Siber uzayın vahşi ormanının emirleri olan "siyah şapkalılar" kirli işlerinde özellikle başarılı oldukları ortaya çıktığında, sarı medya keyifle çığlık atıyor. Sonuç olarak dünya siber güvenliğe daha ciddi bakmaya başlıyor. Ama ne yazık ki hemen değil. Bu nedenle, yıkıcı siber olayların sayısındaki artışa rağmen dünya henüz aktif proaktif önlemler için olgunlaşmış değil. Ancak yakın gelecekte “siyah şapkalar” sayesinde dünyanın siber güvenliği ciddiye almaya başlaması bekleniyor. [7]

Yangınlar kadar ciddi... Şehirler bir zamanlar yıkıcı yangınlara karşı çok savunmasızdı. Ancak potansiyel tehlikeye rağmen, 1871'de Chicago'da yüzlerce kişinin ölümüne ve yüzbinlerce insanın yerinden olmasına neden olan dev yangından sonra bile proaktif koruyucu önlemler alınmadı. Proaktif koruyucu önlemler ancak üç yıl sonra benzer bir felaketin tekrar yaşanması üzerine alınabildi. Siber güvenlikte de durum aynı; felaket niteliğinde olaylar olmadığı sürece dünya bu sorunu çözemeyecek. Ama bu tür olaylar yaşansa bile dünya bu sorunu hemen çözemez. [7] Dolayısıyla “Bug çıkana kadar yama yapılmaz” sözü bile pek işe yaramıyor. Bu nedenle 2018'de yaygın güvensizliğin 30. yılını kutladık.

Lirik geri çekilme

Başlangıçta System Administrator dergisi için yazdığım bu makalenin başlangıcı bir anlamda kehanet niteliğinde çıktı. Bu makalenin yer aldığı dergi sayısı dışarı Kemerovo alışveriş merkezi “Kış Kiraz”ındaki trajik yangınla tam anlamıyla her gün (2018, 20 Mart).

30 dakikada interneti kurun

1988'de, efsanevi hacker galaksisi L0pht, en etkili Batılı yetkililerin katıldığı bir toplantı öncesinde tüm gücüyle şunları söylüyordu: “Bilgisayarlı ekipmanınız İnternet'ten gelen siber saldırılara karşı savunmasızdır. Ve yazılım, donanım ve telekomünikasyon. Satıcıları bu durumdan hiç endişe duymuyor. Çünkü modern mevzuat, üretilen yazılım ve donanımların siber güvenliğinin sağlanmasına yönelik ihmalkar bir yaklaşım için herhangi bir sorumluluk öngörmemektedir. Olası arızaların (ister kendiliğinden ister siber suçluların müdahalesinden kaynaklansın) sorumluluğu yalnızca ekipmanın kullanıcısına aittir. Federal hükümetin ise bu sorunu çözecek ne yeteneği ne de isteği var. Bu nedenle, siber güvenlik arıyorsanız, onu bulacağınız yer İnternet değildir. Önünüzde oturan yedi kişiden her biri interneti tamamen kesebilir ve buna bağlı olarak ona bağlı ekipman üzerinde tam kontrol sahibi olabilir. Kendi kendine. 30 dakikalık koreografili tuş vuruşları ve bitti. [7]

Yetkililer, durumun ciddiyetini anladıklarını ancak hiçbir şey yapmadıklarını açıkça belirterek anlamlı bir şekilde başlarını salladılar. Bugün, L30pht'ın efsanevi performansından tam 0 yıl sonra, dünya hâlâ "yaygın güvensizlik"le boğuşuyor. Bilgisayarlı, internete bağlı ekipmanı hacklemek o kadar kolaydır ki, başlangıçta idealist bilim adamlarının ve meraklıların krallığı olan İnternet, yavaş yavaş profesyonellerin en pragmatikleri tarafından işgal edilmiştir: dolandırıcılar, dolandırıcılar, casuslar, teröristler. Hepsi finansal veya diğer çıkarlar için bilgisayarlı ekipmanın zayıf noktalarından yararlanıyor. [7]

Satıcılar siber güvenliği ihmal ediyor

Satıcılar bazen belirlenen güvenlik açıklarından bazılarını düzeltmeye çalışırlar ancak bunu çok isteksizce yaparlar. Çünkü kârları bilgisayar korsanlarından korunmaktan değil, tüketicilere sağladıkları yeni işlevsellikten geliyor. Yalnızca kısa vadeli karlara odaklanan satıcılar, paralarını varsayımsal sorunlara değil, yalnızca gerçek sorunları çözmeye yatırır. Birçoğunun gözünde siber güvenlik varsayımsal bir şey. [7]

