Я обожаю кинематограф. Однако по мере знакомства со старой классикой и современным кино, все реже и реже встречаются действительно качественные и глубокие фильмы. В большинстве случаев картина не вызывает никаких эмоций, и приятных впечатлений хватает на один раз. Статистика походов в кино за последние лет пять совсем удручающая - 9 из 10 фильмов вызывают, как минимум, недоумение, как максимум - раздражение. Зато появилось новое хобби - выискивать тупости в сюжете. На этот раз они посвящены информационной безопасности.
Ниже мой список фильмов, в которых наглядно продемонстрировано, что может случиться, если персонажи вообще не секут в ИБ.
ВНИМАНИЕ, СПОЙЛЕРЫ!!!!
1. НЕбезопасный документооборот
Игра престолов (2011-2019)
Когда Король Роберт умирал, он приказал своему другу Эддарду Старку править до тех пор, пока садист-принц не достигнет совершеннолетия. Сделано это было предельно по-дурацки! Вместо того, чтобы созвать весь топ-менеджмент и публично сделать заявление, Роберт выгнал всех свидетелей и ограничился автографом на бумаге!
Для справки. Печати, удостоверяющие подлинность документов, использовались тысячи лет до нашей эры. На Руси они были, как минимум, с Х века н. э.
Меня это всегда удивляло в фильмах про Средневековье, первые столетия Нового времени, вестернах и пр. Что за проблема подделать подпись и печать?! Особенно, когда есть доступ к оригиналу, и в целом проверка осуществляется «на глаз». История знает массу подтверждённых случаев фальсификаций.
Естественно, когда после смерти короля Эддард пытался подвинуть семью Ланистеров с трона, данная писулька, вот неожиданность, ему никак в этом не помогла.
Королю Роберту еще до встречи с кабаном стоило озаботиться внедрением нормальной системы ЭДО во всех семи королевствах. С цифровой подписью, поверкой сертификатов и прочей алхимией!
P.S. Да-да, я знаю, что, когда сир Баристан по просьбе Эддарда распечатывает документ в тронном зале, он снимает печать. Но навесная печать (а показана именно она) – это не ленточка на торте и не резинка для волос. Ее нельзя снять, как показано в фильме.
И еще немного косяков на данную тему:
-
Джанго Освобожденный (2012)
Уже в конце фильма Джанго выдает себя за охотника за головами и показывает персонажу Квентина Тарантино разрешение на убийство преступника. Естественно, на документе нет никаких печатей, сведений, кому выдали разрешение, кто «заказан», жив ли он еще и т. д. В результате Тарантино отпускает Джанго и тут же сливает своего персонажа.
-
Омерзительная восьмерка (2015)
Весь сюжет построен на том, что персонажи выдают себя за других людей по украденным документам. С одной стороны у героев сильная паранойя, с другой – верим на слово.
-
Мулан (1998)
Китайские военачальники полностью забили на безопасность. В военном-то лагере, в военное время! Приходи, кто хочет, называйся, кем хочешь – всем welcome! Шпионы? Диверсанты? Не, не слышали.
-
Иван Васильевич меняет профессию (1973)
Левый мужик в царских шмотках подписывает документ федерального значения и отправляет войско в пеший турпоход на Изюмский Шлях.
2. Атака на критическую инфраструктуру (КИИ)
Крепкий орешек 4 (2007)
Главный злодей Томас Гэбриэл собрал команду хакеров, которые сумели парализовать целый город и поставить на уши все спасательные службы. Как выяснилось, нет никаких проблем с тем, чтобы подключить и УДЕРЖИВАТЬ доступ к дорожным системам, переключать светофоры, открывать шлагбаумы, ворота, отключать свет в тоннелях, активировать системы оповещения и пр. Еще и сюжетики свои транслировали по федеральным ТВ-каналам. Ну просто красота!
