Quando os "chapéus pretos", sendo os ordenanças da floresta selvagem do ciberespaço, são especialmente bem-sucedidos em seu trabalho sujo, a mídia amarela grita de alegria. Como resultado, o mundo está começando a olhar mais seriamente a segurança cibernética. Mas infelizmente não imediatamente. Portanto, apesar do número cada vez maior de incidentes cibernéticos catastróficos, o mundo ainda não está maduro para medidas proativas ativas. No entanto, espera-se que, em um futuro próximo, graças aos “chapéus pretos” o mundo comece a considerar seriamente a segurança cibernética. [7]

Tão a sério quanto os incêndios ... Era uma vez, as cidades eram muito vulneráveis ​​a incêndios catastróficos. No entanto, apesar do perigo potencial, medidas preventivas de proteção não foram tomadas, mesmo após o gigantesco incêndio em Chicago em 1871, que matou centenas de vidas e privou centenas de milhares de pessoas de suas casas. Medidas de proteção proativas foram tomadas somente depois que uma catástrofe semelhante foi repetida novamente, três anos depois. O mesmo acontece com a segurança cibernética - o mundo não resolverá esse problema se não houver incidentes catastróficos. Mas, mesmo que esses incidentes ocorram, o mundo não resolverá esse problema imediatamente. [7] Portanto, mesmo o ditado: “Até que o bug comece, o homem não ficará estragado” - ele não funciona completamente. Portanto, em 2018, comemoramos o 30º aniversário de insegurança desenfreada.

Coloque a Internet em 30 minutos

Em 1988, a lendária galáxia hacker L0pht, falando com força total antes de uma reunião das mais influentes autoridades ocidentais, disse: “Seu equipamento computadorizado é vulnerável a ataques cibernéticos da Internet. E software, hardware e telecomunicações. Seus fornecedores não se importam com esse estado de coisas. Porque a legislação moderna não prevê qualquer responsabilidade por uma abordagem negligente para garantir a cibersegurança de software e hardware produzidos. A responsabilidade por possíveis falhas (mesmo espontâneas, mesmo causadas pela intervenção de cibercriminosos) - cabe exclusivamente ao usuário do equipamento. Quanto ao governo federal, ele não possui as habilidades nem o desejo de resolver esse problema. Portanto, se você estiver procurando por segurança cibernética, a Internet não é o lugar onde você pode encontrá-la. Cada uma das sete pessoas sentadas à sua frente pode quebrar completamente a Internet e, consequentemente, assumir o controle total sobre o equipamento ligado a ela. Sozinho. 30 minutos de pressionamentos de teclas coreográficos - e pronto. ” [7]

Os funcionários assentiram significativamente, deixando claro que entendiam a gravidade da situação, mas não haviam feito nada. Hoje, exatamente 30 anos após o lendário desempenho de L0pht, a “insegurança irrestrita” reina no mundo. Hackear equipamentos computadorizados relacionados à Internet é tão fácil que a Internet, que originalmente era o domínio de cientistas e entusiastas idealistas, foi gradualmente ocupada pelos profissionais mais pragmáticos: bandidos, golpes, espiões e terroristas. Todos eles exploram vulnerabilidades de equipamentos computadorizados - para extrair benefícios financeiros ou outros. [7]

Os fornecedores negligenciam a cibersegurança

Às vezes, os fornecedores certamente tentam corrigir algumas das vulnerabilidades identificadas, mas estão fazendo isso com muita relutância. Porque o lucro que eles trazem não é proteção contra hackers, mas a nova funcionalidade que eles fornecem aos consumidores. Concentrados exclusivamente no lucro de curto prazo, os fornecedores investem dinheiro apenas na solução de problemas reais, não hipotéticos. A cibersegurança, aos olhos de muitos deles, é uma coisa hipotética. [7]

A cibersegurança é uma coisa invisível e intangível. Só se torna tangível quando surgem problemas. Se você cuidou bem dele (gastou muito dinheiro em fornecê-lo) e não há problemas, o usuário final não deseja pagar em excesso. Além disso, além de aumentar os custos financeiros, a implementação de medidas de proteção requer tempo de desenvolvimento adicional, exige recursos limitados de equipamentos e leva a uma diminuição de sua produtividade. [8]