Siber güvenlik görünmez, soyut bir şeydir. Ancak onunla ilgili sorunlar ortaya çıktığında somut hale gelir. Eğer ona iyi bakarlarsa (tedarik için çok para harcadılar) ve herhangi bir sorun yoksa, son tüketici bunun için fazla ödeme yapmak istemeyecektir. Ayrıca, artan finansal maliyetlerin yanı sıra koruyucu önlemlerin uygulanması, ek geliştirme süresi gerektirmekte, ekipmanın yeteneklerinin sınırlandırılmasını gerektirmekte ve verimliliğin azalmasına yol açmaktadır. [8]

Bırakın son tüketicileri, listelenen maliyetlerin uygulanabilirliği konusunda kendi pazarlamacılarımızı bile ikna etmek zordur. Ve modern satıcılar yalnızca kısa vadeli satış karlarıyla ilgilendikleri için, yarattıkları ürünlerin siber güvenliğini sağlama sorumluluğunu üstlenme eğiliminde değiller. [1] Öte yandan ekipmanlarının siber güvenliğine dikkat eden daha dikkatli satıcılar, kurumsal tüketicilerin daha ucuz ve kullanımı daha kolay alternatifleri tercih ettiği gerçeğiyle karşı karşıya kalıyor. O. Kurumsal tüketicilerin de siber güvenliğe pek önem vermediği aşikar. [8]

Yukarıdakilerin ışığında, satıcıların siber güvenliği ihmal etme ve şu felsefeye bağlı kalma eğiliminde olmaları şaşırtıcı değildir: "Yapmaya devam edin, satmaya devam edin ve gerektiğinde yama yapın. Sistem çöktü mü? Bilgi mi kaybettiniz? Kredi kartı numaralarını içeren veritabanı çalındı ​​mı? Ekipmanınızda tespit edilen ölümcül güvenlik açıkları var mı? Sorun değil!" Tüketicilerin de şu prensibi takip etmesi gerekiyor: "Yama ve dua et." [7]

Bu nasıl olur: doğadan örnekler

Geliştirme sırasında siber güvenliğin ihmal edilmesinin çarpıcı bir örneği Microsoft'un kurumsal teşvik programıdır: “Son teslim tarihlerini kaçırırsanız para cezasına çarptırılırsınız. Yeniliğinizin yayınlanmasını zamanında gönderecek zamanınız yoksa uygulanmayacaktır. Uygulanmadığı takdirde şirketten pay alamayacaksınız (Microsoft'un kârından pastadan bir parça). 1993'ten beri Microsoft, ürünlerini aktif olarak İnternet'e bağlamaya başladı. Bu girişim aynı motivasyon programı doğrultusunda işlediğinden işlevsellik, savunmanın yetişemeyeceği kadar hızlı bir şekilde genişledi. Pragmatik güvenlik açığı avcılarının zevkine... [7]

Başka bir örnek, bilgisayarlar ve dizüstü bilgisayarlardaki durumdur: önceden yüklenmiş bir antivirüsle birlikte gelmezler; ayrıca güçlü parolaların önceden ayarlanmasını da sağlamazlar. Son kullanıcının antivirüs programını kuracağı ve güvenlik yapılandırma parametrelerini ayarlayacağı varsayılmaktadır. [1]

Bir başka, daha uç örnek: perakende ekipmanlarının (yazar kasalar, alışveriş merkezleri için PoS terminalleri vb.) siber güvenliğiyle ilgili durum. Öyle oldu ki, ticari ekipman satıcıları güvenli olanı değil, yalnızca satılanı satıyor. [2] Ticari ekipman satıcılarının siber güvenlik açısından önemsediği bir şey varsa o da tartışmalı bir olay meydana geldiğinde sorumluluğun başkalarına düşmesini sağlamaktır. [3]

Olayların bu gelişiminin gösterge niteliğinde bir örneği: banka pazarlamacılarının yetkin çalışmaları sayesinde, teknik açıdan gelişmiş olmayan halkın gözünde "modası geçmiş" kartlara daha güvenli bir alternatif olarak görünen banka kartları için EMV standardının yaygınlaştırılması. manyetik kartlar. Aynı zamanda, EMV standardının geliştirilmesinden sorumlu olan bankacılık sektörünün ana motivasyonu, (tarakçıların hatası nedeniyle meydana gelen) dolandırıcılık olaylarının sorumluluğunu mağazalardan tüketicilere aktarmaktı. Oysa daha önce (ödemeler manyetik kartlarla yapıldığında), borç/alacak tutarsızlıklarının mali sorumluluğu mağazalara aitti. [3] Böylece Ödemeleri işleyen bankalar, sorumluluğu ya tacirlere (uzaktan bankacılık sistemlerini kullanan) ya da ödeme kartı veren bankalara devretmektedir; son ikisi ise sorumluluğu kart sahibine devreder. [2]

