Radikalni osvrt na sajber bezbednost: kompjuteri nisu bezbedni, jer je arhitektura slomljena

Jedno od trenutno najzanimljivijih tržišta za posmatranje je tržište sajber bezbenosti, i to zbog rasta broja startapa i investicija – od 2010. do 2014. tržište je doživelo rast od 150% u investicionom protoku. Polje zadobija pažnju zbog sve učestalijih napada na velike kompanije, koje sada traže inovativna bottom-up rešenja za zaštitu. O ovome smo razgovarali sa preduzetnikom i startap mentorom Markom Tatlom, koji je 2013. pokrenuo sopstvenu firmu, Cryptografx, koja proizvodi rešenja za zaštitu korisničkih šifri.

U sajber bezbednost sam ušao 2007., kada sam investirao u kompaniju koja ima veliku bazu sa intelektualnom svojinom i kompjutersku podlogu sledeće generacije koja može da se nosi sa malware problemima i hakovanjem. O bezbednosti pre ovoga nisam ništa znao,  a razlog za investiciju je bilo prijateljstvo sa osnivačem, dr Majklom Fiskom.

Ovo mi je omogućilo da dobijem trogodišnje besplatno obrazovanje od jednog od najvećih stručnjaka u polju bezbednosti. Znao sam da čak i ako mi se ne povrati novac, obrazovanje koje sam stekao je još vrednije. Uložio sam 50k, i bilo bi mi okej da ništa ne dobijem.

Razgovor sa Markom otvorio je zanimljiva i radikalna pitanja o budućnosti kompjuterskih nauka i bezbednosti, uz tezu da potpuna sajber bezbednost nije moguća na Turingovoj mašini sa fon Nojmanovom arhitekturom.

Trenutno tržište bezbednosti je slomljeno i ovo se ne menja. Najbitnija stvar koju sam naučio jeste da model mašine koji koristimo za računare i ostale uređaje ne može da bude siguran u potpunosti. Svi koji pričaju o obezbeđivanju ovoga, ne gledaju u pravom pravcu. Oni obećavaju tržištu nešto što ne mogu da ispune. 

Londonski Financial Times je 1999. nazvao Džona fon Nojmana “Osobom veka” – jedan od izumitelja modernog kompjutera koji koristi arhitekturu nazvanu po njemu, čovek koji je postavio osnove veštačkoj inteligenciji i koristio teoriju igara za ekonomsku analizu koja je 1994. nagrađena Nobelovom nagradom (u rukama Džona Harsenija, Džona Neša i Ričarda Seltena).

Ono što razlikuje fon Nojmanovu arhitekturu od Harvardske je prevashodno u tome što kôd i podatke skladišti u istoj memoriji, dok su kod Harvardske podaci i instrukcije razdvojeni. Fon Nojmanova arhitektura je jeftinija i jednostavnija, i stoga je bila popularnija decenijama unazad. Međutim, njena fleksibilnost i omogućavanje podataka i kôda da dele prostor otvara mogućnost za njegovo samo-modifikovanje i praćenje instrukcija bez obzira na njihove negativne posledice – ovo ostavlja prostora za napade.

Sve tehnologije koje koristimo, uključujući i cloud, nalaze se na sistemu koji ne može da bude osiguran. Kad god neko novi izađe sa svojim bezbedonosnim rešenjem, hakeri pronađu način da ga slome. Dobri momci pokušaju da nađu novo rešenje, a loši ga slome. To vam je kao Hladni rat između Sovjeta i Amerike – oni izgrade nešto, mi izgradimo veće, oni nas nadmaše, mi za njima.

Snoudenovo objavljivanje zaštićenih podataka Agencije za nacionalnu bezbednost SAD pre dve godine donelo je mnogo iznenađenja čak i ekspertima za bezbednost, a na javnost ostavila utisak paranoje i nepoverenja. Međutim, kao što je prikazao Džon Oliver na satiričan način, većina ljudi ne razume Snoudenovu ulogu u razbucanju institucija koje štete integritet i privatnost građana.

Na širem planu, ljudi ne razumeju koliko je sve nesigurno. Ako bih poredio sa situacijom koju ljudi mogu da razumeju, to bi bilo kao da veslate čamcem preko okeana, na čamcu ima mnogo rupa i voda konstantno ulazi, a vi sve vreme pokušavate da izlivate vodu iz čamca. Rekao bih da je tako loše. Američka Vlada je kapetan broda i kapetan nas uverava da je sve u redu, a ako pogledate ispod vode vidite da postoji armija ljudi koja odlaže potonuće.

