Почему не стоит покупать няню-андроида

Почему не стоит покупать няню-андроида

508
Ukrinform
Хакерские села и опасные работы: в Киеве прошла конференция по кибербезопасности NoNameCon

- А вот здесь воркшоп по взлому автомобилей. Посмотрите на эти одухотворенные лица, – экскурсию по хакерским селам, которые расположились в галерее ART UKRAINE на Антоновича, мне проводил организатор конференции по кибербезопасности NoNameCon, которая в будущем обещает стать едва ли не главным образовательно-тусовочным событием весны для IT-специалистов, Владимир Стиран.

ХАКЕРСКИЕ СЕЛА НА ПЕЧЕРСКЕ – МЕСТА, ГДЕ ВЗЛАМЫВАЮТ АВТОМОБИЛИ, WIFI И МОБИЛЬНЫЕ ПРИЛОЖЕНИЯ...

До этого я прослушала лекцию спикера об электронных угонах. Он живописно описал ситуацию, как на дороге в автомобильном потоке одновременно выходят из-под контроля водителей несколько, например, «Тойот», которые начинают ехать по усмотрению злоумышленника. Это экстрим. Но даже если брать просто высокотехнологичный угон... Автомобильная индустрия пока не сформировала адекватного и полного ответа на подобные вызовы, но интересно, что Украина участвует в этом процессе – помощи автопроизводителям и дилерами найти ответ на инновационные автоугоны. На таких мероприятиях каждый раз озвучивается: чтобы строить систему защиты, необходимо понимать логику хакинга.

- Вчера участники слушали лекцию по хакингу авто, сегодня эти двадцать людей учатся, как проверять автомобили на безопасность, паяют схемы, собирая их из отдельных компонентов, – продолжает Влад. – Потом, когда эти люди пройдут испытания, то их допустят к «живой» машине, которая стоит на улице, они возьмут ноутбуки, знания, подсоединятся и будут взламывать настоящее авто, которое для этой цели одолжил один из партнеров конференции.

Фото: facebook.com/pg/nonameconorg
Фото: facebook.com/pg/nonameconorg

Идем дальше. Следующий мастер-класс – взлом мобильных приложений.

- Есть мобильное приложение, которое симулирует управление автомобилем. Есть автомобиль, собранный из лего, там есть моторчик, фары, тормоза, закрываются-открываются двери – полная имитация авто, есть сервер, и все управляется мобильным приложением. И там целый квест: через уязвимости в программном коде они пытаются захватить полный контроль над моделью, – рассказывает Владимир.

В галерее, где проходит конференция, параллельно идет несколько мастер-классов: воркшопов и хакерских сел. Хакерские села расположились в разных локациях: комнатах и студио первого этажа большой галереи, а воркшопы проходят в прозрачных боксах второго этажа. Мы подошли к локации, где предлагали взламывать замки.

Фото: facebook.com/pg/nonameconorg
Фото: facebook.com/pg/nonameconorg

- Влад, я это уже встречала. Скажите, для чего IT-специалистам, которые занимаются электроникой, взламывать обычные замки? Они что – так мелкую моторику развивают?

- Кибербезопасность, как отрасль и физическая безопасность, – похожи идеологически. И там, и там есть два лагеря: те, кто защищаются, и те, кто нападают – и между ними порой возникают идеологические конфликты. Ну, люди, которые защищают систему, приглашают пентестера, тот находит уязвимости и пишет отчет. С ним порой спорят, говорят, мол, а вы не то нашли, а мы по-другому строим защиту. Так же и в кинетическом пространстве. Есть компании, которые занимаются безопасностью замков, сейфов, дверей, а есть те, которые тестируют, подбирают замки, делают отмычки... Те, кто ломает такие замки, они существуют гораздо дольше, чем мы, у нас похожая почти аналогичная ситуация... У них богатый опыт решения идеологических, этических, социальных конфликтов внутри их индустрии. Мы многое можем перенять, у нас почти полная аналогия. Именно поэтому такая большая популярность именно этого «села», это очень похоже на то, что участники будут делать на работе, но в другом пространстве.

Мы проходим виладж по проверке безопасности беспроводных сетей. WiFi – исторически самая уязвимая плоскость сетевой безопасности. А потом еще одно село – по двухфакторной аутентификации, там рассказывают про принципы и протоколы защиты учетных записей с помощью специальных устройств – токенов.