Ощущение, что тамошние фсбэшники либо вообще забили на безопасность, либо разбираются в ней еще хуже деда-Маклейна. Тем более всего за несколько лет до событий фильма Гэбриэл, как мы узнали, уже отключал с ноутбука государственные оборонительные системы. Видимо, тогда все посчитали, что обиженный сотрудник так больше делать не будет, и волноваться не о чем. Ну, теперь получайте «Обрушение»!
Все, что надо было сделать - ввести полноценный контроль доступа. Строгую аутентификацию всех пользователей при подключении к любой ИТ-системе, любой внутренней сети, настроить уровни доступа, и проблема была бы решена! В этом случае у Гэбриэла скилла хватило бы разве что расписание автобусов посмотреть.
Похожие косяки в других фильмах:
-
Ограбление по-итальянски (2003)
Аналогичная история, правда с меньшим размахом.
На этот раз подключиться к светофорам, системам освещения и оповещения смогли обычные грабители банков. С ноутбука! Сидя на багажной ленте посреди аэропорта! -
Миссия невыполнима: Протокол Фантом (2011)
Взлом систем тюрьмы – подключение к камерам, открывание дверей и т. д. И опять удаленно, и опять с ноутбука!
-
На крючке (2008)
Квинтэссенция всех фильмов про атаки на КИИ!!!
Какой-то мега секретный киберглаз из подвалов Лубянки имеет доступ просто ко всем городским и частным ИТ-системам – банкам, аэропортам, системе видеонаблюдения, общественному транспорту, мобильной связи, умеет управлять поездами метро, кранами и т. д.
3. Атака на финансовые организации
Время (2011)
Кто угодно в любой момент может проводить финансовые операции вообще без подтверждения, как с наличными. Я до сих пор с PayPass не могу смириться, а тут у человека можно стащить все его деньги (тем самым убив) чуть ли не через рукопожатие. Защититься от этого, естественно, никак нельзя - ни на время сна, ни перед попойкой в баре. В банке деньги хранятся еще веселее. На жестких дисках!!! Т.е. в хранилище за огромной сейфовой дверью горкой лежат HDD-накопители. Прям, как золотые слитки. Естественно, никакой защиты у них нет и в помине, даже пин-код не требуется. Кто угодно приходи, бери и пользуйся. Ну, если вы делаете цифровой рубль, ну, внедрите же нормальную двухфакторную аутентификацию, ей богу! Подпись, шифрование транзакций, полное логирование и пр., а не вот это вот все.
И еще пара лайфхаков на тему быстрого заработка:
-
Аферисты Дик и Джейн (2005)
Хотите поднять 400 миллионов долларов? Ловите рецепт!
Приходите в банк с улицы, садитесь за ПК сотрудника в закрытом кабинете, печатаете бумажку, подписываете ее от руки и суете операционисту!
-
Кто я? (1998)
Перевод денег на миллиардную сумму по нажатии одной кнопки. Никакого подтверждения операции, никаких проверок, никаких шансов отменить транзакцию. Удобно!
-
Побег из Шоушенка (1994)
Мало того, что у несуществующей личности есть счет в банке, так еще и весь налик отдают мужику с улицы! По водительским правам, Карл!
4. Неправомерный доступ к ИТ-системам
Матрица (1999)
Судя по всему, в городе машин либо очень либеральный мэр, либо очень криворукие сисадмины. Иначе как объяснить, что свободные люди беспрепятственно подключаются к вражеской ИТ-системе? Причем удаленно из тарантаса, летающего по канализации! Т.е. мало того, что у машин в сточных трубах развернут высокоскоростной Wi-Fi, так они еще и пускают в свою сеть всех подряд, позволяя неавторизованным пользователям получать данные из системы, вносить в нее изменения и общаться между собой. Красота!
То, что вытворяет Нео внутри Матрицы, вообще поражает воображение. Во-первых, он либо выбил привилегированные права для своей учетки, либо юзает читы - god, noclip, impulse 101 и пр. Во-вторых, получает доступ в закрытые подсети, хакает служебные программы и практически доходит до ядра. А, в-третьих, оставляет себя в системе после логаута (вспоминаем сцену на станции метро с Проводником из команды француза).
