Kapag ang "mga itim na sumbrero" - bilang mga orderly ng ligaw na kagubatan ng cyberspace - ay naging lalong matagumpay sa kanilang maruming gawain, ang dilaw na media ay sumisigaw sa tuwa. Bilang resulta, ang mundo ay nagsisimulang tumingin sa cybersecurity nang mas seryoso. Ngunit sa kasamaang palad hindi kaagad. Samakatuwid, sa kabila ng pagtaas ng bilang ng mga sakuna na insidente sa cyber, ang mundo ay hindi pa hinog para sa mga aktibong proactive na hakbang. Gayunpaman, inaasahan na sa malapit na hinaharap, salamat sa "mga itim na sumbrero," ang mundo ay magsisimulang seryosohin ang cybersecurity. [7]

Kasing seryoso ng mga sunog... Ang mga lungsod ay dating napaka-bulnerable sa mga sakuna na sunog. Gayunpaman, sa kabila ng potensyal na panganib, ang mga proactive na hakbang sa proteksyon ay hindi ginawa - kahit na pagkatapos ng higanteng sunog sa Chicago noong 1871, na kumitil ng daan-daang buhay at lumikas sa daan-daang libong tao. Ang mga proactive na hakbang sa proteksiyon ay ginawa lamang pagkatapos maganap muli ang isang katulad na sakuna, pagkalipas ng tatlong taon. Ito ay pareho sa cybersecurity - hindi malulutas ng mundo ang problemang ito maliban kung may mga sakuna na insidente. Ngunit kahit na mangyari ang mga ganitong insidente, hindi kaagad malulutas ng mundo ang problemang ito. [7] Samakatuwid, kahit na ang kasabihang: “Hanggang sa isang surot ay mangyari, ang isang tao ay hindi tatambalan,” ay hindi lubos na gumagana. Kaya naman noong 2018 ay ipinagdiwang natin ang 30 taon ng laganap na kawalan ng kapanatagan.

Lyrical digression

Ang simula ng artikulong ito, na orihinal kong isinulat para sa System Administrator magazine, ay naging makahulang sa isang kahulugan. Isyu ng isang magazine na may artikulong ito lumabas literal na araw-araw na may trahedya na sunog sa Kemerovo shopping center na "Winter Cherry" (2018, Marso 20).

I-install ang Internet sa loob ng 30 minuto

Noong 1988, ang maalamat na hacker galaxy na L0pht, na nagsasalita nang buong lakas bago ang isang pulong ng mga pinaka-maimpluwensyang opisyal ng Kanluran, ay nagpahayag: "Ang iyong nakakompyuter na kagamitan ay mahina laban sa mga pag-atake sa cyber mula sa Internet. At software, at hardware, at telekomunikasyon. Ang kanilang mga nagtitinda ay hindi nababahala tungkol sa kalagayang ito. Dahil ang modernong batas ay hindi nagbibigay ng anumang pananagutan para sa isang pabaya na diskarte sa pagtiyak ng cybersecurity ng ginawang software at hardware. Ang responsibilidad para sa mga potensyal na pagkabigo (kusa man o sanhi ng interbensyon ng mga cybercriminal) ay nakasalalay lamang sa gumagamit ng kagamitan. Tulad ng para sa pederal na pamahalaan, wala itong kakayahan o pagnanais na lutasin ang problemang ito. Samakatuwid, kung naghahanap ka ng cybersecurity, kung gayon ang Internet ay hindi ang lugar upang mahanap ito. Ang bawat isa sa pitong taong nakaupo sa harap mo ay maaaring ganap na masira ang Internet at, nang naaayon, sakupin ang kumpletong kontrol sa kagamitan na konektado dito. Ng sarili. 30 minuto ng choreographed keystroke at tapos na." [7]

Makahulugang tumango ang mga opisyal, na nilinaw na naiintindihan nila ang kabigatan ng sitwasyon, ngunit walang ginawa. Ngayon, eksaktong 30 taon pagkatapos ng maalamat na pagganap ng L0pht, ang mundo ay sinasaktan pa rin ng "rampant insecurity." Ang pag-hack ng nakakompyuter, nakakonekta sa Internet na kagamitan ay napakadali na ang Internet, sa una ay isang kaharian ng mga idealistikong siyentipiko at mahilig, ay unti-unting inookupahan ng pinaka-prakmatikong mga propesyonal: mga scammer, manloloko, espiya, terorista. Lahat sila ay nagsasamantala sa mga kahinaan ng computerized na kagamitan para sa pinansyal o iba pang benepisyo. [7]

Pinababayaan ng mga vendor ang cybersecurity

Minsan, siyempre, sinusubukan ng mga vendor na ayusin ang ilan sa mga natukoy na kahinaan, ngunit ginagawa nila ito nang may pag-aatubili. Dahil ang kanilang kita ay hindi nagmumula sa proteksyon mula sa mga hacker, ngunit mula sa bagong pag-andar na ibinibigay nila sa mga mamimili. Dahil nakatuon lamang sa mga panandaliang kita, ang mga vendor ay namumuhunan lamang ng pera sa paglutas ng mga tunay na problema, hindi mga hypothetical. Ang cybersecurity, sa mata ng marami sa kanila, ay isang hypothetical na bagay. [7]

