Хакеры показали, как можно украсть любое авто - АВТОМОБИЛЬНЫЙ ПОРТАЛ
Jeep-centre.ru

АВТОМОБИЛЬНЫЙ ПОРТАЛ
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Хакеры показали, как можно украсть любое авто

Хакеры могут украсть модель Tesla S в течение нескольких секунд, клонируя свой брелок

Тесла предпринял множество инновационных шагов чтобы защитить движущиеся системы своих выставленных автомобилей от цифровых атак. Он нанял первоклассных инженеров по безопасности, обновлений программного обеспечения через Интернет и добавил проверки целостности кода. Но команда академических хакеров теперь обнаружила, что Тесла оставил свои автомобили модели S в гораздо более простой форме взлома: Стилти постучал ключом автомобиля в считанные секунды, открыл дверь автомобиля и уехал.

Команда исследователей из Университета KU Leuven в Бельгии планирует в понедельник провести лекцию на конференции Cryptographic Hardware and Embedded Systems в Амстердаме, чтобы представить технику преодоления шифрования беспроводных ключевых тегов роскошных седанов Tesla Model S. Имея около 600 долларов в радио и компьютерной технике, они могут без проводов считывать сигналы от близлежащего флэш-клуба Tesla. Менее двух секунд вычислений приводят к криптографическому ключу Fobs, чтобы они могли красть связанный автомобиль без следа. «Сегодня нам очень легко клонировать эти брекеты в течение нескольких секунд», &#821

Две недели назад Tesla представила новые функции защиты от краж для модели S, которые предоставляют возможность устанавливать PIN-код, который должен войти на панель управления кому-то на приборной панели. Тесла также говорит, что единицы модели S, проданные после июня этого года, не подвержены атаке, потому что они были переключены на шифрование ключевого фоба, которое они внедрили в ответ на исследование KU-Leuven , Однако, если владельцы ранее изготовленной модели S не активируют этот ПИН-код – или не платят за замену своего ключа более зашифрованной версией – исследователи говорят, что они все еще уязвимы для их ключевого метода клонирования.

Ключи к Королевству

Как и большинство автомобильных систем без ключа, Tesla Model S-Keyfobs отправляет зашифрованный код на основе секретного ключа шифрования на радиоприемники автомобиля, чтобы разблокировать его и обездвижить отключить запуск двигателя автомобиля. После девяти месяцев реконструирования команда KU Leuven обнаружила летом 2017 года, что система входа в систему Tesla Model S без ключа, построенная изготовителем под названием Pektron, использовала только слабый 40-разрядный шифр для кодирования [19659003ИсследователиобнаружиличтокактолькоониполучилидвакодаотзаданногобрелкаонимогутпростопопробоватьвсевозможныекриптографическиеключипоканенайдуттогокторазблокировалавтомобильЗатемонирассчиталивсевозможныеключидлялюбойкомбинациипаркодовчтобысоздатьмассивнуютаблицусшестьютерабайтамипредварительновычисленныхключейСэтойтаблицейиэтимидвумякодамихакерыговорятчтомогутнайтиправильныйкриптографическийключдляподделкикаждогобрелокавсегоза16секунды

В своей доказательной атаке, показанной в видео ниже, исследователи демонстрируют свою технологию взлома системы без ключа с помощью аппаратного комплекта, который является всего лишь ярким джойстиком – одним радио , радиоприемник Proxmark, миникомпьютер малины Pi, их предварительно рассчитанный ключевой стол на переносном жестком диске и некоторые батареи [19659003]. Сначала они используют радиоприемник Proxmark для записи идентификатора радиостанции целевой системы блокировки Tesla, используя Автомобиль отправляется в любое время. Затем хакер вытирает радио примерно в трех футах от брелка жертвы и использует идентификатор автомобиля, чтобы подделать «вызов» фобу. Они делают это дважды в быстрой последовательности и обманывают автомобиль, чтобы реагировать на коды ответов, которые затем записывают исследователи. Затем они могут запустить кодовую пару на жестком диске жесткого диска, чтобы найти секретный ключ, который позволяет им воспроизводить радиосигнал, который разблокирует автомобиль, а затем запускает двигатель.

