Хакерські
села і небезпечні роботи: у Києві відбулася конференція з кібербезпеки
NoNameCon.
- А ось тут - воркшоп зі зламу
автомобілів. Подивіться на ці натхненні обличчя, - екскурсію у хакерських селах,
які розташувалися у галереї ART UKRAINE на Антоновича, мені проводив організатор
конференції з кібербезпеки NoNameCon, яка у майбутньому обіцяє стати чи не головною
освітньо-тусовочною подією весни для IT-фахівців, Володимир Стиран.
Хакерські
села на Печерську - місця, де ламають автомобілі,
Wi-Fi та мобільні додатки...
До цього я прослухала лекцію
спікера про електронні викрадення. Він мальовничо описав ситуацію, як на дорозі
в автомобільному потоці одночасно виходять з-під контролю водіїв кілька, наприклад,
«Тойот», які починають їхати на розсуд зловмисника. Це - екстрим. Але навіть якщо
брати просто високотехнологічну крадіжку... Автомобільна індустрія наразі не сформувала
адекватної та повної відповіді на подібні виклики, але цікаво, що Україна бере участь
у цьому процесі - щоб допомогти автовиробникам та дилерам знайти відповідь на інноваційні
автокрадіжки. На таких заходах щоразу озвучується: щоб будувати систему захисту,
треба розуміти логіку хакінгу.
- Вчора учасники слухали лекцію
з хакінгу авто, сьогодні ці двадцять людей навчаються, як перевіряти автомобілі
на безпеку, паяють схеми, збираючи їх з окремих компонентів, - продовжує Влад. -
Потім, коли ці люди пройдуть випробування, то їх допустять до «живої» машини, яка
стоїть на вулиці, вони візьмуть ноутбуки, знання, під'єднаються і будуть «ламати»
справжнє авто, яке для цієї мети позичив один з партнерів конференції.
Йдемо далі. Наступний майстер-клас
- ламання мобільних додатків.
- Є мобільний додаток, який
симулює керування автомобілем. Є автомобіль, зібраний з лего, там є моторчик, фари,
гальма, зачиняються-відчиняються двері - повна імітація авто, є сервер, і все керується
мобільним додатком. І там - цілий квест: через уразливості у програмному коді вони
намагаються захопити над моделлю повний контроль, - розповідає Володимир.
| |  |
| | Фото facebook.com/pg/nonameconorg |
У галереї, де відбувається конференція,
паралельно проводиться кілька майстер-класів: воркшопів та хакерських сіл. Хакерські
села розташувалися у різних локаціях: кімнатах та студіо першого поверху великої
галереї, а воркшопи відбуваються у прозорих боксах другого поверху. Ми підійшли
до локації, де пропонували ламати замки.
- Владе, я це вже бачила. Скажіть,
для чого IT-фахівцям, які займаються електронікою, ламати звичайні замки? Вони що
- так дрібну моторику розвивають?
- Кібербезпека як галузь та
фізична безпека - схожі ідеологічно. І там, і там є два табори: ті, що захищаються,
та ті, що нападають, - і між ними іноді виникають ідеологічні конфлікти. Люди, які
захищають систему, запрошують пентестера, той знаходить уразливі місця й пише звіт.
З ним іноді сперечаються, кажуть, мовляв, а ви не те знайшли, а ми по-іншому будуємо
захист. Так само - й у кінетичному просторі. Є компанії, які займаються безпекою
замків, сейфів, дверей, а є ті, які тестують, підбирають замки, роблять відмички...
Ті, які ламають отакі замки, існують значно довше, ніж ми. У нас - схожа, майже
аналогічна ситуація... У них - багатий досвід розв'язання ідеологічних, етичних,
соціальних конфліктів усередині їхньої індустрії. Ми багато що можемо перейняти,
у нас - майже повна аналогія. Саме тому така велика популярність саме цього «села»,
це дуже схоже до того, що учасники робитимуть на роботі, але в іншому просторі.
Ми минаємо віладж із перевірки
безпеки безпровідних мереж. Wi-Fi - історично найуразливіша площина мережевої безпеки.