Мы спустились на первый этаж, где начинается лекция.

Фото: facebook.com/pg/nonameconorg
Фото: facebook.com/pg/nonameconorg

50 УЯЗВИМОСТЕЙ ДЛЯ РОБОТА

У журналистов привычки хотя бы минимально отслеживать войну в четвертом пространстве, к сожалению, не сложилось. Хотя, если попасть на мероприятия, связанные с кибербезопасностью, то можно услышать крайне интересные истории. Например, как один украинский «рукодельник» получил доступ (несанкционированно влез – прямо скажем) в конфиденциальную информацию российской нефтяной компании «Лукойл» и в шутку рассказывал, что планирует сверить – совпадает ли конфиденциальная информация объемов разведки, добычи и продажи нефти с официальной – и посмотреть, как изменятся после этого котировки акций компании на мировых биржах. Или, например, почему электронная медицина на Западе делает пациента уязвимым и как это учесть Украине? Осенью, после одной из важных конференций информационной безопасности, я написала, что в таких местах готовятся солдаты для войны будущего – войны, где физическое оружие будет только огневой поддержкой. А сегодня я бы добавила, что мощная киберконференция – точка доступа, откуда вы можете заглянуть в будущее.

Кстати, о будущем. Стартовала презентация темы роботов. Какая большая семья этих роботов! Промышленные роботы сегодня заняты на сварочных работах в автомобильном строительстве, они занимаются наукой, работают в банках, сидят на кассах, и даже работают в кафе – всего насчитывается 20 тысяч роботов. Презентация включала видеокадры с роботами-нянями и домашними помощниками. Правда, этот праздник искусственного интеллекта был испорчен новостью, что в роботах найдено полсотни уязвимостей.

Фото: facebook.com/pg/nonameconorg
Фото: facebook.com/pg/nonameconorg

Пока спикер рассказывал, какие угрозы несут эти уязвимости: робот может превратиться в шпиона, может нанести физический вред, и как создать систему ограничения движения для робота, то я подумала, что такая хрупкая няня-андроид точно не приживется. Ни одна мама не купит робота-няню, которого можно сломать!

Еще одна не очень хорошая новость: купленного робота очень трудно отправить обратно по гарантии. Но последние кадры презентации – как роботы старательно совершенствуют, работая над суставами и эмоциями и механизмами взаимодействия, не оставляли сомнений, что они станут частью нашей жизни.

Фото: facebook.com/pg/nonameconorg
Фото: facebook.com/pg/nonameconorg

ПОЧЕМУ В ПОСТРОЕНИИ КИБЕРЗАЩИТЫ НУЖНО ЗНАТЬ СКАЗКУ ПРО ТРЕХ ПОРОСЯТ – УРОК ДМИТРИЯ ШИМКИВА

А кроме того, что заглянуть в будущее, такие события дают шанс понять, есть ли что-то новое на полях сражений, где будто полгода нет выстрелов? (Кажется, киберинцидентов (нападений на информационные системы украинских предприятий и ведомств), за исключением одного «невинного» хакера из Марокко, который пару недель назад взломал сайт министерства энергетики, не было. Сам марокканец честно признался украинским коллегам, как быстро схватили его за руку и отвели поговорить в какой-то виртуальный закоулок подпольного Интернета, что он не имел злого умысла, взламывал сам не знал кого и имел целью выразить миру протест против расизма.

Фото: facebook.com/pg/nonameconorg
Фото: facebook.com/pg/nonameconorg

На конференцию по кибербезопасности NoNameCon собралось около полутысячи IT-специалистов и ведущих лидеров этой сферы. Те, кого я увидела в первом ряду главного зала конференции, вряд ли станут героями светских хроник, но уже сегодня они являются участниками картотеки ФСБ, как сильные противники.

Здесь были те, кто спасал сайт украинского ЦИК в 2014 году во время президентских выборов, те, кто в 2014 году силой опыта и авторитета объединил всех украинских хакеров, чтобы ликвидировать российские киберугрозы. Мы плохо знаем этот период кибервойны, но медиа сохранили новости, как уже через пару дней после этой мобилизации на главных российских пропагандистских ресурсах начали появляться заголовки типа «российские сенаторы одобрили использование нацистских войск в Украине».

