Paul Vixie, pionier în securitatea Internetului: Facebook nu este prietenul nostru, nici Google și nici vreun alt gigant tehnologic!
Trebuie să ne gândim la serviciile de Internet și la fiecare dispozitiv conectat la Internet cu aceeași suspiciune cu care priveam, pe vremuri, guvernele opresive. Facebook nu este prietenul nostru, nici Google și nici vreun alt gigant tehnologic american. Ne ajută să comunicăm și să fim aproape de prieteni, dar tocmai ușurința cu care este posibil acest lucru are un preț.
Așa spune Dr. Paul Vixie, unul dintre veteranii care au contribuit la proiectarea protocoalelor și aplicațiilor folosite în Internet, intrat în 2014 în Internet Hall of Fame.
El este oaspetele asociației CIO Council Romania și invitat de onoare în cadrul CIO Council National Conference, conferința anuală a asociației, din 26 martie. În acest context, a răspuns la câteva întrebări legate de securitatea pe Internet, GDPR și rolul Inteligenței Artificiale în societate.
Ați avut o contribuție semnificativă la World Wide Web prin proiectarea si design-ul câtorva extensii de protocol și aplicații pentru Domain Name System (DNS). Este Internetul spațiul la care visați cu 30 de ani în urmă? Este mai sigur și îndeplinește scopurile pentru care a fost creat inițial?
Oamenii și companiile care au avut un rol în crearea și dezvoltarea internetului au acționat independent. Inițial, scopul meu a fost să fac în așa fel încât comunicarea să se realizeze mai ușor, promovând, astfel, schimburile culturale și comerțul. Apoi mi-am dat seama că infractorii, corporațiile și diversele entități guvernamentale utilizau în mod abuziv această nouă cale de comunicare simplificată promovată de noi și mi-am schimbat scopurile.
Care sunt principalele probleme legate de protocolul DNS? Există vreo problemă de “design”? Cu ceva vreme în urmă companiile dispuneau de un sistem DNS intern, dar acum serviciile DNS sunt externalizate. E ceva în neregulă cu asta?
Externalizarea serviciilor DNS nu a fost niciodată necesară. Când externalizezi, îi pui la dispoziție unei terțe părți o imagine foarte detaliată asupra activității utilizatorilor și aplicațiilor tale. Nu e deloc înțelept. Cel mai bine este să achiziționezi un Raspberry Pi cu 25 EUR, să instalezi Linux și Unbound pe el (care sunt gratuite) și să operezi propriul tău sistem DNS pentru familia, compania sau clienții tăi. Nu e deloc complicat.
Ați fost un pionier în domeniul măsurilor anti-spam, începând cu Mail Abuse Prevention System (MAPS) în 1998. De ce mai primim încă mesaje spam? Ce se poate face să le eliminăm? S-ar putea elimina spam-ul prin emiterea de reglementări corespunzătoare?
Spam va exista atâta vreme cât vor exista victime care vor reacționa la spam și vor face achiziții. Nu putem stopa trimiterea mesajelor spam, aceste mesaje nu vor mai fi trimise decât atunci când trimiterea nu va mai fi profitabilă.
Dacă ne gândim la Stuxnet și la alte atacuri majore de tip APT, ar putea CIO și departamentele IT să-și protejeze companiile de atacuri cibernetice din partea entităților statale state sau de crimă organizată? Ar trebui să se bazeze strict pe capacitățile de apărare proprii sau ar trebui ca apărarea cibernetică să includă și alți parteneri externi? Este “Cybersecurity as a Service” o opțiune prin care companiile să se apere de atacuri cibernetice?
Cea mai bună apărare, pe Internet sau în orice alt mediu informatic, începe de la a înțelege ce faci, de la a ști de ce depind acțiunile tale și de a vedea clar care sunt riscurile. Dacă nu faci aceste lucruri nu vei fi în siguranță, indiferent de cât investești și de ce servicii contractezi. Atâta timp cât atacatorii știu mai multe decât noi despre rețelele, sistemele și software-ul nostru și atâta timp cât știu mai multe decât noi despre vulnerabilitățile sistemelor noastre ne vom confrunta cu pierderi continue și din ce în ce mai mari.
