Наблюдения за работой хакеров: взлом магазина с помощью штрих-кода, а сейфа — через систему «умный дом»
Хакеры и эксперты по информационной безопасности встретились в Москве на форуме Positive Hack Days. Участники не только обсудили киберугрозы, но и продемонстрировали свое мастерство
Читать на полной версииНа таком мероприятии становится понятно: взломать можно практически все. Прозвучала, например, такая оценка: девять из десяти компаний уже взломаны, но не всегда это понимают.
Такова новая реальность, ведь цифровизация коснулась всех сфер жизни. Теперь в цифровом пространстве государственные и личные финансы и не только. Пока в одном зале дискутируют об угрозах и возможностях этого процесса, в другом идет бой: хакеры пытаются получить деньги из банкомата — без помощи кувалды или молотка, через удаленный доступ.
Это один из многочисленных конкурсов программы. Цель — найти логическую уязвимость и получить больше купюр, чем запрос на снятие, рассказывает старший эксперт отдела безопасности банковских систем Possitive Technologies Ярослав Бабин:
Ярослав Бабин старший эксперт отдела безопасности банковских систем Possitive Technologies «Например, вы запрашиваете на снятие 100 рублей и потом так модифицируете ответ от банка, чтобы снять оттуда все 20 тысяч, которые лежат в этом банкомате. Эти кейсы все взяты из нашей практики, то есть реальные уязвимости, которые мы встречали, например, за последние два года, которые приводили к возможности снятия всех денег из банкомата».
Другая группа хакеров пытается получить доступ к счетчику жилого дома и либо бесплатно заправить электромобиль, либо перенастроить его так, чтобы жители платили ночью по дневному тарифу. Дом, конечно, ненастоящий, зато настоящая система безопасности.
Бизнес все чаще заказывает подобное тестирование, чтобы проверить свою устойчивость. Проверкой на критичные уязвимости занимается в том числе и Ростелеком, хотя основной заказчик аутсорсинга по информационной безопасности — государство, говорит директор продуктового офиса «Информационная безопасность» Станислав Барташевич:
Станислав Барташевич директор продуктового офиса «Информационная безопасность» «У нас очень большая команда своих пин-тестеров, хакеров, которые готовы предоставить свои знания, свой опыт клиентам и выявить те критичные места, которые необходимо закрыть клиенту в первую очередь. Если до этого мы заказывали такие услуги у сторонних компаний, то сейчас у нас своя большая команда — 12 человек — очень высококвалифицированных кадров».
Один из участников поделился способом взломать магазин: создается специальный штрих-код, наклеивается на товар, и, когда кассир проводит сканером, хакер получает доступ к админке. Другой сообщил, что новый бот Google, конечно, умен, но не известно, как он поведет себя в руках мошенников. Ведь сейчас для того, чтобы воспроизвести голос любого человека, требуется всего пять секунд его записи.
Невольно приходят мысли о восстании машин. Не следует забывать и о киберрисках.