Küberfoobia. Edward LucasЧитать онлайн книгу.
ründab teie „silo” (isoleeritud süsteemi), siis trikitaja, kes kasutab vaid elektroonilisi vahendeid, näeb kas eri tüüpi info on mõistlikult eraldatuna hoitud.
Raamatu pealkiri on „Küberfoobia”, sest liiga paljusid peletab eemale põhjendamatult keeruline tehniline keel ning nad ei saa seetõttu aru, mis on kaalul. Paljud selle valdkonna raamatud kirjeldavad detailselt, kuidas üles ehitada ja tagada arvutivõrgu turvalisust. Need on pigem lukkseppadele mõeldud käsiraamatud: spetsialistile huvitavad, kuid võhikule kasutud.
Selle raamatu peamine sõnum on see, et meie sõltuvus arvutitest kasvab kiiremini kui meie võimekus ründajatega toime tulla. Kurjategijad, huligaanid, häktivistid ja vaenulikud võõrvõimud ründavad pidevalt üksikisikuid, ettevõtteid, organisatsioone ja valitsusi. Nemad võidavad ja meie kaotame. Kuni me ei muuda oma mõtlemist ja käitumist, oleme vähem kaitstud, vähem vabad, vähem terved ja vähem õnnelikud. Eelkõige peame aru saama, et küberturvalisus ei ole tehniline probleem rohkem, kui liiklusohutus pole inseneride pärusmaa. See raamat räägib sellest, kuidas me peame ümber kujundama oma käitumisharjumused nii üksikindiviididena kui ka organisatsioonidena ja kogukondadena, et tulla toime ohtudega, mis meid võrgus varitsevad. Kuid eelkõige on see raamat inimestest, mitte masinatest.
Sissejuhatus
Me ehitame oma tulevikku ressursile, mida me pole veel kaitsma õppinud.
George Tenet, Luure Keskagentuuri direktor, 1998. aastal
Tänapäevane elu sõltub usaldusväärsest elektroonilisest andmevahetusest. Kuid arvutid ja arvutivõrgud, mida me selleks kasutame, loodi turvalisust ja usaldusväärsust silmas pidamata. Enamiku ajast töötavad nad suurepäraselt, kuid seadmete läikivate korpuste ja tarkvara toretseva graafika taga on improvisatsioonide ja taaskasutuse varisemisohtlik segadik. Seega sõltub praegune elu möödunud kümnenditel kokkuklapitatud kompromissidest, mil kellelgi asjassepühendatuist ei olnud veel aimu, mis tagajärgi nende otsused toovad.
Tarbijatena oleme ka ise osaliselt süüdi. Me tahame, et arvuteid ja tarkvara oleks lihtne kasutada, et need oleksid odavad ja paindlikud. Me tahame, et nad töötaksid kõikide uute asjadega, mis meile meeldivad, kuid oleksid ka nn tagasiühilduvad – töötaksid ka palju vanemate seadmete ja tarkvaraga. Me tahame, et arvutid ja arvutivõrgud oleksid tehtud meie vajadusi arvesse võttes, kuid me ei viitsi kulutada palju aega uute nippide ja töövõtete õppimiseks. Tulemuseks ongi kompromissid, millel aga on oma hind. Osa sellest on töökindlus. Pidev vastutulek meie ootustele tähendab, et aeg ajalt ütleb süsteem üles. Teine osa on keerukus. Kiibid ja tarkvara, mis ütlevad arvutile, mida see tegema peab, on nüüdseks nii keerukaks muutunud, et keegi ei tunne neid kõiki.
Põhiprintsiibid ise on lihtsad. Igaüks, kes on kunagi raudteel sõitnud, saab nendest aru. Arvutid on nagu raudteesüsteem. Ilma juhtnöörideta ei liigu seal midagi. See on masinavärk, mis ei toimi iseenesest. Ellu äratab selle tarkvara – käskude kogumik, mis on kirjutatud seadmetele arusaadavas keeles: kui vool on sees, pane põlema see lambike, seejärel loo ühendus klaviatuuri ja monitoriga, siis käivita kettaseade ja järgi juhiseid, mida antakse. Ka kõige keerulisemad ülesanded saab jagada lihtsateks korraldusteks. Tarkvaraarendajate geniaalsus peitub oskuses analüüsida reaalses elus ettetulevaid probleeme ja lahendada need käskude abil, millest masin aru saab ja mida ta suudab ellu viia. Riist- ja tarkvara võivad põhimõtteliselt teineteist asendada. Tarkvara võib salvestada juba tegemise käigus kiibile, nii et hiljem on vaja vaid üksikuid käske anda, heaks näiteks on kiip lastele mõeldud mänguasjas. Kui nöörist tõmmata, mängib lelus olev seade unelaulu. Lihtsaid kiipe saab õigete käskude ja andmete sisestamisega panna tegema tervet rida eksootilisi tegevusi. Esimene programmeeritav arvuti oli Colossus, mille Briti tehnikud ehitasid teise maailmasõja ajal Bletchley Parkis Saksa koodide murdmiseks. Seda tuli programmeerida käsitsi lülitite, pistikute ja juhtmete abil. Hiljem laeti tarkvara arvutisse augustatud paberlintide abil ja veelgi hiljem elektromagnetilistelt andmekandjatelt (minu põlvkonna lugejad ehk mäletavad arvutimängude laadimist kassettidelt primitiivsetesse arvutitesse). Järgmisena tulid flopikettad, seejärel CD-d ja nüüd laetakse tarkvara enamjaolt alla internetist. Tarkvara on muutunud tohutult keerulisemaks, kuid olemuselt on see lihtne.
