torvalds punon personalisht. Tifozët e Linux shohin se Torvalds nuk i merr seriozisht çështjet e sigurisë kibernetike. Për më tepër, Torvalds e ka rrethuar veten me zhvillues që ndajnë këtë qëndrim të shkujdesur. Nëse dikush nga rrethi i brendshëm i Torvalds fillon të flasë për prezantimin e risive të sigurta, ai anatemohet menjëherë. Torvalds hodhi poshtë një grup novatorësh të tillë, duke i quajtur ata "majmunë masturbues". Ndërsa Torvalds i tha lamtumirë një grupi tjetër zhvilluesish të ndërgjegjshëm për sigurinë, ai u tha atyre: “A do të ishit aq të sjellshëm sa të vrisnit veten. Bota do të ishte një vend më i mirë për shkak të saj.” Sa herë që bëhej fjalë për shtimin e veçorive të sigurisë, Torvalds ishte gjithmonë kundër tij. [9] Torvalds madje ka një filozofi të tërë në këtë drejtim, e cila nuk është pa një grimcë sensi të përbashkët:

“Siguria absolute është e paarritshme. Prandaj, gjithmonë duhet të merret parasysh vetëm në lidhje me prioritetet e tjera: shpejtësinë, fleksibilitetin dhe lehtësinë e përdorimit. Njerëzit që i përkushtohen plotësisht sigurimit të mbrojtjes janë të çmendur. Mendimi i tyre është i kufizuar, bardh e zi. Siguria në vetvete është e padobishme. Thelbi është gjithmonë diku tjetër. Prandaj, ju nuk mund të siguroni siguri absolute, edhe nëse vërtet dëshironi. Sigurisht, ka njerëz që i kushtojnë më shumë vëmendje sigurisë sesa Torvalds. Megjithatë, këta njerëz thjesht po punojnë për atë që i intereson dhe ofrojnë siguri brenda kornizës së ngushtë relative që i përcakton këto interesa. Jo më. Pra, ato në asnjë mënyrë nuk kontribuojnë në rritjen e sigurisë absolute.” [9]

Shiriti anësor: OpenSource është si një fuçi pluhuri [10]

Kodi i OpenSource ka kursyer miliarda në kostot e zhvillimit të softuerit, duke eliminuar nevojën për përpjekje të dyfishta: me OpenSource, programuesit kanë mundësinë të përdorin risitë aktuale pa kufizime ose pagesë. OpenSource përdoret kudo. Edhe nëse keni punësuar një zhvillues softuerësh për të zgjidhur problemin tuaj të specializuar nga e para, ky zhvillues ka shumë të ngjarë të përdorë një lloj biblioteke OpenSource. Dhe ndoshta më shumë se një. Kështu, elementët OpenSource janë të pranishëm pothuajse kudo. Në të njëjtën kohë, duhet të kuptohet se asnjë softuer nuk është statik; kodi i tij po ndryshon vazhdimisht. Prandaj, parimi "vendos dhe harro" nuk funksionon kurrë për kodin. Përfshirë kodin OpenSource: herët a vonë do të kërkohet një version i përditësuar.

Në vitin 2016, ne pamë pasojat e kësaj gjendjeje: një zhvillues 28-vjeçar "thye" për pak kohë internetin duke fshirë kodin e tij OpenSource, të cilin më parë e kishte vënë në dispozicion të publikut. Kjo histori tregon se infrastruktura jonë kibernetike është shumë e brishtë. Disa njerëz - që mbështesin projektet e OpenSource - janë kaq të rëndësishëm për ta mbajtur atë sa që nëse, Zoti na ruajt, goditen nga një autobus, Interneti do të prishet.

Kodi i vështirë për t'u mbajtur është vendi ku fshihen dobësitë më serioze të sigurisë kibernetike. Disa kompani as nuk e kuptojnë se sa të cenueshme janë për shkak të kodit të vështirë për t'u mbajtur. Dobësitë e lidhura me një kod të tillë mund të shndërrohen në një problem real shumë ngadalë: sistemet kalbet ngadalë, pa demonstruar dështime të dukshme në procesin e kalbjes. Dhe kur ato dështojnë, pasojat janë fatale.

Së fundi, meqenëse projektet OpenSource zakonisht zhvillohen nga një komunitet entuziastësh, si Linus Torvalds ose si hakerët nga Modeli Railroad Club i përmendur në fillim të artikullit, problemet me kodin e vështirë për t'u mbajtur nuk mund të zgjidhen në mënyra tradicionale (duke përdorur leva komerciale dhe qeveritare). Sepse anëtarët e komuniteteve të tilla janë të vullnetshëm dhe e vlerësojnë pavarësinë e tyre mbi të gjitha.