Satıcılar siber güvenliği engelliyor

İnternete bağlı cihazların patlaması sayesinde dijital saldırı yüzeyi amansız bir şekilde genişledikçe, kurumsal ağa bağlı olanı takip etmek giderek zorlaşıyor. Aynı zamanda satıcılar, internete bağlı tüm ekipmanların güvenliğiyle ilgili endişelerini son kullanıcıya aktarıyor [1]: "Boğulan insanları kurtarmak, boğulan insanların kendi işidir."

Satıcılar sadece ürettikleri ürünlerin siber güvenliğini önemsemiyor, aynı zamanda bazı durumlarda bunun sağlanmasına da müdahale ediyorlar. Örneğin, 2009 yılında Conficker ağ solucanı Beth Israel Tıp Merkezi'ne sızdığında ve oradaki tıbbi ekipmanın bir kısmına bulaştığında, bu tıp merkezinin teknik müdürü, gelecekte benzer olayların meydana gelmesini önlemek amacıyla, cihazı devre dışı bırakmaya karar verdi. Ağ ile solucandan etkilenen ekipman üzerinde operasyon destek fonksiyonu. Ancak "mevzuat kısıtlamaları nedeniyle ekipmanın güncellenemediği" gerçeğiyle karşı karşıya kaldı. Ağ işlevlerini devre dışı bırakmak için satıcıyla pazarlık yapmak büyük çaba gerektirdi. [4]

İnternetin Temel Siber Güvensizliği

Dehası kendisine "Albus Dumbledore" lakabını kazandıran efsanevi MIT profesörü David Clarke, İnternet'in karanlık yüzünün dünyaya açığa çıktığı günü hatırlıyor. Clark, Kasım 1988'de bir telekomünikasyon konferansına başkanlık ederken, tarihteki ilk bilgisayar solucanının ağ kabloları arasından sızdığına dair haberler çıktı. Clark bu anı hatırladı çünkü konferansında bulunan konuşmacı (önde gelen telekomünikasyon şirketlerinden birinin çalışanı) bu solucanın yayılmasından sorumlu tutulmuştu. Bu konuşmacı, duygunun hararetiyle istemeden şöyle dedi: "İşte başlıyoruz!" Bu açığı kapatmış gibiyim” diyerek bu sözlerin bedelini ödedi. [5]

Ancak daha sonra, söz konusu solucanın yayıldığı güvenlik açığının herhangi bir kişinin özelliği olmadığı ortaya çıktı. Ve bu, kesin olarak konuşursak, bir güvenlik açığı bile değil, İnternet'in temel bir özelliğiydi: İnternetin kurucuları, beyin çocuklarını geliştirirken yalnızca veri aktarım hızına ve hata toleransına odaklandılar. Kendilerine siber güvenliği sağlama görevini koymadılar. [5]

Bugün, İnternet'in kuruluşundan onlarca yıl sonra (siber güvenliğe yönelik nafile girişimlere yüz milyarlarca dolar harcanmışken), İnternet de daha az savunmasız değil. Siber güvenlik sorunları her geçen yıl daha da kötüleşiyor. Ancak internetin kurucularını bunun için kınama hakkımız var mı? Sonuçta, örneğin hiç kimse otoyol inşaatçılarını "kendi yollarında" kazalar meydana geldiği için kınamayacaktır; ve hiç kimse şehir planlamacılarını "kendi şehirlerinde" soygunlar meydana geldiği için kınamayacaktır. [5]

Hacker alt kültürü nasıl doğdu?

