Актуальные вопросы ИБ в искусстве. Форсаж 8

Актуальные вопросы ИБ в искусстве. Форсаж 8
Несмотря на несомненный интерес, этот фильм я посмотрел только неделю назад. Как и прошлые части, "Форсаж 8" был построен на элементах спецэффектов и супергеройства. Если не обращать внимание на многие откровенные ляпы в оборонке и неиссякаемый запас везения главных героев, то получилось даже интересно. Но критиковать ляпы - много умения не нужно. Интереснее было наблюдать за относительно новыми, либо не слишком популярными акцентами в кинематографе. Возможно, они были всегда, просто я только со временем начал обращать внимание на эти нюансы. Итак, начнём.
name='more'>


Организаторский талант.
В фильме отлично показан управленческий феномен Мистера Никто (Курт Рассел). Что сделано:
- подобрана команда лучших;
- найдены аргументы для примирения смертных врагов, которым обозначена общая цель;
- подобрана мотивация каждому индивидуально таким образом, чтобы достичь общей цели;
- общая цель для команды имеет ощутимый для всех и каждого эффект;
- достижение цели командой является без пяти минут выполнением поставленной задачи.
Пересказывать сюжет не буду, чтобы не перебить вкус тем, кто ещё не посмотрел, но в целом организаторские способности Мистера Никто и умение быстро подобрать аргументы для спорщиков, направив всех в одном (нужном ему) направлении, вызывают восхищение. Нынче модно именуемые negotiation skills, за которые все любят себя хвалить, проявились на пиковом уровне.

Кибербезопасность.
В серии фильмов, начиная с седьмой части, вопросам кибербезопасности отводится одна из ключевых ролей, показывая возможность из-за экрана контролировать либо управлять реальным миром. Казалось бы, способность наблюдать за всеми и каждым - мистика, но, если поразмыслить, то не совсем. Тем более что базовая технология, которую взломали хакеры из фильма - IoT - не славится своей защищенностью, и очень не скоро хотя бы сравнится с таковой корпоративного уровня.

Взломав устройства "Интернета вещей" и грамотно воспользовавшись полученными возможностями, злоумышленники смогли достичь двух колоссальных результатов:
- создать систему слежения за любой точкой мира
- поработить "умные машины"



Отбросив мистику, подумаем: какие действия хакерам были нужны для этого?
1. Определить и постоянно актуализировать подключенные устройства по типу "камера" или "автомобиль". 
2. Получить контроль над ними, используя подбор пароля, эксплуатацию уязвимостей или недокументированные возможности. 
3. Определить координаты устройств и азимуты видеокамер. 
4. Обеспечить доступ и индексацию изображений в режиме онлайн.
5. Интегрировать с системой распознавания лиц.
6. Интегрировать с системой управления автомобилями, позволяющей контролировать сотни движущихся машин одновременно. 
7. Пользоваться. 

Задача упрощается слабой защитой устройств IoT, но усложняется их огромным количеством. Тут, конечно, хакерам на помощь приходят инструменты автоматизации: системы open source, собственной разработки, либо взломанные и доработанные коммерческие версии. Сбор и анализ неструктурированных данных на калькуляторе не выполнишь: вероятнее всего, алгоритмы Big Data здесь сыграли не последнюю роль. Управлять тысячей автомобилей одновременно человек не сможет, поэтому здесь хакеры, скорее всего, использовали искусственный интеллект. Из абсолютной мистики только то, что все это помещается в блок размером с небольшой ноутбук.

А теперь, глядя на пункты 1-7 и понимая их осуществимость, можно задать себе вопрос: насколько бы усложнилась задача для хакеров, если бы IoT-устройства реально защищались хотя бы так, как я описывал ранее ? Конечно, сюжет фильма от этого не изменился бы, но реальная угроза порабощения IoT снизилась бы существенно.

Так что, большой привет всем вендорам, поставщикам решений, интеграторам и пользователям IoT. Не хотите стать частью цифрового апокалипсиса - защищайте свои устройства и решения IoT.



Alt text
История Ричарда Столмана - от любви до ненависти. Раскрыты подробности уплаты выкупа вымогателям а киберграбители взялись за цифровое искусство. Смотрите 12 выпуск security-новостей на нашем Youtube канале.

Андрей Дугин

Практическая информационная безопасность и защита информации | Information Security and Cyber Defense in Deed