Mark kaže da on lično ne koristi usluge online bankinga, pre svega zbog straha od krađe podataka kroz jednonamenski kod za identifikaciju korisnika koji banka dostavi putem SMSa.

Kada banke podležu napadima, one vam to neće reći – ne pomaže njihovom brendu. Ono što rade je da povećaju cene klijentskih usluga, kako bi pokrili napade. Regulacija će se menjati, ali je potrebno mnogo vremena da se ovo promeni. Sajber napadi su ranije bili tihi, pre svega zbog čuvanja brenda – vidimo da se ovo menja polako – recimo CEO američkog Targeta je izgubio posao – bezbednost ima posledice i po osobe na najvišim pozicijama.

Target je u vreme napada bio treći najveći prodajni lanac u Americi, a sajber napad je kompaniji prouzrokovao štetu od $148 miliona, uz to ostavivši nezaštićenim preko 70 miliona kupaca. Kompromitovanje podataka u ovom slučaju, kao i u slučaju koji se više provlačio kroz naše medije – napadu na kompaniju Ashley Madison – podiglo je pozornost kompanija na viši nivo, pre svega jer je donekle apstraktne pojmove poput onlajn bezbednosti stavio pred naše oči u obliku izgubljenog novca i kupaca čiji bankovni računi su obijeni.

Ovo je probudilo i talas investiranja u polje sajber bezbednosti i startape koji nastaju na ovim rizicima. Kroz 240 sklopljenih investicionih partnerstava u Americi u 2014. prošlo je $2,5 milijardi, dok je tokom prve polovine 2015. rejzovano $1,2 milijardi kroz 99 investicija. Ovaj rast naročito dobija na težini kada se uporedi sa $340 miliona uloženih u startape sa fokusom na bezbednosti pre šest godina. Veliki broj investitora ulazi na ovo tržište podržavajući kratkoročna rešenja, a ulaganja u ovakva rešenja vode do prevrednovanih akvizijcija i hajper inflacije vrednosti kompanija.

Svi pokušavaju da dođu do rešenja koje će imati visoke povrate. Ne razumeju prirodu problema u koji investiraju, tako da ne mogu da u dobre segmente stavljaju novac. Da pitate stotinu investitora da li je moguće zaštititi kompjuter, verovatno bi 80, 90% reklo: naravno! Ovo je glupost.

Mark je skeptičan prema postojećim rešenjima zbog uverenja u manjkavosti trenutne arhitekture i onoga što poima pod “Turingovom mašinom”. Kaže da sigurnije alternative postoje samo u akademskim krugovima, a da bi jedno od rešenja bio koncept na kom radi zajedno sa dr Majklom Fiskom, koje bi oponašalo način funkcionisanja živih bića i razmišljanja ljudi (naglašava da se ne radi o veštačkoj inteligenciji).

Ono kako naši kompjuteri funkcionišu danas nije ni nalik našem načinu razmišljanja. Neki virusi u biologiji znaju kako da se sakriju u spoljnim ovojnicama ćelije, kako bi se zaštitili od uništenje. Ovo je mnogo sofisticiranije od bilo čega što postoji. Priroda će imati mnogo uticaja na to kako dizajniramo kompjutere i programe – sada smo u vrlo ranim fazama. Na univerzitetima tek grebu površinu menjanja kompjuterskih modela, ali nemaju ništa opipljivo.

Organskim modelima bi se došlo do rešenja sigurnosnih problema, a ne kroz sistem za koji je neko mislio da bi bio koristan 1936. Sa tačke gledišta progresivne kulture, mi nismo baš progresivni. Ostajemo privrženi onome što razumemo, što predajemo i u čemu smo dobri. Ne tražimo zamenu.

Iako se rast tržišta sajber bezbednosti vidi prevashodno u Dolini, Njujorku, Izraelu i Londonu, Mark navodi da disrupcija neće doći samo iz jedne lokacije – radi se o globalnom pokretu.

Rešenja će dolaziti iz onih mesta koja razumeju pravu prirodu problema – ovo nije vezano za geografiju, već način razmišljanja. Da li rešenje može da dođe iz Srbije? Apsolutno. Ne postoje geografske barijere.