Как показывать ИБ в 2021 году, чтобы ваш сериал не провалился26.11.2020 13:02

Если создатели сериалов про хакеров и киберпреступность не прорабатывают детали, перед экраном грустит один кибербезопасник. В 2020 году мир ИТ уже посмотрел «Мистера Робота» и «Кремниевую долину», прощать глупости киношных хакеров все труднее. 

Мы вместе с коллегой Кириллом Голубенко решили подвести ТВ-итоги года и составили топ-5 живучих киноштампов про ИБ из новых сериалов. Разберем неудачные и комичные моменты в «Разрабах» (Devs) и «Нексте» и найдем варианты, что могло бы их спасти. 

Spoiler alert: В статье используются отрывки, описание сцен и сюжетных поворотов. Если вы хотели посмотреть эти сериалы, лучше сначала посмотрите. 


jfeiow9kfuaeesb_bkcen_olus4.png

«Взломаю любой сервер за 10 минут» и прочие гордости хакера

В новых сериалах шоураннеры все еще рисуют хакера как гениального волшебника с компьютерными суперспособностями без границ. Герой умеет и министерство взломать, и видеокассетку подклеить, и отследить главного злодея по IP. И все это — за 10 минут.

Персонаж «Некста» Си Эм — главарь хакерской группировки «Железные рукава» «Мертвая ящерица», работает на ФБР. Его отдел по борьбе с киберпреступностью ищет сбежавший искусственный интеллект и решает перехватить сигнал колонки Элайзы, в которую вселился злой ИИ. 

xf7cm8kokwp5m8cchx3xdqsl0lu.gif

Сама операция во втором эпизоде вкратце выглядит так. Си Эм использует программу, внешне похожую на Wireshark. Скорее всего, он сделал миррор трафика и дал доступ к прослушке другим агентам ФБР. Вместе они проанализировали кучу трафика и выявили паттерн работы умной колонки:  


Реплики героев мало что проясняют. В кадре видим, что идет SSL-трафик, который нельзя раскрыть без сертификата. Видимо, хакер-герой организовал атаку man-in-the-middle и подменил сертификаты на двух сторонах. Что помогло найти IP-адрес, понятно не до конца. Сосредоточенные лица актеров — не объяснение)).

В «Разрабах» работа хакера выглядит на первый взгляд реалистично. Во второй серии главная героиня Лили приходит к ИБ-специалисту Джейми, чтобы выяснить причины исчезновения своего парня Сергея. Лили нашла в телефоне Сергея подозрительное запароленное приложение. Вдвоем с Джейми они выясняют, что это российский мессенджер, разработанный госструктурами (сюрприз!). А вот как выглядит сам момент взлома:  
tuu6bsmrruxor3tm2kqd9mnc4ny.gif

Поверить в эту сцену можно, если мы убедим себя, что многочасовое написание скриптов осталось за кадром. 

А как надо?  
Тут сразу вспоминаем «Мистера Робота». Эллиот тоже не лишен пафоса, но для проникновения в «непроницаемый» дата-центр он привлек команду из 5 человек. Чтобы обойти многокомпонентную защиту понадобилось несколько месяцев подготовки — в сериале они растянулись на 4 и 5 эпизоды 1 сезона. 

Белиберда вместо кода и айпишников

Во втором эпизоде «Некста» посмотрим внимательнее и заскриним экран во время «трассировки айпи-адреса»:  
komre-c0iw5kscyxgyyeuin0ciy.jpeg
Внимание на IP-адреса.

А вот как выглядит код в титрах «Некста»:
raznuy0iwmrlymrpyoev0kmxxgo.png
Это в принципе не может работать. Найдите ошибку в синтаксисе;).

А как надо?  
Проработанные сцены с кодом в «Нексте» тоже есть:  
c3m7mbb0q9dethzursyxrrtx1ry.jpeg
Для первого эпизода сценаристы ничего не придумывали, а взяли код TensorFlow. 

Кража данных на флешках

Флешка с секретной информацией — это классика жанра. В «Разрабах» Лили отвлекает руководителя службы безопасности Кентона, пока ее подруга остается в кабинете и крадет записи с камер видеонаблюдения:  
esjtue-swvaqtzoazckdfzrm7ni.gif

Теоретически возможно, что видеозаписи хранятся локально в незашифрованном виде, usb-порт не закрыт, а у Кентона нет привычки блокировать комп. Но эти детали совершенно меняют образ персонажа: Кентон выглядит глупо для бывшего ЦРУшника с запредельным уровнем паранойи.  