А потім ще одне село - з двохфакторної аутентифікації, там розповідають про принципи
та протоколи захисту облікових записів за допомогою спеціальних пристроїв - токенів.
Ми спустилися на перший поверх,
де розпочинається лекція.
50 уразливостей
для робота
 | |
| Фото facebook.com/pg/nonameconorg | |
У журналістів звички, бодай,
мінімально спостерігати за війною у четвертому просторі, на жаль, не склалося. Хоча,
якщо потрапити на заходи, пов'язані з кібербезпекою, то можна почути вкрай цікаві
історії. Наприклад, як один український «рукодільник» отримав доступ (несанкціоновано
вліз - прямо скажемо) до конфіденційної інформації російської нафтової компанії
«Лукойл» і жартома розповідав, що планує звірити - чи збігається конфіденційна інформація
обсягів розвідки, видобутку та продажу нафти з офіційною - та подивитися, як зміниться
після цього котування акцій компанії на світових біржах. Або, наприклад, чому електронна
медицина на Заході робить пацієнта уразливим, і як це врахувати Україні? Восени
після однієї з вагомих конференцій інформаційної безпеки я написала, що в таких
місцях готуються солдати для війни майбутнього - війни, де фізична зброя буде лише
вогневою підтримкою. А сьогодні я б додала, що потужна кіберконференція - точка
доступу, звідки ви можете зазирнути у майбутнє.
До речі, про майбутнє. Стартувала
презентація теми роботів. Яка багата родина цих роботів! Промислові роботи сьогодні
використовуються на зварювальних роботах в автомобільному будівництві, вони займаються
наукою, працюють у банках, сидять на касах і навіть працюють у кафе - всього налічується
20 тисяч роботів. Презентація містила відеокадри з роботами-няньками та домашніми
помічниками. Щоправда, це свято штучного інтелекту було зіпсовано новиною, що в
роботах знайдено півсотні уразливостей.
Поки спікер розповідав, які
загрози нестимуть ці уразливості (робот може перетворитися на шпигуна, може завдати
фізичної шкоди) і як створити систему обмеження руху для робота, то я подумала,
що така уразлива нянька-андроїд точно не приживеться. Жодна мама не купить робота-няньку,
яку можна зламати!
Ще одна не дуже добра новина:
купленого робота дуже важко відправити назад за гарантією. Але останні кадри презентації
- як роботів старанно вдосконалюють, працюючи над суглобами та емоціями й механізмами
взаємодії, не залишали сумнівів, що роботи таки стануть частиною нашого життя.
Чому в створенні
кіберзахисту треба знати казку про трьох поросят - урок Дмитра Шимківа
А, крім того, що можна зазирнути
у майбутнє, такі події дають шанс зрозуміти, чи є щось нове на полях битв, де наче
півроку немає пострілів? (Здається, що кіберінцидентів (нападів на інформаційні
системи українських підприємств та відомств), за винятком одного «невинного» хакера
з Марокко, який кілька тижнів тому зламав сайт міністерства енергетики, не було.
Сам марокканець чесно зізнався українським колегам, які швидко вхопили його за руку
та відвели поговорити у якийсь віртуальний закапелок підпільного Інтернету, що він
не мав злого умислу, ламав сам не знав кого й мав на меті висловити світові протест
проти расизму.
На конференцію з кібербезпеки
NoNameCon зібралося близько півтисячі IT-фахівців та провідні лідери цієї сфери.
Ті, кого я побачила у першому ряду головної зали конференції, навряд чи стануть
героями світських хронік, але вже сьогодні вони є учасниками картотеки ФСБ як потужні
противники.
Тут були ті, хто рятував сайт
українського ЦВК у 2014 році під час президентських виборів, ті, хто у 2014 році
силою досвіду та авторитету об'єднав усіх українських хакерів, щоб ліквідувати російські
кіберзагрози. Ми погано знаємо цей період кібервійни, але медіа зберегли новини,
як уже через кілька днів після цієї мобілізації на головних російських пропагандистських
ресурсах почали з'являтися заголовки на кшталт «російські сенатори схвалили використання
нацистських військ в Україні».