В этой связи программа “Смит”, которая бегает за пользователями и даже не может их кикнуть с сервера, выглядит как издевка над здравым смыслом. Почему нет контроля доступа?! Закройте всю сеть, раздайте легальным юзерам по токену, настройте права, и проблема решена. Вдобавок у людей Зиона мгновенно полностью пропадет канал связи, т.к. собственных GSM-вышек у них по всей видимости нет. Привет, импортозамещение!
Кстати, ИБ-навыки у людей не лучше, чем у машин. Во-первых, где, как ни во вражеской ИТ-системе, проводить тайные совещания. А, во-вторых, доступ к главному мегакомпьютеру Зиона, который управляет обороной и инфраструктурой города, судя по всему, также открыт для доступа извне и защищен паролем. Спасло только то, что “Смит” в силу возрастного ограничения фильма не очень искушен в методах получения информации от пленников.
Если бы я был машиной, я бы всех победил!
И еще пара фильмов на тему:
День независимости 1996 - запускаем инопланетное ведро, залетаем в материнский корабль, подключаемся к его внутренней сети, внедряем вирус, заражаем вообще все системы и все рабочие станции. Никаких проверок, уровней доступа, никакой аутентификации и прочих мер защиты! Ну надо ж было сценаристу как-то слить имбовую расу!
Сокровище нации 2 - залезть в городскую систему видеонаблюдения и скачать оттуда данные из машины прямо во время погони, а что не так?!
5. Атака на системы с биометрией
Судья Дредд (1995)
Биометрия очень удобная технология для киноделов. Они сначала ее пихают в сюжет, как элемент системы безопасности, а потом показывают, как она легко ломается.
В данном фильме ряд ключевых событий, когда что-то пошло не так, случился только благодаря использованию биометрии. Начнем с того, что оружие судий маркирует каждую выпущенную пулю образцом ДНК судьи. Это просто гениально! Во-первых, как мы увидели, это вообще не помогло идентифицировать стрелявшего человека. Во-вторых, чтобы раздобыть биометрический материал полисмена, ничего даже не надо перехватывать - достаточно отковырять пулю из стены или трупа. Далее уже можно подделывать улики, оставлять “следы” судьи, а потом наверняка еще и заходить на его рабочий аккаунт, банковский счет и т.д. И что полисмену делать со скомпрометированными биометрическими данными - вообще непонятно. У современной ИТ-индустрии ответа на этот вопрос нет.
Оружие судий работает только в их руках. Это означает, что мегапистолетик содержит в себе биометрическую базу, как минимум, части судейского корпуса. Т.е. конфиденциальные данные, которые нужно хранить особенно бережно, выносятся с сервера на устройствах, которые злоумышленники могут легко заполучить. Мощно! Вариант с облаком сразу отметаю, т.к. задержки в интернет-канале или скорости работы сервера в данном случае не допустимы.
Вообще сама идея работы оружия только от правильной ладошки вызывает резкое отторжение. А тут еще главный чиновник-негодяй Грифен взял, да и добавил в базу пальчики законченного уголовника, дал ему права доступа к оружию и куче систем. И, естественно, это вообще никто не заметил! Безопасность и контроль на высшем уровне!
Ну и конечно, куда же без идентификации по отпечаткам пальца и голосу. Правда, как выяснилось, ни то, ни другое нормально не работает. Особенно если получить травму гортани, заработать сильный кашель и пр.
Зачем в данном фильме вообще присутствует биометрия - понять не смог. По ощущениям сценарист специально наделал дыр, чтобы сюжет случился.
Другие фильмы можно перечислять до бесконечности. В каждом втором есть сканер сетчатки глаза, распознавание отпечатков пальцев и другого биоматериала. Пара примеров:
Люди Икс 2 (2003) – Мисс Тик обернулась одним из Х-менов и проникла к Церебро, пройдя аутентификацию через глазной сканнер. Вот чтобы она делала, если было бы нужно предъявить смарткарту и вести пинкод?