Ang cybersecurity ay isang hindi nakikita, hindi nasasalat na bagay. Ito ay nagiging nasasalat lamang kapag may mga problema na lumitaw dito. Kung inalagaan nila ito ng mabuti (gumastos sila ng maraming pera sa probisyon nito), at walang mga problema dito, hindi nanaisin ng end consumer na magbayad nang labis para dito. Bilang karagdagan, bilang karagdagan sa pagtaas ng mga gastos sa pananalapi, ang pagpapatupad ng mga hakbang sa proteksiyon ay nangangailangan ng karagdagang oras ng pag-unlad, nangangailangan ng paglilimita sa mga kakayahan ng kagamitan, at humahantong sa pagbawas sa pagiging produktibo nito. [8]

Mahirap kumbinsihin maging ang sarili nating mga namimili sa pagiging posible ng mga nakalistang gastos, lalo pa ang mga mamimili. At dahil ang mga modernong vendor ay interesado lamang sa mga panandaliang kita sa pagbebenta, hindi sila hilig na kumuha ng responsibilidad para sa pagtiyak ng cybersecurity ng kanilang mga nilikha. [1] Sa kabilang banda, ang mas maingat na mga vendor na nag-ingat sa cybersecurity ng kanilang mga kagamitan ay nahaharap sa katotohanang mas gusto ng mga corporate consumer ang mas mura at mas madaling gamitin na mga alternatibo. yun. Malinaw na ang mga corporate consumer ay hindi masyadong nagmamalasakit sa cybersecurity. [8]

Sa liwanag ng nasa itaas, hindi nakakagulat na ang mga vendor ay may posibilidad na magpabaya sa cybersecurity, at sumunod sa sumusunod na pilosopiya: “Patuloy na bumuo, patuloy na magbenta at mag-patch kung kinakailangan. Nag-crash ba ang system? Nawala ang impormasyon? Database na may mga numero ng credit card na ninakaw? Mayroon bang anumang nakamamatay na mga kahinaan na natukoy sa iyong kagamitan? Walang problema!" Ang mga mamimili, sa turn, ay kailangang sundin ang prinsipyo: "Patch and pray." [7]

Paano ito nangyayari: mga halimbawa mula sa ligaw

Ang isang kapansin-pansing halimbawa ng pagpapabaya sa cybersecurity sa panahon ng pag-unlad ay ang corporate incentive program ng Microsoft: “Kung makalampas ka sa mga deadline, pagmumultahin ka. Kung wala kang oras para isumite ang release ng iyong innovation sa oras, hindi ito ipapatupad. Kung hindi ito ipinatupad, hindi ka makakatanggap ng mga bahagi ng kumpanya (isang piraso ng pie mula sa mga kita ng Microsoft)." Mula noong 1993, nagsimulang aktibong i-link ng Microsoft ang mga produkto nito sa Internet. Dahil ang inisyatiba na ito ay pinatakbo alinsunod sa parehong motivational program, ang functionality ay lumawak nang mas mabilis kaysa sa pagtatanggol ay maaaring makasabay dito. Sa kasiyahan ng mga pragmatic vulnerability hunters... [7]

Ang isa pang halimbawa ay ang sitwasyon sa mga computer at laptop: hindi sila kasama ng isang paunang naka-install na antivirus; at hindi rin sila nagbibigay ng preset ng malakas na password. Ipinapalagay na i-install ng end user ang antivirus at itatakda ang mga parameter ng pagsasaayos ng seguridad. [1]

Isa pa, mas matinding halimbawa: ang sitwasyon sa cybersecurity ng retail equipment (cash registers, PoS terminals para sa mga shopping center, atbp.). Nagkataon na ang mga nagbebenta ng mga komersyal na kagamitan ay nagbebenta lamang ng kung ano ang ibinebenta, at hindi kung ano ang ligtas. [2] Kung mayroong isang bagay na pinapahalagahan ng mga nagtitinda ng komersyal na kagamitan sa mga tuntunin ng cybersecurity, tinitiyak nito na kung may nangyaring kontrobersyal na insidente, ang responsibilidad ay nasa iba. [3]