Ce credeți despre cum este percepută amenințarea cibernetică de către societate în general? Înțeleg utilizatorii riscurile cu care se confruntă la navigarea pe Internet și la utilizarea de social media sau USB? Cum putem crește nivelul de conștientizare al oamenilor cu privire la pericolul cibernetic?
Lumea conectată prin Internet în care trăim este un coșmar, dar cei mai mulți oameni nu vor să creadă că lucrurile pot sta atât de rău în realitate. Așa că ignoră majoritatea sfaturilor și recomandărilor specialiștilor. În această etapă, nu cred că promovarea și creșterea nivelului de conștientizare ar face o diferență.
Libertatea Internetului are efecte dăunătoare ? Ar trebui restricționat sau controlat Internetul, cumva? Ce tip de reglementări generale credeți că ar fi utile pentru ca Internetul să fie un spațiu mai sigur?
Într-un fel, exemplul Rusiei poate fi relevant în această chestiune pentru toate țările. Toate informațiile cu privire la cetățenii lor trebuie să fie stocate în centre de date interne, supuse legislației locale, inclusiv solicitările de informații care țin de aplicarea legii. GDPR este o idee bună, dar ar trebui să facem mai mult de atât.
Ce e în neregulă, când vine vorba despre principiile de bază ale Internetului? Lipsa reglementărilor, conștientizarea precară, insuficiența măsurilor de securitate, este vorba despre o problemă de tehnologie?
Internetul schimbă totul, în feluri în care nici o entitate de reglementare și nici o entitate legislativă nu a înțeles încă. Granițele dintre state și legislațiile naționale nu mai au rost. Numai în Finlanda este ilegal să utilizezi o rețea fără Source Address Validation (descrisă în BCP38). Fiecare țară trebuie să facă asta, trebuie să înțeleagă și să impună acest lucru.
Ce credeți despre protecția datelor și despre confidențialitatea datelor în general, în condițiile scurgerilor uriașe de date din ultimii ani? Vă așteptați ca reglementările GDPR să aibă un efect pozitiv?
GDPR nu poate împiedica erorile, iar majoritatea scurgerilor de date sunt rezultatul unor erori. Unele scurgeri de date, cum este cazul Facebook – Cambridge Analytica, nu au fost erori, ci, mai curând, consecințe neprevăzute ale unor proiecte de afaceri și abordări tehnice naive. GDPR poate ajuta la preîntâmpinarea acestora, iar GDPR-ul, dacă este pus în aplicare, va limita, până la urmă, într-o oarecare măsură, capitalismul de supraveghere („surveillance capitalism”) – care este sursa celor mai multe dintre efectele negative pe care Internetul le-a avut recent asupra societății.
Profilarea utilizatorilor internetului este o activitate ce pare a fi realizată atât de companiile comerciale, cât și de agențiile guvernamentale. Ne putem proteja de acest lucru, în vreun fel? Credeți că undeva există o bază de date care conține informații cu privire la profilul Paul Vixie, cu toată activitatea sa de pe Internet, toate cumpărăturile pe care le-a făcut, toate opiniile politice pe care și le-a exprimat pe Internet șamd.? Sau imaginația noastră merge prea departe?
Trebuie să ne gândim la serviciile de Internet și la fiecare dispozitiv conectat la Internet cu aceeași suspiciune cu care priveam guvernele opresive, pe vremuri. Facebook nu este prietenul nostru, nici Google și nici vreun alt gigant tehnologic american. Acestea ne ajută să comunicăm și să fim aproape de prieteni, dar tocmai ușurința cu care este posibil acest lucru are un preț. Da, există o bază de date online despre mine, despre tine și despre fiecare om care a intrat online. Dacă vrem ca aceste baze de date să nu mai crească trebuie să nu mai cumpărăm dispozitive IoT. Și nu cred că putem face asta.