Bilgisayar korsanı alt kültürü, 1960'ların başında, (Massachusetts Teknoloji Enstitüsü'nün duvarları içinde faaliyet gösteren) "Demiryolu Teknik Modelleme Kulübü"nde ortaya çıktı. Kulüp meraklıları, tüm odayı dolduracak kadar büyük bir model demiryolu tasarladı ve monte etti. Kulüp üyeleri kendiliğinden iki gruba ayrıldı: barış yapıcılar ve sistem uzmanları. [6]

Birincisi modelin yer üstü kısmıyla, ikincisi ise yer altıyla çalıştı. İlkler trenlerin ve şehirlerin modellerini toplayıp süslediler: Tüm dünyayı minyatür olarak modellediler. İkincisi, tüm bu barışı sağlamak için teknik destek üzerinde çalıştı: modelin yeraltı kısmında yer alan karmaşık kablolar, röleler ve koordinat anahtarları - "yer üstü" kısmını kontrol eden ve onu enerjiyle besleyen her şey. [6]

Bir trafik sorunu olduğunda ve birisi bunu düzeltmek için yeni ve ustaca bir çözüm bulduğunda, çözüme "hack" adı veriliyordu. Kulüp üyeleri için yeni tüyolar arayışı hayatın asıl anlamı haline geldi. Bu yüzden kendilerine "hacker" demeye başladılar. [6]

İlk nesil bilgisayar korsanları, Simülasyon Demiryolu Kulübü'nde edindikleri becerileri delikli kartlara bilgisayar programları yazarak uyguladılar. Daha sonra, ARPANET (İnternet'in öncüsü) 1969'da kampüse geldiğinde, bilgisayar korsanları onun en aktif ve yetenekli kullanıcıları haline geldi. [6]

Şimdi, onlarca yıl sonra, modern İnternet, model demiryolunun o “yeraltı” kısmına benziyor. Çünkü kurucuları aynı hackerlar, “Demiryolu Simülasyon Kulübü” öğrencileriydi. Artık simüle edilmiş minyatürler yerine gerçek şehirleri yalnızca bilgisayar korsanları yönetiyor. [6]

BGP yönlendirmesi nasıl ortaya çıktı?

80'li yılların sonuna gelindiğinde, İnternet'e bağlı cihazların sayısındaki çığ benzeri artışın bir sonucu olarak İnternet, temel İnternet protokollerinden birinde yerleşik olan katı matematiksel sınıra yaklaştı. Dolayısıyla o zamanın mühendisleri arasındaki herhangi bir konuşma, sonunda bu sorunun tartışılmasına dönüştü. İki arkadaş da istisna değildi: Jacob Rechter (IBM'den bir mühendis) ve Kirk Lockheed (Cisco'nun kurucusu). Şans eseri yemek masasında tanışan ikili, internetin işlevselliğini korumaya yönelik önlemleri tartışmaya başladı. Arkadaşlar ellerine ne gelirse, ketçap lekeli bir peçeteyle ilgili ortaya çıkan fikirleri yazdılar. Sonra ikincisi. Sonra üçüncüsü. Mucitlerinin şakayla karışık adlandırdığı şekliyle "üç peçete protokolü" (resmi çevrelerde BGP (Sınır Geçidi Protokolü) olarak bilinir) kısa sürede internette devrim yarattı. [8]

Rechter ve Lockheed için BGP, daha önce adı geçen Model Demiryolu Kulübü'nün ruhuyla geliştirilmiş, kısa süre sonra değiştirilecek geçici bir çözüm olan basit bir hack'ti. Arkadaşlar 1989'da BGP'yi geliştirdiler. Ancak bugün, yani 30 yıl sonra, siber güvenlikle ilgili kritik sorunlara ilişkin giderek artan endişe verici çağrılara rağmen, İnternet trafiğinin çoğunluğu hâlâ "üç peçete protokolü" kullanılarak yönlendiriliyor. Geçici hack, temel İnternet protokollerinden biri haline geldi ve geliştiricileri kendi deneyimlerinden "geçici çözümlerden daha kalıcı hiçbir şeyin olmadığını" öğrendi. [8]

Dünyanın her yerindeki ağlar BGP'ye geçti. Etkili satıcılar, varlıklı müşteriler ve telekomünikasyon şirketleri hızla BGP'ye aşık oldu ve ona alıştı. Bu nedenle, bu protokolün güvensizliğine ilişkin giderek artan alarm zillerine rağmen, BT toplumu yeni, daha güvenli ekipmanlara geçiş konusunda hâlâ hevesli değil. [8]