Целая цепь атаки, по мнению исследователей, возможна благодаря относительно слабому шифрованию фоба Pektron. «Это было очень глупое решение, – говорит исследователь Кю Лёвена Томер Ашур. «

Исследователи KU Leuven говорят, что они рассказали Тесле об их результатах в августе 2017 года. Тесла подтвердил свои исследования, поблагодарил и заплатил им $ 10 000« Bug Bounty »за свою работу, говорят исследователи, но проблема Шифрование не было разрешено до обновления шифрования в июне и нового PIN-кода.

В заявлении WIRED Тесла утверждал, что эти исправления были представлены как можно скорее, когда они работают, протестировали решение и интегрировали их в их производственных процессах ». С увеличением числа способов, с помощью которых можно украсть многие типы пассивных автомобилей, а не только Тесла, мы внедрили ряд улучшений безопасности, чтобы помочь нашим клиентам снизить вероятность несанкционированного использования их транспортных средств «написал представитель Tesla для WIRED». Основываясь на исследованиях, представленных этой группой Вместе с нашим поставщиком в июне 2018 года мы сделали наши брелки безопаснее, внедряя более надежную криптографию модели S. Соответствующее обновление программного обеспечения для всех автомобилей модели S позволяет клиентам с заранее изготовленными автомобилями в июне 1965 года, если они хотят перейти на новые брелки.

Исследователи также считают, что их атака на другие транспортные средства McLaren и Karma и мотоциклы от Triumph, которые также используют ключевой фоб Pektron, могут работать, но в отличие от модели Tesla Model S они не смогли управлять этими транспортными средствами Ни Карма, ни Триумф не ответили на просьбу WIRES о комментарии, а также сам Пектрон. McLaren говорит, что он все еще исследует проблему, но предупреждает своих клиентов о возможном риске кражи и предоставляет им бесплатные «мешки с блокировкой сигнала». «Эта потенциальная методология не повлияла на наши автомобили и считается низкой степенью риска, и мы не знаем, что на нее повлияет транспортное средство McLaren или ранее сообщенное» Релейная атака «была украдена, но мы берем на себя безопасность наших автомобилей и потребностей нашего Кун они чрезвычайно серьезны », – пишет пресс-секретарь McLaren.

Если эти другие производители действительно затронуты, то они не кладут никаких ключей в эти «мешки с блокировкой сигнала» – пакеты Faraday, блокирующие радиопередачу, все они могут определенно решить проблему, далека от ясности. что компаниям, вероятно, придется заменить все уязвимые ключевые брелоки, а также нажать обновление программного обеспечения для транспортных средств, находящихся под угрозой. В отличие от Tesla, чьи автомобили получают эфирные обновления, которые могут быть недоступны для транспортных средств сторонних производителей

Предупреждающий знак [19659005] Несмотря на вопрос о том, как можно предотвратить атаку, KU Leuvens Ashur утверждает, что эта уязвимость необходима, чтобы убедить Tesla и других автопроизводителей защищать своих клиентов от кражи. Теперь, когда Tesla добавила функцию PIN-кода, она также служит предупреждением, что владельцы Tesla должны включить эту функцию для защиты от удивительно простого метода кражи большого оборудования. В дополнение к этому PIN-коду, Tesla также позволяет владельцам модели S отключать «пассивную запись» для своих брелоков и вместо этого нажимать кнопку на трейлере, чтобы разблокировать автомобиль, выстрел, который также включает в себя атаку KU-Leuven штампы. «Эта атака там, и мы не единственные люди в мире, способные это сделать», – говорит Ашур.

Tomer Ashur, KU Leuven

В течение многих лет хакеры показали, что можно выполнять так называемые ретрансляционные атаки на системы без ключа, искажая радиосигналы автомобиля, чтобы вызвать ответ от его брелока. Этот сигнал В некоторых случаях хакеры выполняли эти атаки путем усиления радиосигнала ключа или путем преодоления расстояния между автомобилем и брелоком жертвы, держа радио рядом с каждым из них. хотя никогда не было ясно, сколько их было, учитывая отсутствие доказательств, оставшихся в живых, грабежи сезона, несомненно, являются частью мотивации Теслы, чтобы добавить его меры предосторожности в отношении ПИН-кода, несмотря на то, что KU-Leuven Исследования.