Разрушитель (1993) - опаснейший преступник Саймон Феникс снял с себя кандалы голосовой командой, убил кучу народу и сбежал из тюрьмы, прислонив чужой глаз к сканнеру. Хотя для входа в обычную квартиру почему-то используется персональный токен в руке. П - приоритеты!
6. Кривая ИТ-архитектура
Особое мнение (2002)
В будущем полиция предсказывает преступления, пичкая наркотиками трех человек, уложенных в бассейн и подключенных к Матрице. Когда провидцы делают предсказания, сигнал подается на столярный станок, который выпиливает деревянные шары с именем жертвы и убийцы. Что это за суперсистема, я уже 20 лет не могу понять. Нам рассказывают про защиту от подделок, видите ли, фактура дерева каждый раз уникальна. А то, что на шарике нет вообще никакой инфы, кроме “Иван Иванов”, местных оперов не смущает. Кроме того сказано, что данные от провов идут через ИТ-систему. Так если у вас изначально все в цифре, нафига вам эти шары? Они ж вообще ни от чего не спасают. Засуньте в шлем каждого прова по токену, подписывайте весь исходящий видеопоток, и проблема решена.
Если бы тамошний ИБ-шник нормально спроектировал систему, сюжет бы вообще не случился. Во-первых, выясняется, что входящее предсказание провов можно удалить одним тычком в монитор. Без проверок! Без подтверждения!! Это, простите, как?! Федеральная система, которая борется с преступностью в масштабах целой страны, должна фиксировать каждый чих. Причем еще и отмечать, кем конкретно он был сделан. Во-вторых, провы могут повторно выдать предсказание уже после того, как преступление было предотвращено. Казалось бы, сравни контрольные суммы у двух видео, и сразу будет понятно, одинаковые ли они. Нет! Техник в одиночку на глазок определяет, что это дежавю, и втихаря производит удаление еще до выпиливания этих дурацких шаров! Странно, что до главного негодяя Ламара Берджеса никто не догадался совершить убийство, выдав его за дежавю другого преступления.
В этой связи сущим пустяком выглядит тот факт, что к машине с СОРМ-системой можно подключать левое оборудование, сделанное на задворках Горбушки (вспоминаем сцену, где Дэнни Уитвер разбирает клавиатуру главного героя).
Когда же главного героя Джона Эндертона обвинили в будущем убийстве, когда он бросился в бега и за ним стала охотиться вся полиция города, естественно, никто даже не подумал о том, чтобы заблокировать ему доступ в офис или хотя бы в Храм к провам. Заходи, кто хочешь, главное не забудь пакетик с глазными яблоками для биометрической аутентификации. Кстати, вообще не понимаю, как в этом мире можно строить систему безопасности на сканнере сетчатки глаза, учитывая, что каждый магазин в торговом центре умеет ее считывать с расстояния в 10 метров.
7. Атака на киберфизические системы
Суррогаты (2009)
Человечество окончательно перешло на удаленку. Однако вместо метавселенных граждане стали использовать управляемых андроидов-аватаров, созданных по образу и подобию их хозяина. При этом вся экосистема вызывает огромнейшие вопросы. Во-первых, как выясняется, можно использовать суррогат с чужой внешностью, другого пола, возраста и под другим именем. Во-вторых, суррогаты продаются на каждом углу, и для их приобретения не нужна ни лицензия, ни справки ПНД, НД, ни полная проверка личности. Да бонусную карту в “Пятерочке” тяжелее получить! В-третьих, нет никакой системы идентификации/аутентификации пользователя, т.е. можно управлять чужим андроидом — это нигде не проверяется и нигде не фиксируется. Ну просто мечта для криминала!
Кроме того, у хозяина крупнейшей фабрики по производству суррогатов есть вообще незарегистрированные андроиды, которыми он свободно пользуется. Это как?!! Суррогаты применяет 98% населения страны, включая армию. Да на подобном производстве, как и на всей инфраструктуре, местное ФСБ должно контролировать каждый миллиметр.