Siber güvenli olmayan BGP yönlendirmesi

BGP yönlendirmesi neden bu kadar iyi ve BT topluluğu neden bundan vazgeçmek için acele etmiyor? BGP, yönlendiricilerin, kesişen iletişim hatlarından oluşan devasa bir ağ üzerinden gönderilen büyük veri akışlarını nereye yönlendirecekleri konusunda karar vermelerine yardımcı olur. BGP, ağ sürekli olarak değişse ve popüler rotalarda sıklıkla trafik sıkışıklığı yaşansa da yönlendiricilerin uygun yolları seçmesine yardımcı olur. Sorun, İnternet'in küresel bir yönlendirme haritasına sahip olmamasıdır. BGP kullanan yönlendiriciler, siber uzaydaki komşularından aldıkları bilgilere dayanarak bir yol veya diğerini seçme konusunda karar verirler ve onlar da komşularından vb. bilgi toplarlar. Ancak bu bilgiler kolayca tahrif edilebilir; bu da BGP yönlendirmesinin MiTM saldırılarına karşı oldukça savunmasız olduğu anlamına gelir. [8]

Bu nedenle, şuna benzer sorular sıklıkla ortaya çıkıyor: "Denver'daki iki bilgisayar arasındaki trafik neden İzlanda üzerinden devasa bir yoldan geçti?", "Pentagon'un gizli verileri neden Pekin üzerinden aktarılırken aktarıldı?" Bunun gibi soruların teknik yanıtları var, ancak hepsi BGP'nin güvene dayalı çalıştığı gerçeğine varıyor: komşu yönlendiricilerden alınan önerilere güven. BGP protokolünün güvenilir doğası sayesinde, gizemli trafik yöneticileri, isterlerse diğer insanların veri akışlarını kendi alanlarına çekebilirler. [8]

Canlı bir örnek, Çin'in Amerikan Pentagon'una yönelik BGP saldırısıdır. Nisan 2010'da devlete ait telekomünikasyon devi China Telecom, 16'i Amerika Birleşik Devletleri'nde olmak üzere dünya çapında on binlerce yönlendirici gönderdi ve onlara daha iyi rotalara sahip olduklarını söyleyen bir BGP mesajı verdi. China Telecom'dan gelen bir BGP mesajının geçerliliğini doğrulayabilecek bir sistem olmadığından, dünyanın dört bir yanındaki yönlendiriciler Pekin üzerinden transit olarak veri göndermeye başladı. Pentagon'dan ve ABD Savunma Bakanlığı'nın diğer sitelerinden gelen trafik dahil. Trafiğin yeniden yönlendirilme kolaylığı ve bu tür saldırılara karşı etkili korumanın bulunmaması, BGP yönlendirmesinin güvensizliğinin bir başka işaretidir. [8]

BGP protokolü teorik olarak daha da tehlikeli bir siber saldırıya karşı savunmasızdır. Siber uzayda uluslararası çatışmaların tüm gücüyle artması durumunda, China Telecom veya başka bir telekomünikasyon devi, İnternet'in gerçekte kendisine ait olmayan kısımlarının mülkiyetini talep etmeye çalışabilir. Böyle bir hareket, aynı İnternet adresi blokları için rakip teklifler arasında geçiş yapmak zorunda kalacak yönlendiricilerin kafasını karıştıracaktır. Meşru bir uygulamayı sahte olandan ayırt etme yeteneği olmazsa, yönlendiriciler kararsız davranmaya başlar. Sonuç olarak, nükleer savaşın internetteki eşdeğeri ile, yani açık, geniş çaplı bir düşmanlık gösterisiyle karşı karşıya kalacağız. Göreceli barış zamanlarında böyle bir gelişme gerçekçi görünmese de teknik olarak oldukça mümkündür. [8]

BGP'den BGPSEC'e geçmek için nafile bir girişim

BGP geliştirilirken siber güvenlik dikkate alınmamıştı çünkü o zamanlar hacklemeler nadirdi ve bunlardan kaynaklanan hasarlar ihmal edilebilir düzeydeydi. BGP geliştiricilerinin telekomünikasyon şirketlerinde çalıştıkları ve ağ ekipmanlarını satmakla ilgilendikleri için daha acil bir görevi vardı: İnternet'in kendiliğinden çökmesini önlemek. Çünkü internetteki kesintiler kullanıcıları uzaklaştırabilir ve dolayısıyla ağ ekipmanlarının satışını azaltabilir. [8]

Nisan 2010'da Amerikan askeri trafiğinin Pekin üzerinden iletilmesiyle ilgili olaydan sonra, BGP yönlendirmesinin siber güvenliğini sağlamaya yönelik çalışmaların hızı kesinlikle hızlandı. Ancak telekom sağlayıcıları, güvenli olmayan BGP'nin yerine geçmesi önerilen yeni güvenli yönlendirme protokolü BGPSEC'e geçişle ilgili maliyetleri karşılama konusunda pek istekli değiller. Satıcılar, sayısız trafik müdahalesi olayına rağmen hala BGP'yi oldukça kabul edilebilir buluyor. [8]