Isang indikasyon na halimbawa ng pag-unlad ng mga kaganapang ito: ang pagpapasikat ng pamantayan ng EMV para sa mga bank card, na, salamat sa karampatang gawain ng mga nagmemerkado sa bangko, ay lumilitaw sa mga mata ng publiko na hindi teknikal na sopistikado bilang isang mas ligtas na alternatibo sa "luma na" magnetic card. Kasabay nito, ang pangunahing motibasyon ng industriya ng pagbabangko, na responsable para sa pagbuo ng pamantayan ng EMV, ay upang ilipat ang responsibilidad para sa mga mapanlinlang na insidente (nagaganap dahil sa kasalanan ng mga carder) - mula sa mga tindahan hanggang sa mga mamimili. Samantalang dati (kapag ang mga pagbabayad ay ginawa gamit ang mga magnetic card), ang pananagutan sa pananalapi ay nasa mga tindahan para sa mga pagkakaiba sa debit/kredito. [3] Kaya inilipat ng mga bangko na nagpoproseso ng mga pagbabayad ang responsibilidad sa mga mangangalakal (na gumagamit ng kanilang malalayong sistema ng pagbabangko) o sa mga bangko na naglalabas ng mga card sa pagbabayad; ang huling dalawa, sa turn, ay inilipat ang responsibilidad sa cardholder. [2]

Hinahadlangan ng mga vendor ang cybersecurity

Habang patuloy na lumalawak ang digital attack—salamat sa pagsabog ng mga device na nakakonekta sa Internet—ay lalong nagiging mahirap ang pagsubaybay sa kung ano ang konektado sa corporate network. Kasabay nito, inilipat ng mga vendor ang mga alalahanin tungkol sa kaligtasan ng lahat ng kagamitan na konektado sa Internet sa end user [1]: "Ang pagliligtas sa mga taong nalulunod ay gawain ng mga taong nalulunod mismo."

Hindi lamang ang mga vendor ay hindi nagmamalasakit sa cybersecurity ng kanilang mga nilikha, ngunit sa ilang mga kaso ay nakakasagabal din sila sa probisyon nito. Halimbawa, noong 2009 ang Conficker network worm ay tumagas sa Beth Israel Medical Center at nahawahan ang bahagi ng medikal na kagamitan doon, ang teknikal na direktor ng medikal na sentrong ito, upang maiwasan ang mga katulad na insidente na mangyari sa hinaharap, ay nagpasya na huwag paganahin ang operation support function sa kagamitan na apektado ng worm sa network. Gayunpaman, nahaharap siya sa katotohanan na "ang kagamitan ay hindi ma-update dahil sa mga paghihigpit sa regulasyon." Kinailangan niya ng malaking pagsisikap upang makipag-ayos sa vendor upang hindi paganahin ang mga function ng network. [4]

Pangunahing Cyber-Insecurity ng Internet

Si David Clarke, ang maalamat na propesor sa MIT na ang henyo ay nakakuha sa kanya ng palayaw na "Albus Dumbledore," naaalala ang araw na ang madilim na bahagi ng Internet ay nahayag sa mundo. Si Clark ay namumuno sa isang telecommunications conference noong Nobyembre 1988 nang lumabas ang balita na ang unang computer worm sa kasaysayan ay dumulas sa mga wire ng network. Naalala ni Clark ang sandaling ito dahil ang tagapagsalita na naroroon sa kanyang kumperensya (isang empleyado ng isa sa mga nangungunang kumpanya ng telekomunikasyon) ay pinanagot sa pagkalat ng uod na ito. Ang tagapagsalita na ito, sa init ng damdamin, ay hindi sinasadyang nagsabi: "Narito ka!" Mukhang isinara ko na ang kahinaan na ito," binayaran niya ang mga salitang ito. [5]

Gayunpaman, sa kalaunan ay lumabas na ang kahinaan kung saan kumalat ang nabanggit na uod ay hindi ang merito ng sinumang indibidwal na tao. At ito, mahigpit na pagsasalita, ay hindi kahit isang kahinaan, ngunit isang pangunahing tampok ng Internet: ang mga tagapagtatag ng Internet, kapag binuo ang kanilang utak, ay nakatuon lamang sa bilis ng paglipat ng data at pagpapahintulot sa kasalanan. Hindi nila itinakda sa kanilang sarili ang gawain ng pagtiyak ng cybersecurity. [5]

Ngayon, mga dekada pagkatapos ng pagkakatatag ng Internet—na may daan-daang bilyong dolyar na nagastos na sa mga walang kwentang pagtatangka sa cybersecurity—ang Internet ay hindi gaanong mahina. Ang mga problema nito sa cybersecurity ay lumalala lamang bawat taon. Gayunpaman, mayroon ba tayong karapatan na hatulan ang mga tagapagtatag ng Internet para dito? Kung tutuusin, halimbawa, walang sinuman ang hahatol sa mga gumagawa ng mga expressway sa katotohanang nangyayari ang mga aksidente sa “kanilang mga kalsada”; at walang sinuman ang hahatol sa mga tagaplano ng lungsod dahil sa katotohanang nangyayari ang mga pagnanakaw sa “kanilang mga lungsod.” [5]

