Чому не варто купувати няню-андроїда

Чому не варто купувати няню-андроїда

1866
Ukrinform
Хакерські села і небезпечні роботи: у Києві пройшла конференція з кібербезпеки NoNameCon

- А ось тут воркшоп зі зламу автомобілів. Подивіться на ці одухотворені обличчя, – екскурсію по хакерських селах, які розташувалися у галереї ART UKRAINE на Антоновича, мені проводив організатор конференції з кібербезпеки NoNameCon, яка у майбутньому обіцяє стати чи не головною освітньо-тусовочною подією весни для IT-фахівців, Володимир Стиран.

ХАКЕРСЬКІ СЕЛА НА ПЕЧЕРСЬКУ – МІСЦЯ, ДЕ ЛАМАЮТЬ АВТОМОБІЛІ, WIFI ТА МОБІЛЬНІ ДОДАТКИ...

До цього я прослухала лекцію спікера про електронні угони. Він мальовничо описав ситуацію, як на дорозі в автомобільному потоці одночасно виходять з-під контролю водіїв кілька, наприклад, «Тойот», які починають їхати на розсуд зловмисника. Це екстрим. Але навіть якщо брати просто високотехнологічний угон…  Автомобільна індустрія наразі не сформувала адекватної та повної відповіді на подібні виклики, але цікаво, що Україна бере участь у цьому процесі – допомоги автовиробникам та ділерами знайти відповідь на інноваційні автокрадіжки. На таких заходах щоразу озвучується: щоб будувати систему захисту, слід розуміти логіку хакінгу. 

- Вчора учасники слухали лекцію з хакінгу авто, сьогодні ці двадцять людей навчаються, як перевіряти автомобілі на безпеку, паяють схеми, збираючи їх із окремих компонентів, – продовжує Влад. – Потім, коли ці люди пройдуть випробування, то їх допустять до «живої» машини, яка стоїть на вулиці, вони візьмуть ноутбуки, знання, під'єднаються і будуть ламати справжнє авто, яке для цієї цілі позичив один із партнерів конференції.

Фото: facebook.com/pg/nonameconorg
Фото: facebook.com/pg/nonameconorg

Йдемо далі. Наступний майстер-клас – ламання мобільних додатків.

- Є мобільний додаток, який симулює управління автомобілем. Є автомобіль, зібраний з лего, там є моторчик, фари, гальма, закриваються-відкриваються двері – повна імітація авто, є сервер, і все управляється мобільним додатком. І там цілий  квест: через вразливості у програмному коді вони намагаються захопити над моделлю повний контроль, – розповідає Володимир.

В галереї, де відбувається конференція, паралельно йде кілька майстер-класів: воркшопів та хакерських сіл. Хакерські села розташувалися в різних локаціях: кімнатах та студіо першого поверху великої галереї, а воркшопи відбуваються в прозорих боксах другого поверху. Ми підійшли до локації, де пропонували ламати замки.

Фото: facebook.com/pg/nonameconorg
Фото: facebook.com/pg/nonameconorg

- Владе, я це вже зустрічала. Скажіть, для чого IT-фахівцям, які займаються електронікою, ламати звичайні замки? Вони що – так дрібну моторику розвивають?

- Кібербезпека, як галузь та фізична безпека, – схожі ідеологічно. І там, і там є два табори: ті, хто захищаються та ті, хто нападають – і між ними часом виникають ідеологічні конфлікти. Ну, люди, які захищають систему, запрошують пентестера, той знаходить вразливості й пише звіт. З ним часом сперечаються,  кажуть, мовляв, а ви не те знайшли, а ми по-іншому будуємо захист. Так само й у кінетичному просторі. Є компанії, які займаються безпекою замків, сейфів, дверей, а є ті, хто тестують, які підбирають замки, роблять відмички... Ті, хто ламає отакі замки, вони існують набагато довше, ніж ми, у нас схожа майже аналогічна ситуація... У них багатий досвід розв'язання ідеологічних, етичних, соціальних конфліктів усередині їхньої індустрії. Ми багато що можемо перейняти, у нас майже повна аналогія.  Саме тому така велика популярність саме цього «села», це дуже схоже до того, що учасники робитимуть на роботі, але в іншому просторі.

