211service.com
Lieldatori, kas apstrādā mūsu visjutīgākos datus, ir atvērti interneta uzbrukumiem
Tās ir mašīnas, kas nemirs. 1960. gados daudzas aviosabiedrības, bankas un valdības sāka apstrādāt sensitīvus darījumus, izmantojot milzīgus lieldatorus, un to pēcnācēji joprojām tiek izmantoti. Tagad izrādās, ka šiem dzīvajiem skaitļošanas dinozauriem ir arī ļoti moderns netikums: viņi pārsvarā dalās internetā.

Pieteikšanās ekrāns, ko nodrošina lieldators, kas ir brīvi pieejams internetā; lieldatori apstrādā kritiskos datus, taču tos drošības eksperti pārbauda daudz mazāk nekā cita veida datori.
Drošības pētnieks Fils Jangs saka, ka viņš internetā ir atradis aptuveni 400 lieldatoru, kas piedāvā pieteikšanās ekrānu ikvienam, kurš izveido savienojumu. Pie Drošības BSides konferencē Lasvegasā otrdien viņš stāstīja, kā atklājis USDA piederošos lieldatorus, Nacionālajiem veselības institūtiem Ņūmeksikas autovadītāju pakalpojumu datubāzes štats, Dienvidkarolīnas veselības un cilvēku pakalpojumi , aviokompānija EgyptAir un daudzas universitāšu administrēšanas sistēmas. Viņš uztur emuāru, kurā ir programmatūra automātiski publicē ekrānuzņēmumus no tiešsaistē atrastajiem lieldatoru pieteikšanās ekrāniem.
Jangs atrada šos lieldatorus, balstoties uz rīkiem, kas izstrādāti, lai meklētu internetā neaizsargātu programmatūru un ierīces (skatiet Kas notika, kad viens cilvēks piesūtīja visu internetu). Viņš saka, ka atrastais ir satraucošs, jo, lai gan lieldatori pēdējo 50 gadu laikā ir daudzējādā ziņā attīstījušies, tiem trūkst modernu drošības līdzekļu, kas nepieciešami sistēmām, kurām ir brīva piekļuve internetā. Un, lai gan lieldatori apstrādā vērtīgus datus, piemēram, banku darījumus un personas datus, tie ir maza, specializēta niša, kas būtībā ir neredzama datoru drošības nozarei un kas strādā, lai nodrošinātu tādu lietu kā personālo datoru, tālruņu un vietņu drošību.
Tas nozīmē, ka, visticamāk, drošības nepilnības var tikt izmantotas, lai ielauztos lielajos datoros, kas ir viegli ievietoti tiešsaistē, saka Jangs. Viņš saka, ka pastāv nepatiesa drošības sajūta, jo cilvēkiem gadiem ilgi ir teikts, ka lieldatori ir droši. Bet viņi nav īsti droši — tikai neviens par viņiem nerūp.
Pieņemtā paraugprakse programmatūras drošības uzturēšanai ir tāda, ka uzņēmumi publiski atklāj jaunatklātos savos produktos esošos trūkumus, kā arī programmatūras ielāpus, lai tās novērstu, kā to dara Microsoft operētājsistēmai Windows. Tas ļauj IT darbiniekiem, kas cenšas atjaunināt daudzus produktus, lai zinātu riskus, ar kuriem viņi saskaras, un noteiktu prioritāti, ko labot.
IBM neizmanto šo modeli savai lieldatoru programmatūrai, kas dominē tirgū. Jangs saka, ka tā saglabā informāciju par drošības trūkumiem savā lieldatoru programmatūrā, un privāti sazinās ar lieldatoru klientiem, lai paziņotu, ka viņiem vajadzētu lietot jaunu drošības ielāpu, nepasakot, kāpēc.
Drošība šajā platformā netiek pārvaldīta labi, un korporācijas un valdības to izmanto lietām, kas patiešām ir svarīgas mums visiem, saka Jangs. Tā ir šī milzīgā blindside, kas gaida savu notikumu.
Atbildot uz jautājumu par IBM drošības praksi, uzņēmuma pārstāve sacīja: IBM lielais dators ir drošākā datorsistēma pasaulē ar unikālām kriptogrāfijas tehnoloģijām.
Ir bijuši daži neseni piemēri par bīstamām sekām, ko rada uzbrukumi lieldatoriem un to apstrādātajiem kritiskajiem datiem. 2014. gadā Zviedrijas failu apmaiņas pakalpojuma Pirate Bay dibinātājs tika atzīts par vainīgu piekļūšanā IT darbuzņēmējam piederošajam lieldatoram un Dānijas valdības datiem, tostarp identifikācijas numuriem un sodāmības reģistriem.
Pavisam nesen, kad ASV personīgās pārvaldības biroja vadītāji ieradās Kongresā, lai izskaidrotu, kā hakeri piekļuva sensitīviem datiem par miljoniem federālo darbinieku, viņi norādīja uz gadu desmitiem vecu kodu, kas rakstīts programmēšanas valodā, ko sauc par COBOL. COBOL tika izgudrots 1959. gadā, un mūsdienās to galvenokārt izmanto lieldatoros.
Vēlāk šonedēļ DEF CON uzlaušanas konferencē Jangs un līdzstrādnieks Čads Rikansrūds iepazīstinās ar vairākiem atvērtā pirmkoda rīkiem, lai palīdzētu drošības pētniekiem pārbaudīt lieldatoru programmatūras drošības nepilnības, kuras varētu izmantot. Viņi cer izraisīt pārbaužu vilni par lieldatoriem, līdzīgi tam, ko tagad piemēro rūpnieciskās kontroles sistēmām pēc tam, kad tika atklāts Stuxnet uzbrukums Irānas kodolprogrammai un interneta skenēšana, kas tiešsaistē atrada simtiem tūkstošu neaizsargātu sistēmu (skatiet Power Protecting Power Režģi no hakeriem ir milzīgs izaicinājums).
Papildināts 5.augustā plkst.20.50. EST, lai pievienotu komentāru no IBM.