Здесь были ученые, чиновники. Это еще не обзор кибер-войск, но уже точно демонстрация некоторых возможностей. В первом ряду увидела Дмитрия Шимкива, заместителя главы Администрации Президента.

- Дмитрий, в прошлом году именно в эти дни вы выступали на одном форуме, где заявили, что вас и ваших коллег из АП атакуют каждый день. Улучшилась ситуация?

Фото: facebook.com/pg/nonameconorg
Фото: facebook.com/pg/nonameconorg

- Угрозы – как физические вирусы. Они появляются каждый раз новые, просто надо повышать иммунитет информационных систем. Мир не стал безопаснее, но если говорить о моей команде и АП, то, благодаря поддержке различных организаций, сотрудничества с волонтерами, которые тренируют мою команду (а мы экспериментируем), работе с производителями, мы все время повышаем качество защищенности АП. Защита – это философия. Мы с командой построили в Администрации Президента крепость, и мы держим удар. Могу ли предположить, что будет удар, который мы не выдержим? Я должен предполагать любую возможность, но, если говорить об аналогии, то вспомните сказку про трех поросят. Наф-Наф строит каменный дом, а два других – из соломы и древесины. Можно обойти любую систему, это вопрос времени, ресурсов, денег... Не нужно ждать серебряную пулю, которая решает все проблемы. Не существует уникального универсального решения навсегда – нужно строить каменный дом.

ЧТО РАЗДРАЖАЕТ СПИКЕРА КИБЕРАЛЬЯНСА?

Шон Таунсед был единственным из спикеров, кто выступал в балаклаве, – официальный представитель и участник структуры, которая называется Киберальянс. Киберальянс и такое явление, как хактивизм, еще не вошли в новейшие учебники истории Украины, но, если они когда-то будут переиздаваться, то там обязательно появятся разделы «Кибервойны» и страницы об участии патриотического хакерского сообщества в защите сетей критической инфраструктуры (предприятий энергетики, органов власти, ликвидации последствий мощных российских кибератак). Достаточно свободолюбивое сообщество (нанимать его представителей на постоянную работу государству не очень по карману), но, несмотря на сопутствующие их работе скандалы, оно стало реальным фактором кибербезопасности.

Фото: facebook.com/pg/nonameconorg
Фото: facebook.com/pg/nonameconorg

Реагирования на угрозы, ликвидация последствий атак и взломы сепаратистских сайтов и аккаунтов – неполный перечень их деятельности. А материалы их взлома пригодились в самых неожиданных ситуациях. Они помогли собрать неопровержимые доказательства участия российских военных в войне на Донбассе (автор этих строк использовал их материалы по взлому кремлевско-церковного пропагандиста «Фроловleaks»), давая интервью иностранным ученым, журналистам и дипломатам. (Поблагодарив за этот материал в перерыве, в ответ услышала от Шона обещание раздобыть еще что-нибудь интересненькое на эту тему).

В своем докладе Шон рассказал, как все начиналось в 2014 году. Как, отвечая на атаки россиян, они группировались, как переходили от простых атак в ответ к более сложным. Как вышли на сотрудничество с Инфонапалмом – сайтом, который помогает обрабатывать и анализировать информацию. «Кибернаступление – по-своему искусство, где не обойтись без медиа», – резюмирует Шон.

Но самая оживленная часть доклада была об акции #FuckResponsibleDisclousure. Напомним, что эта акция, которая стартовала в конце прошлого года, заключалась в своеобразном аудите государственных ресурсов. Выявляя недостатки, дыры и «плохие замки», слабую защищенность информационных сетей, члены Киберальянса публично об этом сообщали. Тогда в украинских даже очень серьезных ведомствах, которые подпадают под все критерии критической инфраструктуры, были найдены уязвимости.

Это публичное информирование о найденных слабостях информационных систем чиновниками воспринималось очень по-разному. Они не привыкли оправдываться, культура реагировать на такие разоблачения еще не сформирована. Публичные дискуссии с представителями госорганов порой приобретали очень острых форм. Ну и Шон не упустил возможности снова упрекнуть те или иные ведомства. Членам Киберальянса угрожали арестом, делали тысячу и одно китайское предупреждение. Те делали паузы ненадолго – и начинали снова. В конце концов, они так вложились в повышение уровня киберобороны, их так поддержало общество и они так успели понравиться журналистам, что недоброжелателям вряд ли удалось бы дотянуться до них, опять же: «А если завтра опять не-Петя?»