Ми минаємо віладж по перевірці безпеки безпровідних мереж. WiFi – історично найвразливіша площина мережевої безпеки. А потім ще одне село – з двохфакторної аутентифікації, там розповідають про принципи та протоколи захисту облікових записів за допомогою спеціальних пристроїв – токенів.

Ми спустилися на перший поверх, де розпочинається лекція.

Фото: facebook.com/pg/nonameconorg
Фото: facebook.com/pg/nonameconorg

50 ВРАЗЛИВОСТЕЙ ДЛЯ РОБОТА

У журналістів звички бодай мінімально спостерігати за війною у четвертому просторі, на жаль, не склалося. Хоча, якщо потрапити на заходи, пов'язані із кібербезпекою, то можна почути вкрай цікаві історії. Наприклад, як один український «рукодільник» отримав доступ (несанкціоновано вліз – прямо скажемо) до конфіденційної інформації російської нафтової компанії «Лукойл» і жартома розповідав, що планує звірити – чи збігається конфіденційна інформація обсягів розвідки, добутку та продажу нафти із офіційною – та подивитися, як зміниться після цього котування акцій компанії на світових біржах.  Або, наприклад, чому електронна медицина на Заході робить пацієнта уразливим і як це врахувати Україні? Восени після однієї з вагомих конференцій інформаційної безпеки я написала, що в таких місцях готуються солдати для війни майбутнього – війни, де фізична зброя буде лише вогневою підтримкою. А сьогодні я б додала, що потужна кіберконференція – точка доступу, звідки ви можете зазирнути у майбутнє. 

До речі, про майбутнє. Стартувала презентація теми роботів. Яка багата родина цих роботів! Промислові роботи сьогодні зайняті на зварювальних роботах в автомобільному будівництві,  вони займаються наукою, працюють у банках, сидять на касах, і навіть працюють у кафе – всього налічується 20 тисяч роботів. Презентація включала відеокадри з роботами-нянями та домашніми помічниками. Щоправда, це свято штучного інтелекту було зіпсовано новиною, що в роботах знайдено півсотні вразливостей. 

Фото: facebook.com/pg/nonameconorg
Фото: facebook.com/pg/nonameconorg

Поки спікер розповідав, які загрози нестимуть ці вразливості: робот може перетворитися на шпигуна, може завдати фізичної шкоди, і як створити систему обмеження руху для робота, то я подумала, що така уразлива няня-андроїд точно не приживеться. Жодна мама не купить робота-няню, яку можна зламати! 

Ще одна не дуже добра новина: купленого робота дуже важко відправити назад по гарантії. Але останні кадри презентації – як роботів старанно вдосконалюють, працюючи над суглобами та емоціями й механізмами взаємодії, не залишали сумнівів, вони роботи таки стануть частиною нашого життя.

Фото: facebook.com/pg/nonameconorg
Фото: facebook.com/pg/nonameconorg

ЧОМУ В ПОБУДОВІ КІБЕРЗАХИСТУ СЛІД ЗНАТИ КАЗКУ ПРО ТРЬОХ ПОРОСЯТ – УРОК ДМИТРА ШИМКІВА

А крім того, що зазирнути у майбутнє, такі події дають шанс зрозуміти, чи є щось нове на полях битв, де наче півроку немає пострілів? (Здається, що кіберінцидентів (нападів на інформаційні системи українських підприємств та відомств), за винятком одного «невинного» хакера із Марокко, який пару тижнів тому зламав сайт міністерства енергетики, не було. Сам марокканець чесно зізнався українським колегам, як швидко вхопили його за руку та відвели поговорити у якийсь віртуальний закапелок підпільного Інтернету, що він не мав злого умислу, ламав сам не знав кого й мав на меті висловити світу протест проти расизму.

Фото: facebook.com/pg/nonameconorg
Фото: facebook.com/pg/nonameconorg

На конференцію з кібербезпеки NoNameCon зібралося близько півтисячі IT-фахівців та провідні лідери цієї сфери. Ті, кого я побачила у першому ряду головної зали конференції, навряд чи стануть героями світських хронік, але вже сьогодні вони є учасниками картотеки ФСБ, як потужні противники. 