1988'de (BGP'den bir yıl önce) başka bir büyük ağ protokolünü icat ettiği için "İnternetin Annesi" olarak anılan Radia Perlman, MIT'de kehanet niteliğinde bir doktora tezi kazandı. Perlman, siberuzaydaki komşuların dürüstlüğüne dayanan bir yönlendirme protokolünün temelde güvensiz olduğunu öngördü. Perlman, sahtecilik olasılığını sınırlamaya yardımcı olacak kriptografinin kullanılmasını savundu. Bununla birlikte, BGP'nin uygulanması zaten tüm hızıyla devam ediyordu, etkili BT topluluğu buna alışmıştı ve hiçbir şeyi değiştirmek istemiyordu. Bu nedenle, Perlman, Clark ve diğer önde gelen dünya uzmanlarından gelen gerekçeli uyarılardan sonra, kriptografik olarak güvenli BGP yönlendirmesinin göreceli payı hiç artmadı ve hala %0'dır. [8]

BGP yönlendirmesi tek hack değil

Ve BGP yönlendirme "hiçbir şeyin geçici çözümlerden daha kalıcı olmadığı" fikrini doğrulayan tek hack değil. Bazen bizi fantastik dünyalara sürükleyen internet, bir yarış arabası kadar zarif görünüyor. Ancak gerçekte üst üste yığılmış hack'ler nedeniyle İnternet, Ferrari'den çok Frankenstein'a benziyor. Çünkü bu hack'lerin (daha resmi olarak yamalar olarak adlandırılır) yerini hiçbir zaman güvenilir teknoloji alamaz. Bu yaklaşımın sonuçları vahimdir: Siber suçlular, her gün ve her saat, savunmasız sistemlere sızarak, siber suçların kapsamını daha önce hayal bile edilemeyecek boyutlara çıkarmaktadır. [8]

Siber suçluların yararlandığı kusurların çoğu uzun zamandır biliniyor ve yalnızca BT topluluğunun ortaya çıkan sorunları geçici hackler/yamalarla çözme eğilimi nedeniyle korundu. Bazen bu nedenle eski teknolojiler uzun süre üst üste birikerek insanların hayatlarını zorlaştırıyor ve onları tehlikeye atıyor. Bankanızın kasasını saman ve çamurdan oluşan bir temel üzerine inşa ettiğini öğrenseydiniz ne düşünürdünüz? Tasarruflarınızı saklaması için ona güvenir misiniz? [8]

Linus Torvalds'ın kaygısız tutumu

İnternetin ilk yüz bilgisayara ulaşması yıllar aldı. Bugün her saniye 100 yeni bilgisayar ve diğer cihaz ona bağlanıyor. İnternete bağlı cihazlar patladıkça siber güvenlik sorunlarının aciliyeti de artıyor. Ancak bu sorunların çözümünde en büyük etkiyi yaratabilecek kişi, siber güvenliğe küçümseyen kişidir. Bu adama dahi, kabadayı, ruhani lider ve hayırsever diktatör denildi. Linus Torvalds. İnternete bağlı cihazların büyük çoğunluğu işletim sistemi Linux'u çalıştırır. Hızlı, esnek, ücretsiz - Linux zamanla giderek daha popüler hale geliyor. Aynı zamanda oldukça kararlı davranır. Ve uzun yıllar yeniden başlatmadan çalışabilir. Linux'un baskın işletim sistemi olma onuruna sahip olmasının nedeni budur. Bugün elimizde bulunan neredeyse tüm bilgisayarlı ekipmanlar Linux çalıştırıyor: sunucular, tıbbi ekipmanlar, uçuş bilgisayarları, küçük dronlar, askeri uçaklar ve çok daha fazlası. [9]

Linux büyük ölçüde başarılı çünkü Torvalds performansa ve hata toleransına önem veriyor. Ancak bu vurguyu siber güvenlik pahasına yapıyor. Siber uzay ile gerçek fiziksel dünya iç içe geçerken ve siber güvenlik küresel bir sorun haline gelirken Torvalds, işletim sistemine güvenli yenilikler getirme konusunda direnmeye devam ediyor. [9]