Тут були вчені, чиновники. Це
- ще не огляд кібер-військ, але вже точно демонстрація певних можливостей. У першому
ряду побачила Дмитра Шимківа, заступника глави Адміністрації президента.
- Дмитре, минулого року саме
в ці дні ви виступали на одному форумі, де заявили, що ви та ваші колеги з АП буваєте
атаковані щодня. Покращилася ситуація?
- Загрози - як фізичні віруси.
Вони з'являються щоразу нові, просто треба підвищувати імунітет інформаційних систем.
Світ не став безпечнішим, але якщо йдеться про мою команду та АП, то завдяки підтримці
різних організацій, співпраці з волонтерами, які тренують мою команду (а ми експериментуємо),
праці з виробниками, ми весь час підвищуємо якість захищеності АП. Захист - це філософія.
Ми з командою побудували в Адміністрації президента фортецю, і ми тримаємо удар.
Чи можу припустити, що буде удар, який ми не витримаємо? Я мушу припускати будь-яку
можливість, але, якщо казати про аналогії, то згадайте казку про трьох поросят.
Наф-Наф будує кам'яний будинок, а два інші - зі соломи та деревини. Можна обійти
будь-яку систему, це - питання часу, ресурсів, коштів... Не треба очікувати на срібну
кулю, яка вирішує всі проблеми. Не існує унікального універсального рішення назавжди
- треба будувати кам'яний будинок.
Що дратує
спікера кіберальянсу?
Шон Таунсед
був єдиним зі спікерів, хто виступав у балаклаві, - офіційний речник та учасник
структури, яка називається кіберальянс. Кіберальянс та таке явище, як хактивізм,
ще не увійшли у новітні підручники історії України, але, якщо вони колись будуть
перевидаватися, то там обов'язково з'являться розділи «Кібервійни» та сторінки про
участь хакерської патріотичної спільноти у захисті мереж критичної інфраструктури
(підприємств енергетики, владних органів, ліквідації наслідків потужних російських
кібератак). Досить свободолюбне товариство (наймати його представників на постійну
роботу державі не дуже по кишені), але попри супутні їхній роботі скандали воно
стало реальним фактором кібербезпеки.
Реагування на загрози, ліквідація
наслідків атак та злами сепаратистських сайтів і акаунтів - неповний перелік їхньої
діяльності. А матеріали їхнього зламу ставали у пригоді у найнесподіваніших ситуаціях.
Вони допомогли зібрати неспростовні докази участі російських військових у війні
на Донбасі (автор цих рядків використовував їхні матеріали зі зламу кремлівсько-церковного
пропагандиста «Фроловleaks»), даючи інтерв'ю іноземним ученим, журналістам та дипломатам.
(Подякувавши за цей матеріал у перерві, у відповідь почула від Шона обіцянку роздобути
ще щось цікавеньке на цю тему).
У своїй доповіді Шон розповів,
як усе починалося у 2014 році. Як, відповідаючи на атаки росіян, вони групувалися,
як переходили від простіших атак у відповідь до складніших. Як вийшли на співпрацю
з «Інфонапалмом» - сайтом, що допомагає обробляти та аналізувати інформацію. «Кібернаступ
- по-своєму мистецтво, де не обійтися без медіа», - резюмує Шон.
| |  |
| | Фото: facebook.com/vstyran
|
Але найжвавіша частина доповіді
була про акцію #FuckResponsibleDisclousure. Нагадаємо, що ця акція, яка стартувала
наприкінці минулого року, полягала у своєрідному аудиті державних ресурсів. Виявляючи
недоліки, дірки та «погані замки», слабку захищеність інформаційних мереж, члени
кіберальянсу публічно про це повідомляли. Тоді в українських навіть дуже серйозних
відомствах, які підпадають під всі критерії критичної інфраструктури, були знайдені
уразливості.
Це публічне інформування про
знайдені слабкості інформаційних систем чиновниками сприймалося дуже по-різному.
Вони не звикли виправдовуватися, культури реагувати на такі викриття ще не сформовано.
Публічні дискусії з представниками держорганів деколи набували дуже гострих форм.