Тут були ті, хто рятував сайт українського ЦВК в 2014 році під час президентських виборів, ті, хто в 2014 році силою досвіду та авторитету об'єднав усіх українських хакерів, щоб зліквідувати російські кіберзагрози. Ми погано знаємо цей період кібервійни, але медіа зберегли новини, як вже через пару днів після цієї мобілізації на головних російських пропагандистських ресурсах почали з'являтися заголовки типу «російські сенатори схвалили використання нацистських військ в Україні».

Тут були вчені, чиновники. Це ще не огляд кібер-військ, але вже точно демонстрація певних можливостей. У першому ряду побачила Дмитра Шимківа, заступника глави Адміністрації Президента.

- Дмитре, минулого року саме в ці дні ви виступали на одному форумі, де заявили, що ви та ваші колеги з АП буваєте атаковані щодня. Покращилася ситуація?

Фото: facebook.com/pg/nonameconorg
Фото: facebook.com/pg/nonameconorg

- Загрози – як фізичні віруси.  Вони з'являються  щоразу нові, просто треба підвищувати імунітет інформаційних систем. Світ не став безпечнішим, але якщо говорити про мою команду та АП, то, завдяки підтримці різних організацій, співпраці з волонтерами, які тренують мою команду (а ми експериментуємо), праці з виробниками, ми весь час підвищуємо якість захищеності АП. Захист – це філософія. Ми з командою побудували в Адміністрації Президента фортецю, і ми тримаємо удар. Чи можу припустити, що буде удар, який ми не витримаємо? Я мушу припускати будь-яку можливість, але, якщо говорити про аналогії, то згадайте казку про трьох поросят.  Наф-Наф будує кам'яний будинок, а два інших – із соломи та деревини. Можна обійти будь-яку систему, це питання часу, ресурсів, грошей... Не слід очікувати на срібну кулю, яка вирішує всі проблеми. Не існує унікального універсального рішення назавжди – слід будувати кам'яний будинок. 

ЩО ДРАТУЄ СПІКЕРА КІБЕРАЛЬЯНСА?

Шон Таунсед був єдиним зі спікерів, хто виступав у балаклаві, – офіційний речник та учасник структури, яка називається Кіберальянс. Кіберальянс та таке явище, як хактивізм, ще не увійшов у новітні підручники історії України, але, якщо вони колись будуть перевидаватися, то там обов'язково з'являться розділи «Кібервійни» та сторінки про участь хакерської патріотичної спільноти у захисті мереж критичної інфраструктури (підприємств енергетики, владних органів, ліквідації наслідків потужних російських кібератак). Досить свободолюбне товариство (наймати його представників на постійну роботу державі не дуже по кишені), але попри супутні їхній роботі скандали воно стало реальним фактором кібербезпеки.

Фото: facebook.com/pg/nonameconorg
Фото: facebook.com/pg/nonameconorg

Реагування на загрози, ліквідація наслідків атак та злами сепаратистських сайтів і акаунтів – неповний перелік їхньої діяльності. А матеріали їхнього зламу ставали у пригоді у найнесподіваніших ситуаціях. Вони допомогли зібрати неспростовні докази участі російських військових у війні на Донбасі (автор цих рядків використовував їхні матеріали по зламу кремлівсько-церковного пропагандиста «Фроловleaks»), даючи інтерв'ю іноземним ученим, журналістам та дипломатам.  (Подякувавши за цей матеріал в перерві, у відповідь почула від Шона обіцянку роздобути ще щось цікавеньке на цю тему). 

У своїй доповіді Шон розповів, як все починалося  у 2014 році. Як, відповідаючи на атаки росіян, вони групувалися, як переходили від простіших атак у відповідь до складніших. Як вийшли на співпрацю із Інфонапалмом – сайтом, що допомагає обробляти та аналізувати інформацію. «Кібернаступ – по своєму мистецтво, де не обійтися без медіа», – резюмує Шон.

Але найжвавіша частина доповіді була про акцію #FuckResponsibleDisclousure. Нагадаємо, що ця акція, яка стартувала в кінці минулого року, полягала у своєрідному аудиті державних ресурсів. Виявляючи недоліки, дірки та «погані замки», слабку захищеність інформаційних мереж, члени Кіберальянсу публічно про це повідомляли. Тоді в українських навіть дуже серйозних відомствах, які підпадають під всі критерії критичної інфраструктури, були знайдені вразливості.