Bu nedenle, birçok Linux hayranı arasında bile bu işletim sisteminin güvenlik açıkları konusunda artan bir endişe var. Özellikle Torvalds'ın kişisel olarak üzerinde çalıştığı Linux'un en mahrem kısmı olan çekirdeği. Linux hayranları Torvalds'ın siber güvenlik sorunlarını ciddiye almadığını görüyor. Üstelik Torvalds, etrafını bu kaygısız tavrı paylaşan geliştiricilerle çevreledi. Torvalds'ın yakın çevresinden biri güvenli yenilikler getirmekten bahsetmeye başlarsa anında lanetleniyor. Torvalds, bu tür yenilikçilerden oluşan bir grubu "mastürbasyon yapan maymunlar" olarak nitelendirerek reddetti. Torvalds, güvenlik bilincine sahip başka bir grup geliştiriciye veda ederken onlara şöyle dedi: “Kendinizi öldürme nezaketini gösterir misiniz? Onun sayesinde dünya daha iyi bir yer olurdu.” İş güvenlik özellikleri eklemeye geldiğinde Torvalds her zaman buna karşıydı. [9] Torvalds'ın bu konuda bir nebze de olsa sağduyulu bir felsefesi bile var:

“Mutlak güvenlik elde edilemez. Bu nedenle her zaman yalnızca diğer önceliklerle ilişkili olarak değerlendirilmelidir: hız, esneklik ve kullanım kolaylığı. Kendilerini tamamen koruma sağlamaya adayan insanlar delidir. Düşünceleri sınırlıdır, siyah ve beyazdır. Güvenlik tek başına işe yaramaz. Öz her zaman başka yerdedir. Bu nedenle gerçekten isteseniz bile mutlak güvenliği sağlayamazsınız. Elbette güvenliğe Torvald'lardan daha fazla önem veren insanlar var. Ancak bu adamlar sadece kendilerini ilgilendiren şeyler üzerinde çalışıyor ve bu çıkarları belirleyen dar göreceli çerçeve içerisinde güvenliği sağlıyorlar. Daha fazla yok. Dolayısıyla mutlak güvenliğin artırılmasına hiçbir şekilde katkıda bulunmuyorlar.” [9]

Kenar Çubuğu: Açık Kaynak barut fıçısı gibidir [10]

Açık Kaynak kodu, yazılım geliştirme maliyetlerinde milyarlarca tasarruf sağladı ve mükerrer çabalara olan ihtiyacı ortadan kaldırdı: Açık Kaynak ile programcılar mevcut yenilikleri kısıtlama veya ödeme olmaksızın kullanma fırsatına sahip oluyor. Açık Kaynak her yerde kullanılır. Özel sorununuzu sıfırdan çözmek için bir yazılım geliştiricisi kiralasanız bile, bu geliştirici büyük olasılıkla bir tür Açık Kaynak kitaplığı kullanacaktır. Ve muhtemelen birden fazla. Dolayısıyla Açık Kaynak unsurları hemen hemen her yerde mevcuttur. Aynı zamanda hiçbir yazılımın statik olmadığını, kodunun sürekli değiştiğini de anlamak gerekir. Bu nedenle “ayarla ve unut” prensibi kod için asla işe yaramaz. Açık Kaynak kodu dahil: Er ya da geç güncellenmiş bir sürüm gerekli olacaktır.

2016 yılında bu durumun sonuçlarını gördük: 28 yaşındaki bir geliştirici, daha önce halka açık hale getirdiği Açık Kaynak kodunu silerek İnternet'i kısa süreliğine "kırdı". Bu hikaye siber altyapımızın çok kırılgan olduğuna işaret ediyor. Açık Kaynak projelerini destekleyen bazı insanlar bunu sürdürmek için o kadar önemli ki, Allah korusun onlara bir otobüs çarpsa İnternet çöker.

Bakımı zor kod, en ciddi siber güvenlik açıklarının gizlendiği yerdir. Bazı şirketler, bakımı zor kodlar nedeniyle ne kadar savunmasız olduklarının farkında bile değiller. Bu tür kodlarla ilişkili güvenlik açıkları çok yavaş bir şekilde gerçek bir soruna dönüşebilir: Sistemler, çürüme sürecinde gözle görülür hatalar göstermeden yavaş yavaş çürür. Ve başarısız olduklarında sonuçları ölümcül oluyor.

Son olarak, Açık Kaynak projeleri genellikle Linus Torvalds veya makalenin başında bahsedilen Model Demiryolu Kulübü'ndeki bilgisayar korsanları gibi meraklılardan oluşan bir topluluk tarafından geliştirildiğinden, bakımı zor kodlarla ilgili sorunlar geleneksel yollarla (kullanarak) çözülemez. ticari ve hükümet kaldıraçları). Çünkü bu tür toplulukların üyeleri inatçıdır ve bağımsızlıklarını her şeyin üstünde tutarlar.