Paano ipinanganak ang hacker subculture

Ang hacker subculture ay nagmula noong unang bahagi ng 1960s, sa "Railway Technical Modeling Club" (nagpapatakbo sa loob ng mga pader ng Massachusetts Institute of Technology). Ang mga mahilig sa club ay nagdisenyo at nag-assemble ng isang modelong riles, napakalaki na napuno nito ang buong silid. Ang mga miyembro ng club ay kusang nahahati sa dalawang grupo: mga tagapamayapa at mga espesyalista sa sistema. [6]

Ang una ay nagtrabaho sa itaas na bahagi ng modelo, ang pangalawa - sa ilalim ng lupa. Ang mga una ay nakolekta at pinalamutian ang mga modelo ng mga tren at lungsod: ginawa nilang pinaliit ang buong mundo. Ang huli ay nagtrabaho sa teknikal na suporta para sa lahat ng peacemaking na ito: isang intricacy ng mga wire, relay at coordinate switch na matatagpuan sa underground na bahagi ng modelo - lahat ng bagay na kumokontrol sa "itaas ng lupa" na bahagi at pinakain ito ng enerhiya. [6]

Kapag nagkaroon ng problema sa trapiko at may nakaisip ng bago at mapanlikhang solusyon para ayusin ito, ang solusyon ay tinawag na "hack." Para sa mga miyembro ng club, ang paghahanap para sa mga bagong hack ay naging isang tunay na kahulugan ng buhay. Iyon ang dahilan kung bakit sinimulan nilang tawagan ang kanilang sarili na "mga hacker." [6]

Ipinatupad ng unang henerasyon ng mga hacker ang mga kasanayang nakuha sa Simulation Railway Club sa pamamagitan ng pagsusulat ng mga programa sa computer sa mga punched card. Pagkatapos, nang ang ARPANET (ang hinalinhan sa Internet) ay dumating sa campus noong 1969, ang mga hacker ang naging pinakaaktibo at bihasang gumagamit nito. [6]

Ngayon, makalipas ang mga dekada, ang modernong Internet ay kahawig ng napaka "underground" na bahagi ng modelong riles. Dahil ang mga tagapagtatag nito ay ang parehong mga hacker, mga mag-aaral ng "Railroad Simulation Club". Tanging mga hacker na ngayon ang nagpapatakbo ng mga totoong lungsod sa halip na mga kunwa na miniature. [6]

Paano naging BGP routing

Sa pagtatapos ng 80s, bilang resulta ng isang mala-avalanche na pagtaas sa bilang ng mga device na nakakonekta sa Internet, ang Internet ay lumapit sa mahirap na limitasyon sa matematika na binuo sa isa sa mga pangunahing protocol ng Internet. Samakatuwid, ang anumang pag-uusap sa pagitan ng mga inhinyero noong panahong iyon ay naging talakayan sa problemang ito. Dalawang kaibigan ay walang exception: Jacob Rechter (isang engineer mula sa IBM) at Kirk Lockheed (founder ng Cisco). Ang pagkakaroon ng pagkakataong nagkita sa hapag kainan, nagsimula silang talakayin ang mga hakbang upang mapanatili ang pag-andar ng Internet. Isinulat ng mga kaibigan ang mga ideya na lumitaw sa anumang dumating sa kamay - isang napkin na nabahiran ng ketchup. Tapos yung pangalawa. Tapos yung pangatlo. Ang “three napkins protocol,” na pabirong tawag ng mga imbentor nito—kilala sa mga opisyal na bilog bilang BGP (Border Gateway Protocol)—ay nag-rebolusyon sa Internet. [8]

Para kay Rechter at Lockheed, ang BGP ay isang simpleng pag-hack, na binuo sa diwa ng nabanggit na Model Railroad Club, isang pansamantalang solusyon na malapit nang mapalitan. Ang mga kaibigan ay bumuo ng BGP noong 1989. Ngayon, gayunpaman, 30 taon na ang lumipas, ang karamihan ng trapiko sa Internet ay dinadala pa rin gamit ang "tatlong napkin protocol" - sa kabila ng lalong nakakaalarma na mga tawag tungkol sa mga kritikal na problema sa cybersecurity nito. Ang pansamantalang pag-hack ay naging isa sa mga pangunahing protocol sa Internet, at natutunan ng mga developer nito mula sa kanilang sariling karanasan na "wala nang mas permanente kaysa sa mga pansamantalang solusyon." [8]

Ang mga network sa buong mundo ay lumipat sa BGP. Ang mga maimpluwensyang vendor, mayayamang kliyente at kumpanya ng telekomunikasyon ay mabilis na nahulog sa BGP at naging bihasa dito. Samakatuwid, kahit na sa kabila ng parami nang parami ng alarma tungkol sa kawalan ng seguridad ng protocol na ito, hindi pa rin nagpapakita ang publiko ng IT ng sigasig para sa paglipat sa bago, mas ligtas na kagamitan. [8]