Це публічне інформування про знайдені слабкості інформаційних систем чиновниками сприймалося дуже по-різному. Вони не звикли виправдовуватися, культури реагувати на такі викриття ще не сформовано. Публічні дискусії з представниками держорганів деколи набували дуже гострих форм. Ну і Шон не пропустив можливості знову подорікати тим чи іншим відомствам. Членам Кіберальянсу загрожували арештом, робили тисячу і одне китайське попередження. Ті робили паузи ненадовго – і починали знову. Зрештою, вони так вклалися в підняття рівня кібероборони, так були підтримувані спільнотою і так встигли сподобатися журналістам, що недоброзичливцям навряд чи вдалося би до них дотягнутися, знову ж таки: «А якщо завтра знову не-Пєтя?» 

Фото: facebook.com/vstyran
Фото: facebook.com/vstyran

- #FulResponsibleDisclousure – це добре, – коментує на наше прохання ситуацію Володимир Стиран. – Ми спілкувалися з колегами, в тому числі з глобального топового підкасту Risky Business, які відслідковують тематичні новини більше десяти років. Серед їхніх гостей в ефірі за цей час – ті, з кого починалася інформаційна безпека в світі. Вони взагалі не пам'ятають з історії, щоб хакери перевіряли безпеку своєї держави, а результати викладали в публічний доступ. Зараз правовий клімат є толерантним до цього: в дев'яності за таке будь-де можна було б отримати реальний термін. Ситуація із кібербезпекою погана, і треба робити хоч щось, тож поки політичний баланс їх захищає – хлопці роблять. 

І В ПІДСУМКУ: ЯК НАМ ЗАХИСТИТИ ПЕРИМЕТР «УКРАЇНА»?

Слово «периметр» у цій сфері означає зовнішні кордони мережі. Вона – обов'язковий елемент захисту інформаційної безпеки корпоративної інфраструктури. Це дуже об'ємне слово часто зустрічається у блогах фахівців з інформаційної безпеки. Бо на тему – як покращити кібербезпеку – написані десятки авторських колонок.  Чи став наш світ безпечнішим і що нам слід зробити, щоб він таким став? Нижче ми наводимо оцінки учасників.

Володимир Стиран: «Ви кажете, що інцидентів нема. Але це не тому, що ми багато чого навчилися, а тому, що не було серйозних атак. Почекайте виборів. Де-факто, люди ще не готові займатися безпекою системно. Втім, компанії, які пройшли через серйозні інциденти, змінюють процеси, вдосконалюючи практики розробки безпечнішого коду. Як не крути – інцидентна практика найдієвіша».

Шон Таунсед: «Перше, що приходить у голову, коли мене питають про необхідні кроки. Дерегуляція, оце зменшення паперових тигрів, необхідних дозвільних документів. Друге – усвідомлення того, що не працюватимуть офіційно затверджені засади, коли немає освітніх зусиль із навчання людей та персональної відповідальності керівників. Так само не працює покарання: ну, завели на нас в РФ із десяток кримінальних справ – нас що, це зупинить? І чи зупинить росіян перспектива кримінальної справи в Україні? Ні. Необхідна зміна процесів, персоналізована відповідальність чиновників».

Дмитро Шимків: «Кібербезпека – це насамперед практика. В аудиторії присутні різні представники деяких державних органів. Тут є і мої підлеглі з АП, які є тут із метою навчитися розуміти та відточити практичні навички щодо атак та захисту.  Ми, слухаючи доповіді, сидимо та обговорюємо, як ми будемо використовувати це у себе, щоб перевірити безпеку систем. Щойно була цікава презентація по методиках обходу систем захисту... Дуже програмістська доповідь, яка показує існування безлічі можливостей обійти системи захисту, які здаються найнадійнішими та найпродуманішими. Але при цьому знаю відомства, де використовується застаріле обладнання, яке вразливе, як друшляк. Тим не менше, вони мені заперечують: у нас є папери, ми отримали сертифікат 10 років тому.  Якщо системи, які контролюють, захищають, збирають інформацію та обробляють, мають вразливості, якими може скористатися зловмисник, – ми всі страждаємо. І це відповідальність і розробників, і людей, які системи підтримують. Світ змінюється і треба бути готовим до того, що відбувається сьогодні».

Лана Самохвалова, Київ
Фото - Сергія Рекуна

Розширений пошукПриховати розширений пошук
За період:
-