Shiriti anësor: Ndoshta shërbimet e inteligjencës dhe zhvilluesit e antiviruseve do të na mbrojnë?

Në vitin 2013, u bë e ditur se Kaspersky Lab kishte një njësi speciale që kryente hetime me porosi të incidenteve të sigurisë së informacionit. Deri kohët e fundit, ky departament drejtohej nga një ish-major policie, Ruslan Stoyanov, i cili më parë ka punuar në Departamentin "K" të kryeqytetit (USTM i Drejtorisë Kryesore të Punëve të Brendshme të Moskës). Të gjithë punonjësit e kësaj njësie speciale të Kaspersky Lab vijnë nga agjencitë e zbatimit të ligjit, përfshirë Komitetin Hetimor dhe Drejtorinë "K". [njëmbëdhjetë]

Në fund të vitit 2016, FSB arrestoi Ruslan Stoyanov dhe e akuzoi atë për tradhti. Në të njëjtin rast, u arrestua Sergei Mikhailov, një përfaqësues i rangut të lartë i FSB CIB (qendra e sigurisë së informacionit), mbi të cilin, para arrestimit, ishte e lidhur e gjithë siguria kibernetike e vendit. [njëmbëdhjetë]

Shiriti anësor: Siguria kibernetike e zbatuar

Së shpejti sipërmarrësit rusë do të detyrohen t'i kushtojnë vëmendje serioze sigurisë kibernetike. Në janar 2017, Nikolai Murashov, një përfaqësues i Qendrës për Mbrojtjen e Informacionit dhe Komunikimet Speciale, deklaroi se vetëm në Rusi, objektet e CII (infrastruktura kritike e informacionit) u sulmuan më shumë se 2016 milionë herë në vitin 70. Objektet e CII përfshijnë sistemet e informacionit të agjencive qeveritare, ndërmarrjet e industrisë së mbrojtjes, sektorët e transportit, kreditit dhe financiar, energjinë, karburantet dhe industritë bërthamore. Për t'i mbrojtur ata, më 26 korrik, presidenti rus Vladimir Putin nënshkroi një paketë ligjesh "Për sigurinë e CII". Deri më 1 janar 2018, kur ligji të hyjë në fuqi, pronarët e objekteve të CII duhet të zbatojnë një sërë masash për të mbrojtur infrastrukturën e tyre nga sulmet e hakerëve, në veçanti, të lidhen me GosSOPKA. [12]

Bibliografi

1. Jonathan Millet. IoT: Rëndësia e sigurimit të pajisjeve tuaja inteligjente // 2017.
2. Ross Anderson. Si dështojnë sistemet e pagesave me karta inteligjente // Black Hat. 2014.
3. SJ Murdoch. Çipi dhe PIN-i janë thyer // Punimet e Simpoziumit IEEE mbi Sigurinë dhe Privatësinë. 2010. fq. 433-446.
4. David Talbot. Viruset kompjuterike janë "të shfrenuar" në pajisjet mjekësore në spitale // MIT Technology Review (Digital). 2012.
5. Craig Timberg. Rrjeti i pasigurisë: Një rrjedhë në dizajn // Washington Post. 2015.
6. Michael Lista. Ai ishte një haker adoleshent që shpenzoi milionat e tij në makina, rroba dhe orë - derisa FBI-ja e kapi // Jeta e Torontos. 2018.
7. Craig Timberg. Rrjeti i pasigurisë: Një fatkeqësi e parathënë – dhe e injoruar // Washington Post. 2015.
8. Craig Timberg. Jeta e gjatë e një 'rregullimi' të shpejtë: Protokolli i Internetit i vitit 1989 i lë të dhënat të pambrojtura ndaj rrëmbyesve // Washington Post. 2015.
9. Craig Timberg. Rrjeti i pasigurisë: Bërthama e argumentit // Washington Post. 2015.
10. Joshua Gans. A mundet kodi me burim të hapur t'i bëjë më në fund frikërat tona Y2K të realizohen? // Harvard Business Review (Digital). 2017.
11. Menaxheri kryesor i Kaspersky u arrestua nga FSB // CNews. 2017. URL.
12. Maria Kolomychenko. Shërbimi i inteligjencës kibernetike: Sberbank propozoi krijimin e një selie për të luftuar hakerët // RBC. 2017.

Burimi: www.habr.com