É difícil convencer até os próprios profissionais de marketing da adequação dos custos acima, e muito menos dos consumidores finais. E como os fornecedores modernos estão interessados ​​exclusivamente no lucro de vendas de curto prazo, eles não estão absolutamente inclinados a assumir a responsabilidade de garantir a segurança cibernética de suas criações. [1] Por outro lado, fornecedores mais atenciosos, que, no entanto, cuidavam da segurança cibernética de seus equipamentos, enfrentam o fato de que os consumidores corporativos preferem - alternativas mais baratas e fáceis de usar. T.O. a segurança cibernética também preocupa pouco os consumidores corporativos. [8]

À luz do exposto, não surpreende que os fornecedores tendam a negligenciar a segurança cibernética e a aderir à seguinte filosofia: “Continue construindo, continue vendendo e, se necessário, faça correções. O sistema travou? Perdeu informações? Banco de dados de número de cartão de crédito roubado? Existem vulnerabilidades fatais no equipamento? Não importa! " Os consumidores, por sua vez, precisam seguir o princípio: "Remendado e orado". [7]

Como isso acontece: exemplos da natureza

Um exemplo impressionante de negligência da segurança cibernética no desenvolvimento é o programa motivacional corporativo da Microsoft: “Se você não cumpriu os prazos, será multado. Não consegui apresentar o lançamento da minha inovação a tempo - ela não será introduzida. Se não for implementado, você não receberá as ações da empresa (um pedaço do bolo do lucro da Microsoft). " Desde 1993, a Microsoft começou a vincular ativamente seus produtos à Internet. Como essa iniciativa agiu de acordo com o mesmo programa motivacional, a funcionalidade expandiu-se mais rapidamente do que a proteção acompanhava o ritmo deles. Para o deleite dos caçadores pragmáticos de vulnerabilidades ... [7]

Outro exemplo é a situação com computadores e laptops: eles não vêm com um antivírus pré-instalado; e a predefinição de senhas fortes também não é fornecida nelas. Entende-se que a instalação do antivírus e a definição dos parâmetros de configuração de segurança serão o usuário final. [1]

Outro exemplo mais extremo: a situação com a cibersegurança de equipamentos comerciais (caixas registradoras, terminais PoS para shopping centers etc.). Aconteceu que os fornecedores de equipamentos comerciais vendem apenas o que está à venda e não o que é seguro. [2] Se os fornecedores de equipamentos comerciais se preocupam com algo em termos de segurança cibernética, é que, no caso de um incidente controverso, a responsabilidade recai sobre os outros. [3]

Um bom exemplo desse desenvolvimento: a popularização do padrão EMV para cartões bancários, que, graças ao trabalho competente dos profissionais de marketing de bancos, parece nos olhos de um conhecimento técnico inexperiente do público, é uma alternativa mais segura para cartões magnéticos "obsoletos". Ao mesmo tempo, a principal motivação do setor bancário, responsável pelo desenvolvimento do padrão EMV, foi transferir a responsabilidade por incidentes fraudulentos (ocorridos por falhas nos cartões) - das lojas para os clientes. Enquanto anteriormente (quando eram feitos pagamentos com cartões magnéticos) por discrepâncias em débito / crédito, a responsabilidade financeira era das lojas. [3] Assim os bancos que processam pagamentos responsabilizam os vendedores (que usam seus sistemas de serviços bancários remotos) ou os bancos que emitem cartões de pagamento; os dois últimos, por sua vez, transferem a responsabilidade para o titular do cartão. [2]

Fornecedores dificultam a segurança cibernética

À medida que a superfície dos ataques digitais cresce inexoravelmente - graças ao crescimento explosivo de dispositivos conectados à Internet -, fica mais difícil acompanhar o que está conectado à rede corporativa. Ao mesmo tempo, os fornecedores de segurança transferem a segurança de todos os equipamentos conectados à Internet para o usuário final [1]: "Salvar o afogamento é o trabalho do próprio afogamento".

Os fornecedores não apenas não se importam com a segurança cibernética de suas criações, mas, em alguns casos, também impedem sua provisão. Assim, por exemplo, quando em 2009 o worm da rede Conficker vazou para o centro médico de Beth Israel e infectou parte do equipamento médico lá, o diretor técnico desse centro médico decidiu desativar a função de suporte ao trabalho no equipamento afetado pelo worm no futuro com a rede. No entanto, ele enfrentou o fato de que "o equipamento não pode ser atualizado devido a restrições regulatórias". Foi necessário um esforço considerável para coordenar com o fornecedor a desconexão das funções de rede. [4]