Все надо деаномизировать! Должный быть полный контроль - кто приобрел, на кого суррогат зарегистрирован, где находится в данный момент, где расположена управляющая станция и т.д. Хозяин должен иметь доступ к своему суру только после прохождения строгой аутентификации. В андроиде должен стоять специальный защищенный аппаратный модуль с уникальным сертификатом электронной подписи. Весь трафик между управляющей станцией и суром должен быть зашифрован и подписан.
А еще оказалось, что суррогатов можно заразить вирусом, который взломает встроенную защиту и убьет хозяина-оператора. И, разумеется, есть единая база данных, через которую вирус можно распространить сразу по всем андроидам в мире. Ну это уж совсем выглядит издевкой над здравым смыслом.
Еще несколько “находок”:
Обливион (2013) - инопланетного робота, построенной по неведомой технологии и с неизвестной архитектурой, можно перепрограммировать, сидя в пещере с помощью камней и палок. Натуральное оскорбление производителей аппаратных продуктов.
Kingsman Секретная служба (2015) - из единого интерфейса можно без какой-либо аутентификации, проверок и пр., подключиться к чипам, имплантированным в шею, и взорвать всем бошки!
Я, робот (2004) – программа Viki свободно получает доступ к домашним камерам, перехватывает управление беспилотным транспортом, роботами и пр.
8. Перехват данных
Властелин колец: Возвращение короля (2003)
Толкинисты не дадут соврать, у особо важных шишек Средиземья существовала система спец.связи и спутникового слежения - палантиры. В фильме они показаны очень скудно, хотя на них строится важная часть сюжета. Через палантиры злобный огненный глаз общался с магом Саруманом, обсуждал военную стратегию, отдавал приказы, мониторил передвижения армий и т.д. Естественно, никакой защиты нет и в помине! Это в военное-то время! Кто угодно может заглянуть в палантир и увидеть все планы Мордора. Что, собственно, и произошло, когда Пипин из любопытства полез разглядывать чудо-шар. В итоге Минас Тирит, важнейший опорный пункт людей, не был взят, а основная армия Саурона разбита.
А всего лишь надо было сделать систему контроля доступа, чтобы получать данные из палантира могли только авторизованные пользователи. До кучи уж сделать шифрование канала и проверку подписи входящих сообщений.
Другой пример безалаберного отношения к данным:
Гарри Поттер и Орден Феникса (2007) - на протяжении всей истории главный злодей лажает без остановки. Гарри, не прикладывая никаких усилий, подключается к Волан-де-Морту, читает его мысли, планы, просматривает видеопоток от змеи и пр. Благо, злодей хоть догадался “выслать” дезинформацию. Тут уже к Гарри вопросы - тебе же объясняли, что защита необходима, а ты кобенился, и в результате слил Сириуса.
9. Взлом пароля
Шерлок (2010-2017)
Ирэн Адлер в разных произведениях про Шерлока Холмса позиционируется как очень смышлёная, хитрая и расчетливая тетька. Тем не менее в сериале с Камбербэтчем женский организм определенно дал сбой. Ну если ты собрала убийственный компромат, причем, не на абы кого, а на королевскую семью, и шантажируешь целое правительство, наверное, стоит позаботиться о защите этих данных. Поэтому гениальная Ирэн записала все на телефон, установила внутрь взрывчатку, которая срабатывает при попытке снять корпус, а потом, угадайте что... поставила защиту ПАРОЛЕМ из 4 символов!!! Я аж на стуле подпрыгнул! Сложно придумать что-то более нелепое! Еще бы Face ID прикрутила. Результат закономерен - полный провал.
В этой связи я уже много лет жду, когда в банковских приложениях наконец появится возможность ставить двухфакторную аутентификацию на часть счетов, чтобы ни одна операция по ним не могла быть выполнена по пин-кодам, паролям, пальцам и пр. Если бы Ирэн думала так же, была бы сейчас в шоколаде.
Фильмов про парольную защиту, которая обходится на раз-два, полно. Например:
Хранители (2009) - главный злодей хранит всю секретную информацию на компьютере, пароль к которому написан на рядом стоящей книге. Без этого его никогда бы не вычислили! Гений, не иначе!