Cyber-insecure BGP routing

Bakit napakahusay ng pagruruta ng BGP at bakit hindi nagmamadali ang komunidad ng IT na iwanan ito? Tinutulungan ng BGP ang mga router na gumawa ng mga desisyon tungkol sa kung saan dadalhin ang malalaking stream ng data na ipinadala sa isang malaking network ng mga intersecting na linya ng komunikasyon. Tinutulungan ng BGP ang mga router na pumili ng mga naaangkop na landas kahit na ang network ay patuloy na nagbabago at ang mga sikat na ruta ay madalas na nakakaranas ng mga masikip na trapiko. Ang problema ay ang Internet ay walang pandaigdigang mapa ng pagruruta. Ang mga router na gumagamit ng BGP ay gumagawa ng mga desisyon tungkol sa pagpili ng isang landas o iba pa batay sa impormasyong natanggap mula sa mga kapitbahay sa cyberspace, na nangongolekta naman ng impormasyon mula sa kanilang mga kapitbahay, atbp. Gayunpaman, ang impormasyong ito ay madaling mapeke, na nangangahulugan na ang pagruruta ng BGP ay lubhang mahina sa mga pag-atake ng MiTM. [8]

Samakatuwid, ang mga tanong na tulad ng sumusunod ay regular na lumilitaw: "Bakit ang trapiko sa pagitan ng dalawang computer sa Denver ay lumihis sa Iceland?", "Bakit nailipat ang classified Pentagon data sa sandaling inilipat sa pamamagitan ng Beijing?" May mga teknikal na sagot sa mga tanong na tulad nito, ngunit lahat sila ay bumaba sa katotohanan na gumagana ang BGP batay sa tiwala: pagtitiwala sa mga rekomendasyong natanggap mula sa mga kalapit na router. Salamat sa mapagkakatiwalaang katangian ng BGP protocol, mahihikayat ng mahiwagang traffic overlord ang mga daloy ng data ng ibang tao sa kanilang domain kung gugustuhin nila. [8]

Isang buhay na halimbawa ang pag-atake ng BGP ng China sa American Pentagon. Noong Abril 2010, nagpadala ang higanteng telecom ng estado na China Telecom ng libu-libong mga router sa buong mundo, kabilang ang 16 sa Estados Unidos, isang mensahe ng BGP na nagsasabi sa kanila na mayroon silang mas mahusay na mga ruta. Kung walang system na maaaring mag-verify ng validity ng isang BGP na mensahe mula sa China Telecom, ang mga router sa buong mundo ay nagsimulang magpadala ng data sa transit sa pamamagitan ng Beijing. Kabilang ang trapiko mula sa Pentagon at iba pang mga site ng US Department of Defense. Ang kadalian ng paglipat ng trapiko at ang kawalan ng epektibong proteksyon laban sa ganitong uri ng pag-atake ay isa pang palatandaan ng kawalan ng seguridad ng pagruruta ng BGP. [8]

Ang BGP protocol ay theoretically vulnerable sa isang mas mapanganib na cyber attack. Kung sakaling lumaki nang buong puwersa ang mga internasyonal na salungatan sa cyberspace, ang China Telecom, o ilang iba pang higanteng telekomunikasyon, ay maaaring subukang angkinin ang pagmamay-ari ng mga bahagi ng Internet na hindi talaga pag-aari nito. Ang ganitong hakbang ay malito ang mga router, na kailangang tumalbog sa pagitan ng mga nakikipagkumpitensyang bid para sa parehong mga bloke ng mga address sa Internet. Kung walang kakayahang makilala ang isang lehitimong aplikasyon mula sa isang pekeng aplikasyon, ang mga router ay magsisimulang kumilos nang mali. Bilang resulta, haharap tayo sa Internet na katumbas ng digmaang nuklear—isang bukas, malakihang pagpapakita ng poot. Ang ganitong pag-unlad sa panahon ng relatibong kapayapaan ay tila hindi makatotohanan, ngunit sa teknikal na paraan ito ay lubos na magagawa. [8]

Isang walang saysay na pagtatangka na lumipat mula sa BGP patungo sa BGPSEC

Ang cybersecurity ay hindi isinasaalang-alang noong binuo ang BGP, dahil sa oras na iyon ay bihira ang mga hack at ang pinsala mula sa kanila ay bale-wala. Ang mga nag-develop ng BGP, dahil nagtrabaho sila para sa mga kumpanya ng telekomunikasyon at interesadong ibenta ang kanilang kagamitan sa network, ay may mas matinding gawain: upang maiwasan ang mga kusang pagkasira ng Internet. Dahil ang mga pagkaantala sa Internet ay maaaring mapalayo sa mga gumagamit, at sa gayon ay mabawasan ang mga benta ng kagamitan sa network. [8]

Matapos ang insidente sa paghahatid ng trapikong militar ng Amerika sa pamamagitan ng Beijing noong Abril 2010, tiyak na bumilis ang bilis ng trabaho upang matiyak ang cybersecurity ng BGP routing. Gayunpaman, ang mga vendor ng telecom ay nagpakita ng kaunting sigasig para sa mga gastos na nauugnay sa paglipat sa bagong secure na routing protocol na BGPSEC, na iminungkahi bilang kapalit ng hindi secure na BGP. Itinuturing pa rin ng mga vendor na medyo katanggap-tanggap ang BGP, kahit na sa kabila ng hindi mabilang na mga insidente ng pagharang sa trapiko. [8]