Но даже эти ретрансляционные атаки позволяют em car вор только один раз, чтобы подделать ключ жертвы. Даже если им удастся отгонять автомобиль, они не могут возобновить или запустить его. Однако атака KU-Leuven позволяет вору постоянно клонировать ключ жертвы, чтобы он мог разблокировать и водить автомобиль постоянно. «В принципе, мы можем делать все, что может сделать релейная атака, и многое другое», – говорит Вутерс.

Читать еще:  Как правильно снять аккумулятор: важные моменты

Теперь, когда этот опасный метод клонирования ключей открыт, чувствительные владельцы модели S должны включить или отключить новую добавленную функцию PIN-кода Tesla, пассивную запись Пробивая четыре номера в приборной панели автомобиля или кнопку на брелоке запуск может быть неприятным. Но лучше вернуться на пустую автостоянку.

Хакеры в фильмах: анализ топ-10 сцен

Всё чаще сцены с участием хакеров мелькают на экранах, но насколько они реалистичны? Керен Элазари, всемирно известный аналитик в сфере кибербезопасности, белый хакер, решила разобрать киберсцены из популярных фильмов и сериалов. Она-то знает, как должно быть на самом деле, ведь работает в кибербезопасности уже более 25 лет и является основателем крупнейшего в Израиле хакерского сообщества BSidesTLV, а также Leading Cyber Ladies. Так что запасайтесь попкорном, потому что после этого разбора вам точно захочется пересмотреть парочку фильмов.

  1. 007: Координаты «Скайфолл» (2012). Оценка: 3/10

Ух ты! Герой подключает чужой ноутбук к общей системе, да, еще и в опенспейсе, где работают другие специалисты. Я бы не стала так делать – это признак плохой операционной безопасности (OPSEC). В устройство могут быть ловушки. Если бы у меня был такой компьютер, перед тем как приступить к работе, я бы пропустила его через сканер. Когда мы привозим устройство для цифровой экспертизы, мы обычно вскрываем его в лабораторных условиях, а не посреди офиса нашего агентства.

Вся визуализация в сцене нереалистична, мы не видим такой 3D-анимации при открытии файла. Момент, в котором специалист обфусцирует свой код и вредоносное ПО, вполне хорош. Авторы вредоносных программ часто делают это.

Теперь мы видим на экране полиморфный код, в частности, во вредоносных программах, и шестнадцатеричную версию кода. «Hex» означает шестнадцатеричный. Обычно вы видите только 16 символов. От 0 до 9, от A до F. Вы не увидите G, R, O, как здесь. Тут ещё код выглядит как карта, красивый, фигурный, а так не бывает.

Оценка 3 из 10, потому что они всё-таки ввели некоторые фактические, реальные термины, такие как вредоносное ПО, полиморфизм и обфускация кода, но на этом реализм заканчивается, к сожалению.

  1. Восемь подруг Оушена (2018). Оценка: 7/10

В этой сцене мы видим, как Рианна, играющая роль хакера, использует разведданные из открытых источников для своего плана. Это то, что называется целевым фишингом (spear phishing). Эта атака нацелена на конкретного человека. Киберпреступники используют целевую технику, чтобы обмануть вас и заставить поверить в то, что вы получили письмо от знакомого вам лица с просьбой предоставить вашу информацию. Субъектом может быть человек или любая организация, с которой вы имеете дело.

Определенно существуют атаки, которые предоставляют злоумышленнику контроль над вашей веб-камерой, и он может даже включить ее, а вы не будете знать, что она включена. Но обычно для этого требуется немного больше времени и немного больше действий со стороны жертвы. Например, запустить приложение, установить какой-то файл. В фильме всё показано очень быстро.