Rongide sõiduplaan on mõnes mõttes nagu arvutiprogramm. Seal seletatakse üksikasjalikult ära, kes, kus, millal ja mida peab tegema. Signaaltulede värv muutub, rongid peatuvad ja asuvad teele, pöörmed liiguvad edasi-tagasi. Kui arvutivõrk on riistvara ja sõiduplaan tarkvara, siis kolmas element raudteesüsteemis on rongid ise. Kogu ülesande sisu on saada rongid ja neis sisalduv punktist A punkti B. Arvutis on rongide ekvivalendiks andmed. Kujutlege näiteks, et teete digikaameraga foto ja laete selle arvutisse. See on suur kogus andmeid – tohutu nullide ja ühtede jada, mis määravad ära iga kaamera jäädvustatud punkti värvuse, mida taasesitada arvutiekraanil või printeri abil. Sõltuvalt arvuti võimekusest, sellele installitud tarkvarast ja juhistest, mida te arvutile annate, võib pildi saata sõbrale, postitada internetti või seda kadreerida ja töödelda, et foto parem välja näeks. Selle sujuvaks toimumiseks, peavad paljud asjad klappima. Pilt võib olla vales vormingus, mida teie arvutis olev tarkvara lugeda ei oska. See võib olla salvestatud mälukaardile, mille avamisega arvuti toime ei tule. Andmemaht võib väikese arvuti, näiteks telefoni jaoks liiga suureks osutuda. Andmed võivad olla vigased, selle võib tingida ebakõla riist- või tarkvaras, mis on andmeid mõjutanud. See on analoogiline vale vaguni haakimisega vale rongi külge: viga, mis võib olla vähetähtis või katastroofiline, sõltuvalt olukorrast.
Enamik neist vigadest jäävad avalikkusele märkamata. Arvutikasutajad on harjunud müstiliste probleemidega, mis näivad esile kerkivat ja kaduvat ilma selge põhjuse või korrapärata. Enamikel juhtudel te teete oma seadmele lihtsalt taaskäivituse ja loodate, et probleem ei kordu. Mõned vead on siiski nii silmatorkavad, et jõuavad meedias pealkirjadesse. Üks jahmatav näide leidis aset 2014. aasta septembris, kui ilmusid uudised veast, mis on ehk üks hullemaid omataolisi arvutite ajaloos ja mis leiti laialt kasutatava operatsiooni UNIX südamest. Enamik arvutikasutajaid pole UNIX-ist tõenäoliselt kunagi kuulnud, kuid see on paljude suurte elektrooniliste süsteemide alustala. Erinevalt Microsofti ja Apple’i müüdavast tarkvarast pole UNIX-il ainuomanikku. Laias laastus on see tasuta ja seda arendavad ja hooldavad vabatahtlikud. Osa koodist, mida tuntakse Bashi nime all, on tähtis vahelüli, mis seob UNIX-it kasutavad arvutid välismaailmaga. See võimaldab näiteks kasutajatel arvutitele korraldusi jagada, või veebiga ühendatud arvutitel neid vastu võtta. Bash loodi algselt 1989. aastal. See sisaldas aga viga, mis teoreetiliselt lubas sissetungijal arvutile valekäske anda. Shellshockiks nimetatud tarkvaravea põhjuseks ei olnud ründajate nutikus ega kasutajate hooletus, see oli lihtsalt süütu näpukas arvutiprogrammis. Selle tulemusel sattusid ohtu miljonid arvutikasutajad.[1.] Shellshocki kasutav sissetungija võib üle võtta kellegi arvuti, anda seal endale kõikvõimalikke õigusi, varastada ja rikkuda andmeid jne.
Arvutites, mida kasutavad inimesed, pole selle vea parandamine eriti keeruline. Kuid miljonid teised seadmed töötavad samuti UNIX-i peal, näiteks ruuterid – väikesed vilkuvate tuledega karbid, mis hoiavad üleval koduseid ja kontori WiFi-võrke, aga ka võrguühendusega termostaadid, tööstusmasinad ja muud seadmed. Ja need arvutid (mis nad tegelikult on) on enamjaolt projekteeritud töötama autonoomselt. Nende tarkvara uuendamine on vaevarikas ülesanne, mille jaoks nende omanikel ei pruugi jaguda aega või tahtmist. Seetõttu võivad paljud Shellshocki suhtes haavatavad seadmed jääda turvapaigata ning on kaitsetud välise rünnaku ees – olukord, mis jääb kestma veel aastateks.
Meid hoiatati selle eest. 1998. aastal ütles Luure Keskagentuuri (CIA) direktor, George Tenet: „Me ehitame oma tulevikku ressursile, mida me pole veel kaitsma õppinud.”[2.] Tema sõnadele ei pööratud tähelepanu.
Sestsaadik oleme me muutunud arvutitest veelgi enam sõltuvaks ja lõhe ründajate leidlikkuse ja kaitsjate võimekuse vahel on pigem kasvanud kui kahanenud.
Kui Tenet selle välja ütles, olid enamiku internetirünnete taga häkkerid, keda kannustas uudishimu või isekus. Asjassepuutuvad rahasummad olid tavaliselt tühised. Kevin Mitnick, kellest sai Ameerika tuntuim häkker (ja pärast lühiajalist