Пароль «Рыба-меч» (2011) - получить доступ к системе Министерства обороны вообще без подготовки за 60 секунд, пока... ммм… тебя отвлекают – никаких проблем!
Железный человек (2008) - Пепер Потс вставляет флешку в компьютер главного негодяя, за 2 секунды обходит защиту логином-паролем и начинает скачивать БД, которая, естественно, отдельно никак не защищена.
Список фильмов с косяками в ИБ можно продолжать до бесконечности. Поделитесь в комментариях, какие бы отметили вы.
Комментарии (74)
vesper-bot
17.02.2022 15:24+1Про палантир — ЕМНИП даже Саурон не умел с ним обращаться на уровне администратора, так, максимум пользователь, знающий пару хитрых кнопок. Какая-то защита у них была, если верить вики по LotR, но саруманский шар мог быть сломан во время мыслесвязи, когда Саурон "ломал" Сарумана, и она просто рассеялась или ещё что — м-магия, эльфийская при том! ;)
Machirodont
17.02.2022 16:36+7Админские, судя по размерам и исторической значимости, терминалы (камни Осгилиата и Амон-сула), вообще утопили задолго до событий ВК, а клиентские остались без возможности сменить настройки приватности.
Tyrauriel
17.02.2022 16:36+6А разве это не сеть из доверенных терминалов? Как arpanet не предполагал защиту, так и палантиры были телефоном для избранных доверенных.
rtakyiv
17.02.2022 17:36+3заглянуть в палантир и увидеть все планы Мордора
По-моему в палантире видно то, что на той стороне показали. Хоббита похакали и забыли, т.к. он неуловимый Джо. В то же время Гендальф небезосновательно стремался смотреть в камень.
Old_Chroft
17.02.2022 23:18Более того - Пипин (вроде он свой нос в Палантир сунул) непреднамеренно помог Фродо, так как Саурон подумал что кольцо у него и перестал прикрывать тылы, тем самым и позволив Фродо дойти до Роковой горы. А вот его военачальники-назгулы знали у кого кольцо (вспомним погоню, когда эльфийка увозила его от них), но поступили как и все военные во все времена - скрыли от начальства свой лютый косяк :)
Machirodont
18.02.2022 10:39+4Назгулы были не в курсе про особый хоббитский резист. Ткнули неконвенционным кинжалом - считай,
труппризрак, а интересоваться его дальнейшей судьбой возможности не было.
v1000
17.02.2022 15:27+2оружие судий маркирует каждую выпущенную пулю образцом ДНК судьи
ну вообще-то там вроде была идея, что без биометрии другой человек не сможет использовать пистолет. опять-же, по самой пуле можно идентифицировать пистолет, из которого она была выпущена.
ну а сама идея вполне неплохо обыграна в сюжетном повороте.
Keeper1
17.02.2022 15:30-2Запрашиваю аналогичный разбор "Психопаспорта" ("Psycho-Pass").
Saiv46
18.02.2022 04:23+3Весь сюжет двух сезонов "Психопаспорта" построен на том что приходит "злодей", находит уязвимость в Системе, делает эксплоит и раздает всем, с предсказуемым результатом. Потом уязвимость патчат, злодея убивают, а город возвращается к нормальной жизни.
В "Психопаспорте" лишь два крупных косяка, и все во втором сезоне:
"Доминатор" привязан к биометрии (глазному яблоку), что позволяет главному злодею пересадить один от действующего сотрудника к себе и начать пользоваться их оружием.
При этом Система не удосуживается отозвать права у конкретно этого скомпроментированного сотрудника.
Markscheider
17.02.2022 15:35+6Естественно, на документе нет никаких печатей, сведений, кому выдали разрешение, кто «заказан», жив ли он еще и т. д.
В ту же тему: лицензия на убийство, выданная миледи кардиналом Ришелье, но у нее потом отобранная. В итоге Д'Артаньян удачно прикрывает этой бумагой сразу четыре задницы, при этом грохнув истинную владелицу лицензии. Ирония, да.