Дальше идет сцена, в которой используется устройство, способное подобрать пароль к компьютеру без подключения к нему. Это невозможно. Да, спецслужбы могут использовать что-то подобное в реальном мире, но для этого им потребуется физический доступ, чтобы подключиться кабелем к целевому устройству. В фильме «коробочка» взламывает 12-символьный пароль, и в нем есть не только цифры, но и верхний, нижний регистр и спецсимволы. Для пароля такой сложности необходимо около 94 в степени 12 различных возможных комбинаций. Поверьте, это очень длинное число.

  1. Матрица Перезагрузка. Оценка: 9.5/10

Я думаю, это был поворотный момент, когда Голливуд начал показывать реалистичные хакерские атаки. Итак, мы видим, что Тринити использует Nmap — инструмент сканирования и картографирования сети, который хакеры используют постоянно. Мы также видим, что она использует нечто под названием SSH Nuke. SSH — это сетевой протокол прикладного уровня, позволяющий производить удаленное управление операционной системой. Согласно фильму, героиня атакует SSH и использует определенную уязвимость для взлома. На самом деле за месяц до начала съемок фильма эта лазейка была обнаружена в реальной жизни. На мой взгляд, очень круто, что они использовали это.

Единственный маленький элемент, который здесь не очень реалистичен, это то, что она сбрасывает пароль. Если она успешно воспользуется этой уязвимостью, она получит root-привилегии, потому ей необязательно сбрасывать пароль.

Еще один нюанс – это перчатки. Она никак не может взломать систему таким образом и не наделать кучу опечаток. Все хакеры знают, что для быстрого набора текста нужны перчатки без пальцев.

  1. Девушка с татуировкой дракона (2011). Оценка: 10/10

Итак, Элизабет здесь делает подготовительную работу. Она выслеживает свою цель, наблюдает за ней и подслушивает код, когда его набирают на клавиатуре. Для меня он звучит как 1,2,1,2. Представьте, в реальном мире не так сложно понять, как звучат разные цифры, если натренировать слух.

Героиня проникает внутрь здания и делает фотографии, чтобы потом выяснить, какое именно оборудование установлено, какой маршрутизатор, какой тип коммуникаций в этом многоквартирном доме. Затем она приобретает специальное устройство у одного из своих коллег-хакеров. Я считаю, это вполне реалистично.

Само устройство, трудно сказать точно, что это такое. Мы видим, что это Nokia. Это может быть отсылкой к Nokia N900, который в хакерских кругах был известен как pwn phone. Это был телефон, который использовался в основном для взлома беспроводных сетей.

Устройство, которое она использует в фильме, немного утрировано. Видно, что его можно подключить к сети Ethernet и в нем есть место для SIM-карты. То есть, вы вставляете SIM-карту, подключаетесь к сотовой сети и вставляете вилку в розетку. В реальной жизни такие штуки маскируют, например, под освежитель воздуха. И если бы я проводила аудит безопасности, я бы пробралась туда, как это делает Элизабет, подключила бы его к сети, а затем использовала бы другое соединение, чтобы, по сути, из своего удаленного хакерского убежища провернуть остальные дела.

  1. Форсаж 8 (2017). Оценка: 7/10

Помните момент, где хакер удаленно взламывает машину? Этот взлом на самом деле основан на реальном инциденте, случившимся за год до выхода этого фильма. В 2015 году Чарли Миллер и Крис Валасек удаленно взломали Jeep Cherokee 2014 года выпуска с помощью информационно-развлекательной системы.

Не думаю, что это возможно сейчас. Даже лучшие исследователи в области автомобильной безопасности с трудом справятся с задачей дистанционного включения зажигания автомобиля, в котором еще не встроена подобная функция. Однако в будущем мы увидим автомобили, которые будут гораздо более подключаемыми, чем когда-либо прежде. Это может стать очень страшным и реалистичным сценарием. Сейчас даже если у вас есть дистанционный контроль над управлением автомобилем, вам все равно нужно иметь изображение со спутника, чтобы координировать движение машин.

  1. Военные игры (1983). Оценка: 10/10

Очень реалистичная сцена, где девушка прежде всего ищет листок бумаги, на котором могут быть записаны пароли. Я сама когда-то так делала. Вы удивитесь, но люди мало того, что записывают пароли на бумажках и кладут около устройства, так ещё и переиспользуют много раз один и тот же пароль. Хакеры пользуются этой лазейкой постоянно. Они также изучают ваши посты в соцсетях, фотографии в поисках зацепок.