Si Radia Perlman, na tinawag na "Ina ng Internet" para sa pag-imbento ng isa pang pangunahing protocol ng network noong 1988 (isang taon bago ang BGP), ay nakakuha ng propetikong disertasyon ng doktor sa MIT. Inihula ni Perlman na ang isang routing protocol na nakasalalay sa katapatan ng mga kapitbahay sa cyberspace ay sa panimula ay hindi secure. Iminungkahi ni Perlman ang paggamit ng cryptography, na makakatulong na limitahan ang posibilidad ng pamemeke. Gayunpaman, ang pagpapatupad ng BGP ay puspusan na, ang maimpluwensyang komunidad ng IT ay nakasanayan na, at hindi nais na baguhin ang anuman. Samakatuwid, pagkatapos ng makatuwirang mga babala mula kay Perlman, Clark at ilang iba pang kilalang eksperto sa mundo, ang kamag-anak na bahagi ng cryptographically secure na BGP routing ay hindi tumaas, at 0% pa rin. [8]

Ang BGP routing ay hindi lamang ang hack

At ang BGP routing ay hindi lamang ang hack na nagpapatunay sa ideya na "walang mas permanente kaysa sa mga pansamantalang solusyon." Minsan ang Internet, na naglulubog sa atin sa mga mundo ng pantasya, ay tila kasing elegante ng isang karerang kotse. Gayunpaman, sa katotohanan, dahil sa mga hack na nakatambak sa bawat isa, ang Internet ay mas katulad ng Frankenstein kaysa sa Ferrari. Dahil ang mga hack na ito (mas opisyal na tinatawag na mga patch) ay hindi napapalitan ng maaasahang teknolohiya. Ang mga kahihinatnan ng diskarteng ito ay kakila-kilabot: araw-araw at oras-oras, ang mga cybercriminal ay nagha-hack sa mga mahihinang sistema, na nagpapalawak ng saklaw ng cybercrime sa dati nang hindi maisip na mga sukat. [8]

Marami sa mga bahid na pinagsamantalahan ng mga cybercriminal ay kilala sa mahabang panahon, at napanatili lamang dahil sa hilig ng komunidad ng IT na lutasin ang mga umuusbong na problema - na may mga pansamantalang hack/patches. Minsan, dahil dito, ang mga hindi napapanahong teknolohiya ay nakatambak sa isa't isa sa mahabang panahon, na nagpapahirap sa buhay ng mga tao at naglalagay sa kanila sa panganib. Ano ang iisipin mo kung nalaman mong itinatayo ng iyong bangko ang vault nito sa pundasyon ng dayami at putik? Magtitiwala ka ba sa kanya na panatilihin ang iyong mga ipon? [8]

Ang walang malasakit na saloobin ni Linus Torvalds

Inabot ng maraming taon bago naabot ng Internet ang unang daang mga computer nito. Ngayon, 100 bagong computer at iba pang device ang nakakonekta dito bawat segundo. Habang sumasabog ang mga device na nakakonekta sa Internet, gayundin ang pagkaapurahan ng mga isyu sa cybersecurity. Gayunpaman, ang taong maaaring magkaroon ng pinakamalaking epekto sa paglutas ng mga problemang ito ay ang taong tumitingin sa cybersecurity nang may paghamak. Ang taong ito ay tinawag na isang henyo, isang maton, isang espirituwal na pinuno at isang mabait na diktador. Linus Torvalds. Ang karamihan sa mga device na nakakonekta sa Internet ay nagpapatakbo ng operating system nito, ang Linux. Mabilis, flexible, libre - Ang Linux ay nagiging mas at mas sikat sa paglipas ng panahon. Kasabay nito, ito ay kumikilos nang napakatatag. At maaari itong gumana nang hindi nagre-reboot sa loob ng maraming taon. Ito ang dahilan kung bakit ang Linux ay may karangalan na maging nangingibabaw na operating system. Halos lahat ng nakakompyuter na kagamitan na magagamit natin ngayon ay nagpapatakbo ng Linux: mga server, kagamitang medikal, mga computer sa paglipad, maliliit na drone, sasakyang panghimpapawid ng militar at marami pang iba. [9]

Malaki ang tagumpay ng Linux dahil binibigyang-diin ng Torvalds ang performance at fault tolerance. Gayunpaman, inilalagay niya ang diin sa kapinsalaan ng cybersecurity. Kahit na ang cyberspace at ang totoong pisikal na mundo ay magkakaugnay at ang cybersecurity ay nagiging isang pandaigdigang isyu, patuloy na pinipigilan ni Torvalds ang pagpapakilala ng mga secure na inobasyon sa kanyang operating system. [9]