Ну і Шон не пропустив можливості знову подорікати тим чи іншим відомствам. Членам
кіберальянсу загрожували арештом, робили тисячу й одне китайське попередження. Ті
робили паузи ненадовго - і починали знову. Зрештою, вони так вклалися у підвищення
рівня кібероборони, так були підтримувані спільнотою і так встигли сподобатися журналістам,
що недоброзичливцям навряд чи вдалося би до них дотягнутися, знову ж таки: «А якщо
завтра знову не-Петя?»
- #FulResponsibleDisclousure
- це добре, - коментує на наше прохання ситуацію Володимир Стиран. - Ми спілкувалися
з колегами, зокрема, з глобального топового підкасту Risky Business, які відслідковують
тематичні новини понад десять років. Серед їхніх гостей в ефірі за цей час - ті,
з кого починалася інформаційна безпека у світі. Вони взагалі не пам'ятають з історії,
щоб хакери перевіряли безпеку своєї держави, а результати викладали у публічний
доступ. Зараз правовий клімат є толерантним до цього: в дев'яності за таке будь-де
можна було б отримати реальний термін. Ситуація з кібербезпекою - погана, і треба
робити хоч щось, тож поки політичний баланс їх захищає - хлопці роблять.
І в підсумку:
як нам захистити периметр «Україна»?
Слово «периметр» у цій сфері
означає зовнішні кордони мережі. Вона - обов'язковий елемент захисту інформаційної
безпеки корпоративної інфраструктури. Це - дуже об'ємне слово, яке часто зустрічається
у блогах фахівців із інформаційної безпеки. Бо на тему - як покращити кібербезпеку
- написані десятки авторських колонок. Чи став наш світ безпечнішим, і що нам треба
зробити, щоб він таким став? Нижче ми наводимо оцінки учасників.
Володимир Стиран: «Ви кажете, що інцидентів нема. Але це - не тому,
що ми багато чого навчилися, а тому, що не було серйозних атак. Почекайте виборів.
Де-факто, люди ще не готові займатися безпекою системно. Втім, компанії, які пройшли
через серйозні інциденти, змінюють процеси, вдосконалюючи практики розробки безпечнішого
коду. Як не крути - інцидентна практика - найдієвіша».
Шон
Таунсед: «Перше,
що приходить у голову, коли мене питають про необхідні кроки. Дерегуляція, оце зменшення
паперових тигрів, необхідних дозвільних документів. Друге - усвідомлення того, що
не працюватимуть офіційно затверджені засади, коли немає освітніх зусиль з навчання
людей та персональної відповідальності керівників. Так само не працює покарання:
ну, завели на нас у РФ із десяток кримінальних справ - нас що це зупинить? І чи
зупинить росіян перспектива кримінальної справи в Україні? Ні. Необхідна зміна процесів,
персоналізована відповідальність чиновників».
Дмитро
Шимків: «Кібербезпека
- це, насамперед, практика. В аудиторії присутні різні представники деяких державних
органів. Тут є і мої підлеглі з АП, які є тут з метою навчитися розуміти та відточити
практичні навички щодо атак та захисту. Ми, слухаючи доповіді, сидимо та обговорюємо,
як будемо використовувати це у себе, щоб перевірити безпеку систем. Щойно була цікава
презентація методик обходу систем захисту... Дуже програмістська доповідь, яка показує
існування безлічі можливостей обійти системи захисту, які здаються найнадійнішими
та найпродуманішими. Але при цьому знаю відомства, де використовується застаріле
обладнання, яке уразливе, як друшляк. Тим не менше, вони мені заперечують: у нас
є папери, ми отримали сертифікат 10 років тому. Якщо системи, які контролюють, захищають,
збирають інформацію та обробляють, мають уразливості, якими може скористатися зловмисник,
- ми всі страждаємо. І це - відповідальність і розробників, і людей, які системи
підтримують. Світ змінюється, і треба бути готовим до того, що відбувається сьогодні».
Фото Сергія
Рекуна
Автор:
Лана Самохвалова, Київ
Джерело:
«Укрінформ»
лист до редактора
версія для друку
