Олег Макаренко (olegmakarenko.ru) wrote,
Олег Макаренко
olegmakarenko.ru

Categories:

Эпоха хакеров: безопасности становится всё меньше



Корпорация Эппл отказалась платить Касперскому за найденные уязвимости (ссылка).

«Лаборатория Касперского» нашла дыры в айфонах, которые позволяли хакерам получить удалённый контроль над устройствами, а потом шпионить за их владельцами — читать почту и сообщения, прослушивать телефонные звонки, записывать пароли.

По совести, за обнаружение таких дыр Эппл должна была бы заплатить «до миллиона долларов» — или, точнее, ровно миллион, так как обнаруженная Касперским дыра была очень велика и заслуживала максимального вознаграждения. Так как антироссийские санкции никто не отменял, Касперский предложил Эппл перечислить деньги на благотворительность, что было бы для корпорации абсолютно безопасно с бухгалтерской точки зрения.

Джентльмены из Эппл, однако, платить отказались наотрез. Полагаю, причин у такого некрасивого поведения две.

Во-первых, корпоративные традиции: Стив Джобс подло обманывал своего компаньона Стива Возняка ещё на заре становления компании, когда они работали вдвоём. К примеру, когда Атари предложила Джобсу оптимизировать схему для видеоигры, тот перепоручил работу Возняку, соврав последнему о сроках и об условиях оплаты. О сроках Джобс соврал, так как торопился уехать за город — Возняку пришлось работать по ночам, чтобы вовремя выполнить задачу. Об условиях оплаты Джобс соврал, чтобы заплатить Возняку 350 долларов из полученных 5700 долларов, сказав, будто это честная половина.

Во-вторых, американские айти-гиганты, включая Эппл, крепко дружат со спецслужбами США. Логично предположить, что дыры в безопасности закладывали в айфоны прямо на этапе проектирования — чтобы спецслужбам было удобнее шпионить за владельцами айфонов внутри США и за рубежом. Если это так, то, обнаружив дыру в безопасности, Касперский не только подпортил репутацию Эппл, но и создал дополнительную головную боль сборщикам информации, у которых, вероятно, не так уж много запасных дыр.

А вот ещё забавное про яблочную корпорацию. В некоторых случаях, когда мощности айфона не хватает, смартфон отправляет данные на сервера Эппл, чтобы там их обработали централизованно (ссылка). Корпорация, разумеется, утверждает, что всё зашифровано, и что она не подсматривает за пользователями. Эксперты, разумеется, смотрят на это утверждение со скепсисом.

Безопасности, впрочем, нет не только в экосистеме Эппл, но и в других местах. Возможности хакеров с годами только растут, так что защищать свои данные становится всё тяжелее — даже если вы храните их на чём-нибудь более надёжном, чем айфон или макбук.

Свежая новость. Исследователи провели эксперимент: создали на основе искусственного интеллекта (ЖПТ-4) систему для взлома сайтов и их неуклюжая пробная система сходу взломала более половины тестовых целей. Робот не только выявил известные уязвимости, но и нашёл новые, ранее нигде не публиковавшиеся (ссылка).

Пока что это всего лишь первые опыты использования ИИ для взлома, однако в руках хакеров подобные инструменты есть уже сейчас. А так как мало кто готов всерьёз вкладываться в информационную безопасность, сладких целей для хакеров предостаточно.

Теоретически построить надёжную защиту можно и сейчас. Установить тотальный контроль над электронной почтой сотрудников, тщательно настроить права доступа, плотно законопатить точки входа и выхода в интернет, отбирать на проходной смартфоны и ноутбуки. На практике так почти никто не делает, так как всё это муторно и требует высокой квалификации от сисадминов. Тут надо соблюдать баланс: защитные барьеры должны быть прочными, но при этом у сотрудников должна оставаться возможность работать. Такой баланс умеют выстраивать немногие. Большинство айти-отделов занято разгребанием текучки, поэтому даже банальные апдейты, даже рутинные резервные копии успевает делать не всегда.

Полагаю, хорошей системой безопасности могут похвастаться только единичные компании, во главе которых стоит профессиональный айтишник с тяжёлым, почти параноидальным характером. Большая же часть корпоративных компьютерных сетей дырява, как простреленный дуршлаг: заходи да бери.

Впрочем, мы живём в раннем киберпанке, так что хакеры предпочитают взламывать людей, а не сервера: социальный хакинг проще, дешевле и выгоднее.

Свежая новость — Израиль попался на очередной попытке взломать американскую политическую систему. Специальная ботоферма призывала законодателей из США выдать Израилю больше денег на бомбардировку сектора Газа. Нанятая за 2 миллиона долларов фирма генерировала комментарии ботов при помощи ЧатЖПТ (ссылка).

Полагаю, дальше подобное станет массовым: одни ботнеты будут влиять по заказу политиков на общественное мнение, другие — находить доверчивых граждан и выманивать у них под разными предлогами деньги. Защищаться от социального взлома будет всё сложнее, так как технологии развиваются каждый год, тогда как человеческие мозги остаются примерно такими же, как и много тысяч лет назад.

Subscribe

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 17 comments