Samakatuwid, kahit na sa maraming mga tagahanga ng Linux, lumalaki ang pag-aalala tungkol sa mga kahinaan ng operating system na ito. Sa partikular, ang pinaka-kilalang bahagi ng Linux, ang kernel nito, kung saan personal na gumagana ang Torvalds. Nakikita ng mga tagahanga ng Linux na hindi sineseryoso ng Torvalds ang mga isyu sa cybersecurity. Bukod dito, pinalibutan ni Torvalds ang kanyang sarili ng mga developer na may katulad na walang pakialam na saloobin. Kung ang isang tao mula sa inner circle ni Torvalds ay nagsimulang magsalita tungkol sa pagpapakilala ng mga ligtas na inobasyon, siya ay agad na na-anathematize. Tinanggal ni Torvalds ang isang grupo ng naturang mga innovator, na tinawag silang "mga unggoy na nagsasalsal." Habang nagpaalam si Torvalds sa isa pang grupo ng mga developer na may kamalayan sa seguridad, sinabi niya sa kanila, “Magiging napakabait ba kayo para magpakamatay. Magiging mas magandang lugar ang mundo dahil dito." Tuwing ito ay dumating sa pagdaragdag ng mga tampok sa seguridad, Torvalds ay palaging laban dito. [9] Ang Torvalds ay mayroon pa ngang isang buong pilosopiya sa bagay na ito, na hindi walang butil ng sentido komun:

"Ang ganap na seguridad ay hindi matamo. Samakatuwid, dapat itong palaging isaalang-alang lamang kaugnay sa iba pang mga priyoridad: bilis, kakayahang umangkop at kadalian ng paggamit. Ang mga taong lubos na naglalaan ng kanilang sarili sa pagbibigay ng proteksyon ay baliw. Limitado ang kanilang pag-iisip, itim at puti. Ang seguridad mismo ay walang silbi. Ang kakanyahan ay palaging nasa ibang lugar. Samakatuwid, hindi mo masisiguro ang ganap na seguridad, kahit na gusto mo talaga. Siyempre, may mga tao na mas binibigyang pansin ang kaligtasan kaysa sa Torvalds. Gayunpaman, ang mga taong ito ay nagsusumikap lamang sa kung ano ang kinaiinteresan nila at nagbibigay ng seguridad sa loob ng makitid na kamag-anak na balangkas na naglalarawan sa mga interes na ito. Wala na. Kaya wala silang anumang paraan na nakakatulong sa pagtaas ng ganap na seguridad. [9]

Sidebar: Ang OpenSource ay parang powder keg [10]

Ang OpenSource code ay nakatipid ng bilyun-bilyon sa mga gastos sa pagpapaunlad ng software, na inaalis ang pangangailangan para sa mga dobleng pagsisikap: sa OpenSource, ang mga programmer ay may pagkakataong gumamit ng mga kasalukuyang pagbabago nang walang mga paghihigpit o pagbabayad. Ginagamit ang OpenSource sa lahat ng dako. Kahit na kumuha ka ng software developer upang lutasin ang iyong espesyal na problema mula sa simula, malamang na gagamit ang developer na ito ng ilang uri ng OpenSource library. At malamang higit sa isa. Kaya, ang mga elemento ng OpenSource ay naroroon halos lahat ng dako. Kasabay nito, dapat itong maunawaan na walang software na static; ang code nito ay patuloy na nagbabago. Samakatuwid, ang prinsipyong "itakda ito at kalimutan ito" ay hindi kailanman gumagana para sa code. Kasama ang OpenSource code: maaga o huli, kakailanganin ng na-update na bersyon.

Noong 2016, nakita namin ang mga kahihinatnan ng kalagayang ito: isang 28 taong gulang na developer ang panandaliang "sinira" ang Internet sa pamamagitan ng pagtanggal ng kanyang OpenSource code, na dati niyang ginawang available sa publiko. Itinuturo ng kuwentong ito na ang ating cyberinfrastructure ay napakarupok. Ang ilang mga tao - na sumusuporta sa mga proyekto ng OpenSource - ay napakahalaga sa pagpapanatili nito na kung, ipinagbabawal ng Diyos, mabangga sila ng bus, masisira ang Internet.

Ang hard-to-maintain na code ay kung saan nagtatago ang mga pinakaseryosong kahinaan sa cybersecurity. Ang ilang mga kumpanya ay hindi kahit na napagtanto kung gaano sila mahina dahil sa mahirap na panatilihing code. Ang mga kahinaan na nauugnay sa naturang code ay maaaring maging isang tunay na problema nang napakabagal: ang mga system ay dahan-dahang nabubulok, nang hindi nagpapakita ng nakikitang mga pagkabigo sa proseso ng pagkabulok. At kapag sila ay nabigo, ang mga kahihinatnan ay nakamamatay.