  1. Звездный путь: Дискавери. S2E8 (2019). Оценка: 1/10
Читать еще:  Что будет, если брызнуть дезодорантом и закурить в салоне машины?

«Зонд использовал несколько SQL-инъекций, но я пока не нашел ни одного скомпрометированного файла,» — когда я услышала эту фразу, то ужаснулась и в ту же секунду выключила телевизор.

Подумать только, что космический зонд в будущем, будет внедрять SQL-код для атаки на корабль Федерации. Итак, SQL-инъекция — это то, чем пользуются хакеры в наши дни. Вы рассчитываете на то, что SQL-сервер выполнит все, что вы введете. И это звучит иронично для меня, потому что SQL был впервые создан в 1960-х или 1970-х годах.

  1. Кремниевая долина. S4E9 (2017). Оценка: 10/10

Эта сцена очень реалистична. Герои даже используют реальное устройство – Wi-Fi Pineapple производства Hak5. У меня здесь Wi-Fi Pineapple Nano, который является уменьшенной версией маршрутизаторов, которые они использовали в этом эпизоде. Он спроектирован очень изящно, так что вы можете носить его в рюкзаке, и никто об этом не узнает. Таким образом, любые телефоны и компьютеры, находящиеся поблизости от такого устройства, будут подключаться к нему, а не к законной точке доступа. Поверьте, люди не смогут заметить разницу.

Вторая часть взлома также реалистична. Они используют свой контроль над Wi-Fi, чтобы направить людей на поддельный сайт и заставить скачать поддельную версию приложения.

  1. Джейсон Борн (2016). Оценка: 6/10

Я очень сомневаюсь, что у ЦРУ есть серверы, доступные через Интернет. Пока все находится на этом сервере, все файлы организованы очень аккуратно в папки с названиями всех секретных проектов. Это может показаться нереальным, но на самом деле через год после выхода этого фильма мы увидели нечто под названием «Хранилище 7», о котором рассказывал WikiLeaks, что было настоящей утечкой из ЦРУ. И у них действительно было много секретных операций, включая инструменты для взлома, организованных в файлах и папках, подобных этим.

Это не похоже ни на один из известных мне инструментов мониторинга безопасности. Однако, вероятно, здесь Ники использует черный ход, который кто-то уже установил изнутри ЦРУ. Итак, компьютер Ники посылает пакеты на определенные порты компьютера ЦРУ, и после нужной последовательности, компьютер ЦРУ принимает это как секретное рукопожатие и открывает соединение изнутри ЦРУ с компьютером Ники. Это реалистичная возможность.

Итак, замечательно, что ЦРУ мгновенно узнает это место нахождение хакеров, но вырубить электричество в здании. Знаете, это не та способность, которой разведывательное агентство будет хвастаться, если у него есть такая возможность, удаленно отключить электричество в конкретном здании. Когда хакеры взломали систему электроснабжения в Киеве (Украина) в 2015 году, а затем снова в 2017 году, они отключили электричество в некоторых частях города, и им потребовались месяцы, чтобы организовать этот взлом. Я не уверен, что это реально сделать таким целенаправленным образом, в отношении одного дома, в частности.

На экране мы видим IP-адреса, которые в реальной жизни не существуют. Например, IP-адрес, который начинается с 300. Итак, IP-адреса состоят из четырех октетов, четырех сегментов. Каждый октет состоит из трех цифр. Цифры, конечно, могут быть нулевыми. Так что это может быть что угодно от нуля до 255. Если в кино вы видите IP-адрес, который начинается с 256, то это фикция. Он не существует в реальном мире.

  1. Хакеры (1995). Оценка: 8/10

Итак, «Хакеры» — мой самый любимый фильм. Именно благодаря ему я решила стать хакером. Вот как это выглядит на самом деле, когда кто-то анализирует кусок кода. Проходит целая ночь, а не пара минут. Вокруг находятся другие люди, и они, знаете ли, едят холодную пиццу, пьют теплые энергетические напитки. Это меню хакера, на котором я выросла сама.