Conferința CIO Council, la care veți participa pe 26 martie, va aborda problema Inteligenței Artificiale în business, apărare cibernetică, educație și inovație. Ar putea AI să fie utilizată pentru a securiza Internetul sau pentru a crește măsurile de apărare cibernetică? Ar putea hackerii să utilizeze AI în atacurile cibernetice?
În acest moment, AI ține mai mult de domeniul științifico-fantastic, dar e de folos în discuțiile cu investitorii și pentru strângerea de fonduri, chiar dacă în general nu este utilă în afara Amazon, Facebook și Google. Multe companii care se ocupă cu securitatea Internetului pretind că folosesc AI sau ML (Machine Learning) sau chiar Deep Learning (DL), dar ce înseamnă asta, de fapt, este că acestea nu vor putea explica cum au detectat sau cum au oprit un atac sau de ce, în anumite situații, nu au putut să o facă. Acesta este visul tuturor departamentelor de marketing!
Cum percepeți rolul AI în societate? Ar trebui să ne temem că ne vom pierde slujbele, că ne va fi afectată intimitatea din ce în ce mai mult, că va fi prea multă digitalizare?
Ar trebui să ne temem de toate acestea, dar nu din cauză de inteligență artificială sau din cauza tehnologiei. Singur, niciun om nu este la fel de puternic ca un grup de oameni – motiv pentru care formăm familii, cluburi, companii, orașe, state, națiuni, biserici șamd. Aceste grupuri se luptă pentru a deține controlul, în numele membrilor lor. Cele mai multe dintre ele acționează pentru binele liderilor lor. În această luptă veche de când lumea – tehnologia este EXTREM de puternică și de utilă. Dar nu tehnologia este pericolul; pericolul sunt grupurile de oameni organizate, ca întotdeauna. Astăzi, nu se mai pune problema să să ne pierdem proprietatea sau libertatea din cauza vreunor invadatori înarmați. În schimb, poziția în societate, inclusiv averea și libertățile, ne sunt reduse din cauza eficienței puterii corporatiste în era tehnologică.
Ce mesaj aveți pentru cei care ocupă funcția de CIO în organizațiile din România?
Gândiți-vă la un DNS propriu. Internalizați-l. Monitorizați întrebările și răspunsurile DNS generate de angajați și de aplicațiile voastre – pentru că lucrurile pe care nu vi le puteți explica cu ușurință sunt probabil cauzate de intruși, de malware sau de boți. Controlați-vă DNS-ul refuzând serviciile furnizate de actorii cu reputație negativă. Utilizați un firewall, cum este RPZ, care este gratuit. Să știți că marile firme tehnologice americane se străduiesc să vă facă să renunțați la propriile proceduri operaționale DNS, să renunțați la internalizarea serviciilor de DNS. Faceți-vă un plan de restricționare severă a tuturor conexiunilor HTTPS outbound, chiar dacă asta înseamnă ca toți angajații și toate serverele să utilizeze un proxy gateway.
Paul Vixie este un pionier în domeniul securității Internetului. Actualmente este Chairman, CEO și cofondator al companiei Farsight Security, Inc. Dr. Vixie a fost inclus în Internet Hall of Fame în 2014 pentru contribuția adusa la protocoalele DNS (Domain Name Service) și la tehnologiile anti-spam. Este autorul mai multor sisteme de aplicații de tip „open source” pentru Internet, inclusiv BIND 8 și multe alte standarde de Internet referitoare la DNS si DNSSEC. El a fondat și prima firmă comercială tip antispam (MAPS 1996) și prima companie non-profit cu rol în infrastructura software Internet (ISC, 1994) și prima structura neutra și comerciala de Internet exchange (PAIX, 1991). În 2018, el a cofondat SIE Europe UG, o structură pentru colaborarea pan-europeană în lupta împotriva crimei organizate. Dr. Paul Vixie deține din 2010 un doctorat în cadrul Universității Keio pentru contribuția adusă la DNS și DNSSEC.