Sa wakas, dahil ang mga proyekto ng OpenSource ay karaniwang binuo ng isang komunidad ng mga mahilig, tulad ng Linus Torvalds o tulad ng mga hacker mula sa Model Railroad Club na binanggit sa simula ng artikulo, ang mga problema sa mahirap na panatilihing code ay hindi malulutas sa mga tradisyonal na paraan (gamit ang commercial at government levers). Dahil ang mga miyembro ng naturang mga komunidad ay kusa at pinahahalagahan ang kanilang kalayaan higit sa lahat.

Sidebar: Baka poprotektahan tayo ng mga serbisyo ng intelligence at antivirus developer?

Noong 2013, nalaman na ang Kaspersky Lab ay may isang espesyal na yunit na nagsagawa ng mga pasadyang pagsisiyasat ng mga insidente sa seguridad ng impormasyon. Hanggang kamakailan lamang, ang departamentong ito ay pinamumunuan ng isang dating mayor ng pulisya, si Ruslan Stoyanov, na dating nagtrabaho sa Kagawaran ng "K" ng kapital (USTM ng Moscow Main Internal Affairs Directorate). Ang lahat ng empleyado ng espesyal na yunit na ito ng Kaspersky Lab ay nagmula sa mga ahensyang nagpapatupad ng batas, kasama ang Investigative Committee at Directorate "K". [labing isang]

Sa pagtatapos ng 2016, inaresto ng FSB si Ruslan Stoyanov at kinasuhan siya ng pagtataksil. Sa parehong kaso, si Sergei Mikhailov, isang mataas na ranggo na kinatawan ng FSB CIB (information security center), ay naaresto, kung kanino, bago ang pag-aresto, ang buong cybersecurity ng bansa ay nakatali. [labing isang]

Sidebar: Ipinapatupad ang Cybersecurity

Sa lalong madaling panahon ang mga negosyanteng Ruso ay mapipilitang magbayad ng seryosong pansin sa cybersecurity. Noong Enero 2017, sinabi ni Nikolai Murashov, isang kinatawan ng Center for Information Protection and Special Communications, na sa Russia, ang mga bagay ng CII (kritikal na imprastraktura ng impormasyon) lamang ay inatake ng higit sa 2016 milyong beses noong 70. Kasama sa mga bagay ng CII ang mga sistema ng impormasyon ng mga ahensya ng gobyerno, mga negosyo sa industriya ng depensa, sektor ng transportasyon, kredito at pananalapi, enerhiya, panggatong at industriyang nuklear. Upang protektahan sila, noong Hulyo 26, nilagdaan ng Pangulo ng Russia na si Vladimir Putin ang isang pakete ng mga batas "Sa kaligtasan ng CII." Pagsapit ng Enero 1, 2018, kapag nagkabisa ang batas, ang mga may-ari ng mga pasilidad ng CII ay dapat magpatupad ng isang hanay ng mga hakbang upang maprotektahan ang kanilang imprastraktura mula sa mga pag-atake ng hacker, lalo na, kumonekta sa GosSOPKA. [12]

Bibliograpiya

1. Jonathan Millet. IoT: Ang Kahalagahan ng Pag-secure ng Iyong Mga Smart Device // 2017.
2. Ross Anderson. Paano nabigo ang mga sistema ng pagbabayad ng smartcard // Black Hat. 2014.
3. SJ Murdoch. Nasira ang Chip at PIN // Mga Proceedings ng IEEE Symposium on Security and Privacy. 2010. pp. 433-446.
4. David Talbot. Ang mga Computer Virus ay "Laganap" sa Mga Medical Device sa mga Ospital // MIT Technology Review (Digital). 2012.
5. Craig Timberg. Net of Insecurity: Isang Daloy sa Disenyo // Ang Washington Post. 2015.
6. Michael Lista. Isa siyang teenager na hacker na gumastos ng kanyang milyon-milyon sa mga kotse, damit at relo—hanggang sa mahuli ng FBI // Buhay sa Toronto. 2018.
7. Craig Timberg. Net of Insecurity: Isang Disaster Foretold – at Binalewala // Ang Washington Post. 2015.
8. Craig Timberg. Ang mahabang buhay ng isang mabilis na 'pag-aayos': Ang Internet protocol mula 1989 ay nag-iiwan ng data na mahina sa mga hijacker // Ang Washington Post. 2015.
9. Craig Timberg. Net of Insecurity: Ang kernel ng argumento // Ang Washington Post. 2015.
10. Joshua Gans. Magagawa kaya ng Open-Source Code ang Ating Mga Pangamba sa Y2K sa wakas? // Harvard Business Review (Digital). 2017.
11. Nangungunang manager ng Kaspersky na inaresto ng FSB // CNews. 2017. URL.
12. Maria Kolomychenko. Serbisyo ng Cyber ​​​​intelligence: Iminungkahi ng Sberbank na lumikha ng isang punong-tanggapan upang labanan ang mga hacker // RBC. 2017.

Pinagmulan: www.habr.com