На экране мы видим шестнадцатеричный код слева, а справа — символы ASCII, или финансовые транзакции, которые шестнадцатеричный код фактически представляет в компьютерных системах корпорации Ellingson. Так что это довольно реалистично. Антагонист использует вирус Да Винчи. По сути, они создали очень опасный вирус, который угрожает затопить нефтяные танкеры корпорации «Эллингсон Минерал», если ему не заплатят миллион долларов. Имейте в виду, это первый случай, когда программу-вымогателя показали в Голливуде. До этого вирусов-шифровальщиков как таковых не существовало. Сегодня мы видим множество подобных атак, когда преступники захватывают компьютерную систему и требуют оплату, чтобы расшифровать файлы и вернуть доступ к системам. Так что несмотря на то, что фильм был не совсем точен в 90-е годы, я думаю, что он действительно предсказал будущее. Я сниму два балла только потому, что нам не показывают программный код.

Хакер дырочку найдет

Никита Аронов — о том, почему кибербезопасность всегда под угрозой

«Огонек» отправился на съезд хакеров и убедился: окружив себя новыми технологиями, мы оказались очень уязвимы. Уже сейчас хакер может украсть деньги с вашей карточки, отследить ваше положение по мобильному телефону, угнать вашу машину и сжечь электроподстанцию в вашем городе

Positive Hack Days — редкая возможность увидеть много хакеров в одном месте

Фото: Дмитрий Лебедев, Коммерсантъ / купить фото

На хакерском форуме Positive Hack Days организаторы презентовали сборник исследований по состоянию информационной безопасности на 2015 год. Если вкратце, то все страшно. Уязвимости найдены в 90 процентах систем дистанционного банковского обслуживания, половину мобильных телефонов можно прослушать на расстоянии, а львиная доля промышленного оборудования беззащитна против атак злоумышленников.

— Бизнес всегда в первую очередь думает об эффективности, об услугах, а не о безопасности. Поэтому первый ход всегда за хакерами,— уверен руководитель отдела безопасности банковских систем компании Positive Technologies Тимур Юнусов.— Серьезно повысить безопасность можно, только понизив удобство: хранить информацию на бумажках, передавать файлы на дискетах. В некотором роде вернуться в каменный век.

Надо бояться. И беречься

Фактически с развитием технологий мы все попали в ловушку. Они делают жизнь удобнее, но оставляют массу лазеек для злоумышленников. Обилие гаджетов сводит на нет усилия специалистов по безопасности. Люди начинают читать корпоративную почту с планшета — ведь так гораздо удобнее. Можно разрешить просмотр секретных файлов только на суперзащищенном компьютере, с которого ничего нельзя скопировать. Но ведь ничто не помешает сотруднику просто сфотографировать экран. Не обязательно в шпионских целях — просто, чтобы потом почитать в спокойной обстановке. Все чаще причиной всех бед становится обычное разгильдяйство.

«Мы уже живем в новой реальности»

— Недавний пример: из коммерческого банка украли серьезную сумму денег. Мы посмотрели распорядок рабочего дня человека, который его администрировал. Оказалось: он одной рукой администрирует, а другой сидит в «В контакте» и ходит по ссылкам на посторонние сайты, где легко можно подхватить вирус,— рассказывает Никита Кислицын из Group-IB.

Даже добросовестный пользователь не способен держать в голове несколько паролей от почты, гаджетов и аккаунтов в социальных сетях. Кончается все тем, что пароли хранят в текстовом файле на рабочем столе компьютера. Да что там пользователи — исследование информационных систем 17 крупных российских и зарубежных компаний показало, что в четверти из них обнаружились админские аккаунты, открывающиеся паролем «Admin».

Интернет как угроза

Под угрозой не только корпорации, но и простые смертные.