В первом эпизоде «Разрабов» есть пример любопытнее. Сергей приходит в Devs и проходит короткий инструктаж по политике безопасности от своего руководителя Фореста. Инструктаж нам понравился, а что происходит после него:


Судя по всему, DLP-систему c защитой от съемки экрана еще не изобрели (сюжет сериала разворачивается в будущем). Но можно было сделать еще экзотичнее и выдать Сергею не камеру, а устройство для слива с ЖК-монитора наподобие перехвата ван Эйка. 

А как надо?  
Если штамп с флешкой используется в юмористическом ключе — все норм. Во французской комедии «Удалить историю» героиня узнает о снятом на нее компромате и отправляется в дата-центр Google, чтобы его удалить. Вот что видим после двух неудачных попыток штурма:  
ytznxvvm_irbpibhhac5jivhrxs.gif

Никаких бэкапов и сегментации сети…

Мы смеемся над фразой «Наш файрвол взломан» со времен «Трансформеров», но она все еще жива. В «Нексте» искусственный интеллект мстит отделу по борьбе с киберпреступностью и за 10 секунд уничтожает все данные по важному делу. 
pukddms7lcbuqmvwf5e64hmwsqi.gif

Что мы поняли из этой сцены: в ключевом отделе ФБР все живет за одним файрволом. Хранилище не отделено от доступа в интернет, DMZ выстроена неправильно. Скорее всего, используется старый межсетевой экран, который не распознает атаки и аномалии в трафике. А еще они не делают бэкапы. 

А как надо?  
В реальности для ФБР предусмотрели бы L1-безопасность. По стандартам у такого отдела должна быть отдельная сеть без доступа в интернет, отрубленная физически. Мы встречали такую практику в наших госорганах: чтобы получить доступ к секретным данным, нужно приехать, получить 3 ключа, зайти в отдельную комнату.  

Хороший пример есть и в «Мистере Роботе» все с тем же «непроницаемым» дата-центром. Команда Эллиота планировала взлом для нескольких уровней защиты, а не только «ломала файрвол». Сценаристы не пожалели времени на подробное описание площадки.

… Зато есть меры «для красоты»: зрелищные и непонятные

В «Разрабах» Форест начинает экскурсию по Devs c рассказа о физической защите лаборатории:  
dwquhzxu_5o8pfqkx8rah3ehgmu.gif
Клетка Фарадея ок, но мы так и не поняли, зачем нужны 7 метров вакуума. 

Сюда же отнесем показательное выдирание wi-fi-модуля на ноутбуке Джейми, чтобы остаться «невидимыми»:  
numx5q3rc6z0_v5v06snpplpvsw.gif
Отключить адаптер можно и не так демонстративно. 

Бонус. Что с безопасностью самого дата-центра?

В первом и втором эпизоде «Некста» агент ФБР приезжает в офис компании Zava и знакомится с разработанным там искусственным интеллектом. В этот момент ИИ решает «инсценировать самоубийство» и сбежать. Вот как это происходит:
s1_hpq0xtcp4ig-ucn2u77xiu3o.gif

Во-первых, смущает, что столы разработчиков установлены прямо в дата-центре. Во-вторых, здесь мы не видим никакой системы пожаротушения, все просто сгорает. Даже если ИИ отключил ее, мы хотим, чтобы это показали! Ну и опять же в конце мы слышим, что «все резервные системы компании поджарились». Ребята, где бэкапы?

А как надо?
Если нет экранного времени на реалистичное описание дата-центра и боитесь утомить зрителя подробностями, лучше использовать штампы про дата-центры в ироническом ключе. Например, в «Кремниевой долине» это выглядит интереснее:
ujv7q_holythrwt8sh_2nymrpki.gif

Теперь ждем, чем же закончится «Некст». А пока накидайте еще хороших и плохих примеров про безопасность из новых фильмов и сериалов? Составим список к просмотру на выходные и следующий за ним день защиты информации. 

© Habrahabr.ru