Segurança cibernética não relacionada à Internet

David Clark, o lendário professor do MIT, que ganhou o apelido de "Albus Dumbledore" com sua perspicácia engenhosa, lembra o dia em que o lado sombrio da Internet foi revelado ao mundo. Clark presidiu uma conferência de telecomunicações em novembro de 1988, quando se espalhou a notícia de que o primeiro worm de computador do mundo passara pelos fios da rede. Clark lembrou-se desse momento porque foi responsabilizado pela propagação desse verme - o orador de sua conferência (funcionário de uma das principais empresas de telecomunicações) foi trazido. Este orador, no calor da emoção, inadvertidamente disse: “Aqui estão eles! Eu meio que fechei essa vulnerabilidade ”, ele pagou por essas palavras. [5]

No entanto, mais tarde ficou claro que a vulnerabilidade através da qual o verme mencionado se espalhou não era o mérito de nenhuma pessoa em particular. E isso, estritamente falando, não era nem uma vulnerabilidade, mas uma característica fundamental da Internet: os fundadores da Internet, ao desenvolverem suas ideias, concentraram-se exclusivamente na velocidade de transferência de dados e na tolerância a falhas. Eles não se propuseram a garantir a segurança cibernética. [5]

Hoje, décadas após a fundação da Internet - quando centenas de bilhões de dólares já foram gastos em tentativas inúteis de garantir a segurança cibernética - a Internet não se tornou menos vulnerável. Os problemas com sua segurança cibernética só pioram a cada ano. No entanto, temos o direito de culpar os fundadores da Internet por isso? De fato, por exemplo, ninguém condenará os construtores de vias expressas pelo fato de acidentes ocorrerem em "suas estradas"; e ninguém condenará os planejadores urbanos pelo roubo em "suas cidades". [5]

Como nasceu a subcultura hacker

A subcultura hacker surgiu no início dos anos 60, no "Clube de Modelagem Técnica da Ferrovia" (operando dentro dos muros do Instituto de Tecnologia de Massachusetts). Os entusiastas do clube projetaram e montaram um modelo da ferrovia - tão grande que encheu toda a sala. Os membros do clube dividiram-se espontaneamente em dois grupos: mantenedores da paz e especialistas em sistemas. [6]

O primeiro trabalhou com a parte aérea do modelo, o segundo com o subterrâneo. Os primeiros colecionavam e decoravam modelos de trens e cidades: modelavam o mundo inteiro em miniatura. Este último trabalhou no suporte técnico de toda essa manutenção da paz: os meandros dos fios, relés e comutadores de coordenadas localizados na parte subterrânea do modelo - tudo o que controlava a parte “acima do solo” e a alimentava com energia. [6]

Quando surgiu um problema de tráfego e alguém surgiu com uma nova solução engenhosa para corrigi-lo, essa solução foi chamada de "hack". Para os membros do clube, a busca por novos hacks se transformou em um senso de vida inerente. Por isso começaram a se chamar "hackers". [6]

A primeira geração de hackers implementou as habilidades adquiridas no "Railroad Modeling Club" - ao escrever programas de computador em cartões perfurados. Então, quando a ARPANET (a precursora da Internet) chegou ao campus em 1969, foram os hackers que se tornaram seus usuários mais ativos e qualificados. [6]

Agora, décadas depois, a Internet moderna se assemelha à parte "subterrânea" do modelo ferroviário. Como seus ancestrais eram os mesmos hackers, os alunos do "Railway Modeling Club". Somente hackers agora, em vez de miniaturas modeladas, exercem cidades reais. [6]

Como surgiu o roteamento BGP?

No final dos anos 80, como resultado de um aumento semelhante ao de uma avalanche no número de dispositivos conectados à Internet, a Internet abordou uma severa restrição matemática incorporada a um dos protocolos básicos da Internet. Portanto, qualquer conversa dos então engenheiros, no final, se transformou em uma discussão sobre esse problema. Dois amigos não foram exceção: Jacob Rechter (engenheiro da IBM) e Kirk Lockheed (fundador da Cisco). Por acaso, reunidos à mesa do jantar, começaram a discutir medidas para manter a Internet em funcionamento. Os amigos escreveram suas idéias sobre o que veio à mão - um guardanapo de ketchup sujo. Depois o segundo. Depois o terceiro. O “Protocolo dos Três Guardanapos”, como os inventores o chamavam de brincadeira - conhecido nos círculos oficiais como BGP (Protocolo de Gateway de Fronteira; Protocolo de Roteamento de Fronteira) - logo revolucionou a Internet. [8]

Para Rechter e Lockheed, o BGP era apenas um hack descontraído, projetado no espírito do Railroad Modeling Club mencionado acima, uma solução temporária que deve ser substituída em breve. Friends desenvolveu o BGP em 1989. No entanto, hoje, após 30 anos, a parte predominante do tráfego da Internet ainda é roteada pelo “protocolo em três guardanapos”, apesar das chamadas cada vez mais alarmantes sobre problemas críticos com sua segurança cibernética. Um hack temporário se tornou um dos protocolos básicos da Internet, e seus desenvolvedores viram por experiência própria que "não há nada mais permanente do que soluções temporárias". [8]

Redes em todo o mundo mudaram para o BGP. Fornecedores influentes, clientes abastados e empresas de telecomunicações - rapidamente se apaixonaram pelo BGP e se acostumaram. Portanto, apesar dos sinos cada vez mais preocupantes sobre a insegurança desse protocolo, a comunidade de TI ainda não está entusiasmada em mudar para equipamentos novos e mais seguros. [8]

Roteamento BGP de segurança não cibernética

Por que o roteamento BGP é tão bom e por que a comunidade de TI não tem pressa em abandoná-lo? O BGP ajuda os roteadores a tomar decisões sobre para onde enviar os gigantescos fluxos de dados transmitidos através de uma enorme rede de linhas cruzadas. O BGP ajuda os roteadores a escolher os caminhos apropriados, apesar do fato de a rede estar constantemente mudando e os congestionamentos de tráfego frequentemente se formarem em rotas populares. O problema é que não há mapa de roteamento global na Internet. Os roteadores que usam BGP tomam decisões sobre qual caminho usar, com base nas informações recebidas de seus vizinhos no ciberespaço, que por sua vez coletam informações de seus vizinhos etc. No entanto, essas informações são facilmente falsificadas, o que significa que o roteamento BGP é muito vulnerável a ataques MiTM. [8]

Portanto, fazendo regularmente perguntas como as seguintes: "Por que o tráfego entre dois computadores em Denver fez um desvio gigante pela Islândia?", "Por que os dados secretos do Pentágono já transitaram por Pequim?" Essas perguntas têm respostas técnicas, mas todas se resumem ao fato de o protocolo BGP ser baseado em confiança: confiar nas recomendações recebidas dos roteadores vizinhos. Devido à natureza confiante do protocolo BGP, overlords misteriosos de tráfego podem atrair os fluxos de dados de outras pessoas para suas posses, se desejado. [8]

Um exemplo vivo é o ataque de BGP da China ao Pentágono dos EUA. Em abril de 2010, a gigante de telecomunicações estatal China Telecom enviou dezenas de milhares de roteadores ao redor do mundo, incluindo 16.000 dos Estados Unidos, uma mensagem do BGP sobre a disponibilidade de melhores rotas. Na ausência de um sistema que pudesse validar mensagens BGP da China Telecom, os roteadores ao redor do mundo começaram a enviar dados em trânsito por Pequim. Incluindo o tráfego do Pentágono e outros sites do Departamento de Defesa dos EUA. A facilidade com a qual o tráfego foi redirecionado e a falta de proteção efetiva contra esse tipo de ataque é outro sinal inseguro do roteamento BGP. [8]

O BGP é teoricamente vulnerável a um ataque cibernético ainda mais perigoso. No caso de conflitos internacionais se desenrolarem em toda a extensão, a China Telecom, ou alguma outra gigante das telecomunicações, poderia tentar declarar como suas seções de bens da Internet que realmente não pertencem a ele. Tal movimento confundiria os roteadores que precisariam se apressar entre aplicativos concorrentes para os mesmos blocos de endereços da Internet. , . - – . , . [8]

BGP BGPSEC

BGP , , . BGP-, , : . , . [8]

2010 – BGP- . , , BGPSEC, BGP. - BGP , . [8]

, 1988 ( BGP) , « », – MIT , . , , , – . , . BGP , IT- , . , , BGP- , - 0%. [8]

BGP- – «»

BGP- – , , « , ». , , , . - , , . ( ) . : , . [8]

-, - – /. , - , . , , ? ? [8]

, . 100 – . , . , , – . , , . . – , Linux. , , , – Linux . . . Linux . , , Linux: , , , , . [9]

Linux , . – . , , . [9]

Linux . Linux', – , . Linux' , . , , . - , – . , « ». , : « . ». , . [9] , :

« – . : , . , – . , -. . - . , . , , , . , , , . . ». [9]