— Раньше считалось, что прослушивание сотовых телефонов — прерогатива спецслужб, но оказалось, что это не так,— рассказывает руководитель отдела безопасности телекоммуникационных систем Positive Technologies Дмитрий Курбатов.— Всех мобильных операторов объединяет спроектированная 40 лет назад проводная сеть SS7 (в российской терминологии — ОКС-7). В некоторых странах доступ к ней можно купить за 3,5 тысячи долларов. И у мобильных операторов в этой сети до недавнего времени не было никаких средств защиты. И даже систем мониторинга безопасности.

Читать еще:  Где находится расширительный бачок системы охлаждения двигателя

Шумные воры

Таким способом можно взломать чужой телефон, находясь на другом конце земного шара. Об угрозе просто не задумывались до скандала с прослушкой Ангелы Меркель, осуществленной, по мнению специалистов, именно так.

Но чтобы пострадать от хакеров, необязательно быть главой государства. В 89 процентах сетей можно перехватить входящие СМС. Например, подтверждающие банковские платежи. Так что тут прямой денежный интерес.

Но хуже всего дело обстоит с промышленным оборудованием. С каждым годом там все больше мобильных технологий, а о кибербезопасности зачастую не думают вовсе. Оценить это наглядно можно было прямо на форуме Positive Hack Days. В одном из конференц-залов московского Центра международной торговли установили несколько макетов: железной дороги с поездом, «умного дома», а также целого города с гидроэлектростанцией, плотину которой можно было открыть и вызвать потоп. Участникам форума, хакерам и специалистам по компьютерной безопасности, предлагалось подключаться и выводить из строя всю эту инфраструктуру. Что они и делали, устроившись на удобных пуфиках. Кстати, большинство хакеров — обычного вида айтишники в толстовках с капюшонами.

Мобильная диверсия

Этажом ниже взламывали автомобиль. Оказывается, современные машины очень легко вскрыть, подключившись к камере парктороника. Собственно, тут та же проблема, что и с мобильными устройствами: чем больше удобств, связанных с современными технологиями, тем больше прорех в безопасности.

Не прошло и двух часов, как игрушечный город затопили, а один 17-летний школьник вызвал короткое замыкание и сжег трансформаторную подстанцию ГЭС. Макет «умного дома» не избежал печальной участи.

Слишком глобальная сеть

— В блоке управления светом «умного дома» уже кто-то взломал пароль и поменял на свой,— признавался дежурящий у макета Александр Лифанов.

Сам он работает в компании, производящей аппаратуру для «умных домов», и возит макеты на хакерские форумы, чтобы проверить ее на прочность.

— Надеюсь, что сегодняшние результаты заставят разработчиков оставлять меньше «дырок»,— рассуждает он.

Собственно, хакерские слеты для того и проводят, чтобы люди, ответственные за безопасность, могли потренироваться и узнать о вновь выявленных слабых местах. Но хакеры все равно каждый раз находят новые.

Материал подготовил Никита Аронов

Брифинг

Дмитрий Евтеев, технический директор компании HeadLight Security

Предположим, администраторы взяли лучшие практики, закрыли все файерволами, предусмотрели антивирусные системы — все круто. Но появляются пользователи этой системы и начинают ходить по непонятным сайтам и жаловаться, что их не устраивает такая сложная политика безопасности. Потом бухгалтеру нужно установить какой-то интернет-банк, который не умеет работать через прокси-сервер. Так в системе защиты начинают появляться бреши.

Источник соб. инф.

Пол Викси, один из создателей интернета

Можно сказать, что в мире уже и не существует понятий «приватность» и «сохранность личных данных». При этом во многом это вина спецслужб, ведь они также взламывают данные или предустанавливают в продукцию дополнительные опции для получения информации. Покупая любое устройство, вы должны помнить, что хакерской атаке могли быть подвергнуты и его производитель, и продавец. А еще то, что в ваше устройство изначально могли предустановить шпионское ПО.

Максим Эмм, эксперт в области информационной безопасности

Злоумышленники очень грамотно используют несовершенство законодательства именно в части взаимодействия разных стран. То есть в большинстве случаев преступления совершают на территории других стран, находясь при этом, например, в России либо в странах СНГ. Найти их там достаточно сложно ввиду того, что взаимодействие между правоохранительными органами Евросоюза и России, США и России в этом плане налажено очень слабо.