Фото: facebook.com/vstyran
Фото: facebook.com/vstyran

- #FulResponsibleDisclousure – это хорошо, – комментирует по нашей просьбе ситуацию Владимир Стиран. – Мы общались с коллегами, в том числе из глобального топового добавления в подкаст Risky Business, которые отслеживают тематические новости больше десяти лет. Среди их гостей в эфире за это время – те, с кого начиналась информационная безопасность в мире. Они вообще не помнят из истории, чтобы хакеры проверяли безопасность своего государства, а результаты выкладывали в публичный доступ. Сейчас правовой климат толерантен к этому: в девяностые за такое где угодно можно было бы получить реальный срок. Ситуация с кибербезопасностью плохая, и надо делать хоть что-то, поэтому пока политический баланс их защищает – ребята делают.

И В ИТОГЕ: КАК НАМ ЗАЩИТИТЬ ПЕРИМЕТР «УКРАИНА»?

Слово «периметр» в этой сфере означает внешние границы сети. Она – обязательный элемент защиты информационной безопасности корпоративной инфраструктуры. Это очень объемное слово часто встречается в блогах специалистов по информационной безопасности. Потому что на тему – как улучшить кибербезопасность – написаны десятки авторских колонок. Стал ли наш мир более безопасным и что нам следует сделать, чтобы он таким стал? Ниже мы приводим оценки участников.

Владимир Стиран: «Вы говорите, что инцидентов нет. Но это не потому, что мы многому научились, а потому, что не было серьезных атак. Подождите выборов. Де-факто, люди еще не готовы заниматься безопасностью системно. Впрочем, компании, которые прошли через серьезные инциденты, изменяют процессы, совершенствуя практики разработки более безопасного кода. Как не крути – инцидентная практика самая действенная».

Шон Таунсед: «Первое, что приходит в голову, когда меня спрашивают о необходимых шагах. Дерегуляция, уменьшение бумажных тигров, необходимых разрешительных документов. Второе – осознание того, что не будут официально утверждены принципы, когда нет образовательных усилий по обучению людей и персональной ответственности руководителей. Так же не работает наказание: ну, завели на нас в РФ с десяток криминильных дел – нас что, это остановит? И остановит ли россиян перспектива уголовного дела в Украине? Нет. Необходимо изменение процессов, персонализированная ответственность чиновников».

Дмитрий Шимкив: «Кибербезопасность – это прежде всего практика. В аудитории присутствуют разные представители некоторых государственных органов. Здесь есть и мои подчиненные из АП, которые здесь с целью научиться понимать и отточить практические навыки атак и защиты. Мы, слушая доклады, сидим и обсуждаем, как мы будем использовать это у себя, чтобы проверить безопасность систем. Только что была интересная презентация по методикам обхода систем защиты... Очень программистский доклад, который показывает существование множества возможностей обойти системы защиты, которые кажутся самыми надежными и продумаными. Но при этом знаю ведомства, где используется устаревшее оборудование, которое уязвимо, как дуршлаг. Тем не менее, они мне возражают: у нас есть бумаги, мы получили сертификат 10 лет назад. Если системы, которые контролируют, защищают, собирают информацию и обрабатывают, имеют уязвимости, которыми может воспользоваться злоумышленник, – мы все страдаем. И это ответственность и разработчиков, и людей, которые системы поддерживают. Мир меняется и надо быть готовым к тому, что происходит сегодня».

Лана Самохвалова, Киев
Фото - Сергея Рекуна

При цитировании и использовании каких-либо материалов в Интернете открытые для поисковых систем гиперссылки не ниже первого абзаца на «ukrinform.ru» — обязательны. Цитирование и использование материалов в офлайн-медиа, мобильных приложениях, SmartTV возможно только с письменного разрешения "ukrinform.ua". Материалы с пометкой «Реклама», «PR», а также материалы в блоке «Релизы» публикуются на правах рекламы, ответственность за их содержание несет рекламодатель.

© 2015-2018 Укринформ. Все права соблюдены.

Дизайн сайта — Студия «Laconica»
Расширенный поискСпрятать расширенный поиск
За период:
-