Kenar Çubuğu: Belki istihbarat servisleri ve antivirüs geliştiricileri bizi koruyacaktır?

2013 yılında Kaspersky Lab'in bilgi güvenliği olaylarına ilişkin özel soruşturmalar yürüten özel bir birimi olduğu öğrenildi. Yakın zamana kadar, bu departmana daha önce başkentin “K” Departmanında (Moskova Ana İçişleri Müdürlüğü USTM) çalışmış olan eski bir polis binbaşı Ruslan Stoyanov başkanlık ediyordu. Kaspersky Lab'in bu özel biriminin tüm çalışanları, Soruşturma Komitesi ve "K" Müdürlüğü de dahil olmak üzere emniyet teşkilatlarından gelmektedir. [onbir]

2016 yılının sonunda FSB, Ruslan Stoyanov'u tutukladı ve onu vatana ihanetle suçladı. Aynı durumda, FSB CIB'nin (bilgi güvenliği merkezi) üst düzey bir temsilcisi olan Sergei Mihaylov tutuklandı ve tutuklanmadan önce ülkenin tüm siber güvenliğinin kendisine bağlı olduğu. [onbir]

Kenar Çubuğu: Siber Güvenlik Zorunlu

Yakında Rus girişimciler siber güvenliğe ciddi önem vermek zorunda kalacak. Ocak 2017'de Bilgi Koruma ve Özel İletişim Merkezi temsilcisi Nikolai Murashov, Rusya'da 2016 yılında yalnızca CII nesnelerine (kritik bilgi altyapısı) 70 milyondan fazla saldırıya uğradığını belirtti. CII nesneleri arasında devlet kurumlarının bilgi sistemleri, savunma sanayi kuruluşları, ulaştırma, kredi ve finans sektörleri, enerji, yakıt ve nükleer endüstriler yer almaktadır. Onları korumak için 26 Temmuz'da Rusya Devlet Başkanı Vladimir Putin "CII'nin güvenliğine ilişkin" bir yasa paketi imzaladı. Yasanın yürürlüğe girdiği 1 Ocak 2018'e kadar, CII tesislerinin sahipleri, altyapılarını özellikle GosSOPKA'ya bağlanmak için hacker saldırılarından korumak için bir dizi önlem uygulamalıdır. [12]

Kaynakça

1. Jonathan Millet. IoT: Akıllı Cihazlarınızın Güvenliğini Sağlamanın Önemi // 2017.
2. Ross Anderson. Akıllı kart ödeme sistemleri nasıl başarısız oluyor // Black Hat. 2014.
3. SJ Murdoch. Çip ve PIN Bozuldu // IEEE Güvenlik ve Gizlilik Sempozyumu Bildirileri. 2010. s. 433-446.
4. David Talbot. Bilgisayar Virüsleri Hastanelerdeki Tıbbi Cihazlarda "Yaygın" // MIT Teknoloji İncelemesi (Dijital). 2012.
5. Craig Timberg. Güvensizlik Ağı: Tasarımda Bir Akış // Washington post. 2015.
6. Michael Lista. Milyonlarını arabalara, kıyafetlere ve saatlere harcayan genç bir hackerdı; ta ki FBI fark edene kadar. // Toronto'nun Hayatı. 2018.
7. Craig Timberg. Güvensizlik Ağı: Önceden Bildirilen ve Görmezden Gelen Bir Felaket // Washington post. 2015.
8. Craig Timberg. Hızlı bir 'düzeltmenin' uzun ömrü: 1989'dan kalma İnternet protokolü, verileri korsanlara karşı savunmasız bırakıyor // Washington post. 2015.
9. Craig Timberg. Güvensizliğin Ağı: Tartışmanın özü // Washington post. 2015.
10. Joshua Gans. Açık Kaynak Kod Y2K Korkularımızı Sonunda Gerçekleştirebilir mi? // Harvard Business Review (Dijital). 2017.
11. Kaspersky'nin üst düzey yöneticisi FSB tarafından tutuklandı // CHaberler. 2017. URL'si.
12. Maria Kolomychenko. Siber istihbarat servisi: Sberbank, bilgisayar korsanlarıyla mücadele için bir merkez oluşturmayı önerdi // RBC. 2017.

Kaynak: habr.com