«Показали, что можно неплохо заработать». На что «Матрица» вдохновила хакеров

Эксперты объяснили, почему киберпреступники часто оставляют отсылки к «Матрице»

Первые три фильма франшизы «Матрица» воспитали современное поколение хакеров и оказали сильное влияние на культуру киберпреступников, пишет портал The Next Web.

Так, «Матрица: Перезагрузка» впервые показала на экране реальный взлом с использованием существующего эксплойта sshnuke и инструмента nmap. По мнению некоторых специалистов, это породило в обществе интерес к хакерству, из-за чего многие современные киберпреступники и ИБ-специалисты начали изучать тему.

Директор департамента корпоративного бизнеса ESET Антон Пономарев поделился с «Газетой.Ru», что пошел в университет учиться защите информации в том числе благодаря «Матрице».

«Этот фильм помог заинтересоваться программированием. Так часто бывает, что фантасты предвосхищают будущее. Может быть, именно после картины Вачовски у ESET и других вендоров появился свой собственный ИИ. Поэтому с уверенностью скажу, что «Матрица» вдохновила не только «черных» хакеров, но и борцов с киберпреступностью. Подтверждение этому – антихакерский чип MORPHEUS или отечественная IT-платформа «Тринити», – рассказал Пономарев.

По его словам, специалисты ESET часто встречают отсылки к «Матрице», исследуя софт или метки злоумышленников.

«Взять хотя бы хакера Илмара Пойканса, известного как NEO. Часто встречаются хакеры или эксплойты с никами и производными от Сайфер (известный хакер Cipher0007) или Дозер», – приводит примеры эксперт.

Также он отметил, что сюжет «Матрицы» можно наблюдать в современном хакинге: на полях информационной безопасности сражаются искусственные интеллекты и облачные технологии. Игроки IT-отрасли стремятся уменьшить вовлеченность человека и заменить его машинами – это добавляет скорости, освобождает специалистам время и убирает человеческие ошибки.

Технический директор Trend Micro в СНГ, Монголии и Грузии Михаил Кондрашин отметил, что первая часть тетралогии «Матрица» вышла в конце двадцатого века, как раз в самом конце эпохи хакеров в исходном смысле этого слова.

«Тогда хакер считался высококвалифицированным специалистом, ищущим неочевидные свойства информационных систем и использующий их в своих целях. Главной мотивацией у хакеров той эпохи была популярность в узком кругу «коллег».

Но уже в самом фильме было показано, что разработкой вредоносного кода и другими действиями, можно неплохо заработать. Это предвосхитило вектор развития информационной безопасности на следующие двадцать лет.

Сегодняшние киберпреступники не стремятся к славе и известности. Они стараются оставаться анонимами даже для своих коллег по цеху. Их цель – это деньги, и деньги огромные», – рассказал Кондрашин.

IT-эксперт, постоянный колумнист журнала «Хакер» 1999–2002 годов Даниил Шеповалов (danya.ru) уверен, что образ Нео оказал огромное влияние на молодых техногениев того времени.

«Типичный гик с красными глазами, которому достаточно комнаты размером чуть больше кровати, а вся жизнь которого проходит за экраном, вдруг становится самым главным и разносит реальность в осколки из зеленых иероглифов», – объяснил эксперт.

Однако современные хакеры существенно отличаются как от персонажей одноименного фильма, так и от специалистов того времени, считает директор по стратегическим коммуникациям Infosecurity (ГК Softline) Александр Дворянский.

«В конце 90-х годов понятие «хакер» было как звание, звучало гордо и целью работы был практически научный интерес, возможность продемонстрировать свои навыки и компетенции. Для современного злоумышленника важнее всего деньги. Ранее хакеры были в основном одиночками и зачастую ими руководил спортивный интерес.

Сейчас их деятельность превратилась в полноценное преступное сообщество, хорошо финансируемое, ресурсно-подкрепляемое, и в настоящий момент представляет существенную угрозу для всего мира.

Поэтому образ, представленный в фильме «Матрица», никак не соответствует современному хакеру», — заключил эксперт.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector