Перспективы сегодняшней онлайн-безопасности
Изучите текущее состояние безопасности веб-приложений, IoT и облачных вычислений, а также потенциальные проблемы для проблем безопасности в Интернете, которые приходят с ними.
Функциональность и возможности подключения
Давно прошли те дни, когда всемирная паутина была просто большой библиотекой простого текста. Несмотря на то, что мы по-прежнему поддерживаем протокол передачи гипертекста (HTTP), сайты с текстом устарели. Веб-страницы быстро заменяются веб-приложениями, и вместо того, чтобы просто читать информацию, мы взаимодействуем с ней благодаря HTML5 и большому количеству доступных back-end веб-фреймворков.
Это делает нашу жизнь простой, так как часто нам никогда не приходится загружать собственные приложения. Мы обращаемся к веб-клиентам для потоковой передачи музыки и видео. Мы делаем покупки и оплачиваем наши счета в Интернете. Мы даже обсуждаем наши самые частные вопросы в социальных сетях. Веб-приложения, от которых мы зависим, являются легкими, но только для веб-браузера и единообразны для всех мобильных и настольных платформ. В целом, веб-приложения рассматриваются как способ продвижения по мере развития технологий.
Этот сдвиг медленно захватывает и наши аппаратные гаджеты. Возьмите ноутбук Chromebook в качестве примера: все ваши приложения и данные хранятся в облаке, поэтому устройство, по сути, запускает движок браузера за кулисами. Это не идеальная ситуация, если вы планируете находиться вдали от интернет-доступа в течение более длительных периодов времени; однако, рост связи 5G обещает, что мы скоро забудем, каково это быть «автономным» в первую очередь.
Chromebook сделал персональные компьютеры доступными по облачным приложениям в облаке, чтобы сократить аппаратное обеспечение, но сохранение всех этих персональных данных в облаке открывает больше возможностей для хакеров. Изображение предоставлено Google
Этот переход к взаимозависимости также совершенно ясен с момента появления IoT (Internet of Things). И программное обеспечение, и аппаратное обеспечение испытывают преимущества «облака», и почти все, что мы используем, так или иначе связано с World Wide Web. Что должно быть хорошо, правильно "// bgr.com/2015/09/25/linus-torvalds-quotes-interview-linux-security/" target = "_ blank"> абсолютная безопасность программного обеспечения просто не существует. Таким образом, чем больше функциональных уполномоченных лиц предоставляется через онлайн-доступ, тем больше вероятность того, что есть недостатки безопасности, которые позволят злоумышленникам перехватывать данные. Можно подумать, что недостатки безопасности мгновенно исправляются большинством уважающих себя институтов, и только неопытные разработчики оставляют ошибки, но это далеко не так.
Давайте посмотрим на несколько недавних событий. «Г-н Робот» - популярное американское ТВ-шоу с реалистичными сценариями взлома. Его высоко оценили за то, что он был более точным для реальной безопасности, чем большинство других попыток в средствах массовой информации. Тем не менее, шоу, похоже, в этом месяце испытало свою собственную медицину.
Даже рекламные сайты для ТВ-шоу о хакерах становятся взломанными. Изображение предоставлено USA Network
Похоже, рекламный сайт г-на Робота был перехвачен с помощью ошибки Cross-Side scripting (XSS). Позже, на той же неделе, еще одна проблема была привлечена к административному вниманию, где другой человек нашел классический недостаток SQL-инъекций. Похоже, что даже защитники компьютерной безопасности не всегда следуют за обеспечением своей онлайн-безопасности.
Можно утверждать, что сайт г-на Робота, взломанный, не имеет большого значения. Но как насчет международных банковских учреждений? На прошлой неделе ряд турецких хакеров смогли скомпрометировать безопасность банковских учреждений, в том числе «Городской банк», «Траст-банк», «Коммерческий банк Цейлона», Национальный банк Катара и «Инвестбанк». Более 7 ГБ данных, полученных хакерами, включали исходный код сайта, годовые банковские отчеты и финансовые отчеты. SQL-инъекция, старый, но все еще распространенный недостаток безопасности, снова была частью нарушения.
Аппаратные средства и бытовая техника не являются исключением из этой постоянно растущей проблемы безопасности в Интернете. Хорошим примером этого являются умные бытовые приборы: умные замки спешат на рынок и оставляют за собой недостатки безопасности. Умные лампочки защищают функциональность, но затем не учитывают проблемы безопасности. Поскольку автомобили становятся автономными и способными к самообслуживанию, даже наши способы транспортировки становятся потенциальным вектором атаки. Поэтому быстро становится ясно, что в разной степени большинство изобретений в настоящее время подвержены взлому, особенно если вы считаете себя ранним усыновителем новой технологии. Вы можете наблюдать за этими умными лампочками, взломаемыми в видео ниже.
Причины нарушений безопасности
Часто разработчикам и инженерам новых технических продуктов будут предоставлены функциональные спецификации. Например, необходимо обеспечить, чтобы приложение или устройство были быстрыми, отзывчивыми, масштабируемыми, простыми в обслуживании и в то же время надежными. Где-то в этом списке требований будет безопасность. Безопасность не может быть легко измерена, поэтому ее часто можно упускать из виду. В глазах повседневного наблюдателя, если продукт функционирует, он может поставляться клиентам.
Поэтому проблема заключается в том, что, хотя небезопасное, но, казалось бы, функциональное решение продает, надежные, но функционально ограниченные приложения не делают. Поэтому можно утверждать, что внедрение безопасности не является проблемой, а скорее ресурсами и осознанностью. Хорошая безопасность не может быть измерена просто и напрямую, и поэтому может казаться невидимой. Наш долг как инженеров и разработчиков заключается не в том, чтобы делать компромиссы в отношении безопасности. Мы также должны понимать, что простое нелегко, и, следовательно, мы должны избегать последнего, поскольку мы можем спровоцировать недостатки безопасности, о которых мы даже не подозреваем.
перспективы
Похоже, что кибербезопасность сегодня стала очень тревожной проблемой. Объем исследований, проводимых в этой области для целей общественной безопасности, может иногда не перевесить интерес менее дружественных, некоммерческих групп хакеров, которые могут продавать данные другим вредоносным сторонам. Это потенциально может быть объяснено несколько сомнительными отношениями некоторых компаний к тому, чтобы позволить сообществу внести свой вклад. Большинство программ малого бизнеса, которые награждают исследователей безопасности, полностью игнорируются большинством МСП и предоставляются только техническими гигантами. Даже тогда вознаграждение часто может сильно различаться по сравнению с серьезностью представленных недостатков.
Поэтому некоторые люди предпочитают продавать несколько копий одного и того же эксплойта за 1 доллар США, а не отправлять его один раз за 25 000 долларов США юридически. Некоторые даже утверждают, что недостатки, которые они находят, не признаются, порой даже игнорируются полностью. Если программные проекты продолжают двигаться с открытым исходным кодом, это может стать проблемой, поскольку люди будут постоянно проверять проблемы и быстрее их исправлять.
Но до этого крупные компании должны были убедиться, что они не продают людей, которые хотят помочь, а также пытаются развивать отношения между разработчиками своих продуктов и исследователями безопасности. В противном случае, когда мы охватим IoT и постоянно растущее присутствие в сети, последствия могут быть фатальными.