(кто не читал, простите за спойлер)
Александр Дюма-отец, "Три мушкетера"static_cast
17.02.2022 16:25+1И еще более известное:
Бесчувствен слух того, кто должен был
Услышать, что приказ его исполнен,
Что Розенкранц и Гильденстерн мертвы.
Gordon01
17.02.2022 15:44+8Зачем в данном фильме вообще присутствует биометрия - понять не смог. По ощущениям сценарист специально наделал дыр, чтобы сюжет случился.
this
Кажется, автор статьи не понял смысла художественных фильмов.
vvviperrr
17.02.2022 15:48+5Поэтому гениальная Ирэн записала все на телефон, установила внутрь взрывчатку, которая срабатывает при попытке снять корпус, а потом, угадайте что... поставила защиту ПАРОЛЕМ из 4 символов!!! Я аж на стуле подпрыгнул! Сложно придумать что-то более нелепое! Еще бы Face ID прикрутила. Результат закономерен - полный провал
4 символа это пин от мастер ключа, который хешируется пином и солью. я уже молчу про 1 попытку, тут даже шифрование избыточно.
Результат закономерен - полный провал
вообще не связан со сложностью пароля. вам же объяснили - сентименты.
Baigildin
17.02.2022 23:54+1Там вроде максимум 3 попытки было, после которого телефон взрывался. Но вообще да, четырехзначный пароль вполне достаточно. 3/26^4. Вероятность угадать всего 0,00065%, а у неё по крайней мере низкая вероятность забыть этот пароль, как это случается с этими людьми, у которых лежат сотни миллионов долларов в биткоинах, которые они не могут получить.
DarthLexus
17.02.2022 15:48пример безалаберного отношения к данным от автора поста - перепутать фильм, в котором происходят описанные события, а именно Гарри Поттер и Орден Феникса (2007)
Гарри Поттер и узник Азкабана (2004) - на протяжении всей истории главный злодей лажает без остановки. Гарри, не прикладывая никаких усилий, подключается к Волан-де-Морту, читает его мысли, планы, просматривает видеопоток от змеи и пр. Благо, злодей хоть догадался “выслать” дезинформацию. Тут уже к Гарри вопросы - те же объясняли, что защита необходима, а ты кобенился, и в результате слил Сириуса.
"не прикладывая никаких усилий, подключается, просматривает видеопоток и т.д." - а при чем тут защита? галочку "подключаться автоматически" на wi-fi соединении ставить не надо
matreta Автор
17.02.2022 17:57+1Точняк, Орден Феникса же. Поправил.
"не прикладывая никаких усилий, подключается, просматривает видеопоток и т.д." - а при чем тут защита? галочку "подключаться автоматически" на wi-fi соединении ставить не надо
Тут вопрос к Волан-де-морту, который в свою wi-fi сеть пускает, кого попало. Пароль-то надо менять
CDCrom
18.02.2022 07:43+7Так там же вся суть книг в том, что часть Гарри Поттера и есть авторизованный пользователь, то есть сам Волан-де-морт. Таким образом просто в системе (глаза и мозг) нет проверки входа пользователя с одного устройства.
yurikmellon
17.02.2022 16:00Обливион (2013) - инопланетного робота, построенной по неведомой технологии и с неизвестной архитектурой, можно перепрограммировать, сидя в пещере с помощью камней и палок. Натуральное оскорбление производителей аппаратных продуктов.
то, что этого супертехнологичного робота можно починить используя жвачку, я так понимаю, никого не смущает
FlashHaos
18.02.2022 14:37Робот может быть построен на земной элементной базе, чтобы чрезмерно не смущать биороботов, считающих себя землянами.
yurikmellon
18.02.2022 14:47"биороботу" можно внушить что угодно, всё равно ему сравнивать было не с чем, он же только с этой техникой работал, пока земной корабль не упал
vikarti
18.02.2022 20:37Вспоминается вот Виктор Вагнер, Дети пространства
Объединенное человечество (куда входит Марс но НЕ входит Земля, исторические причины, у Земли даже не то что боевых кораблей нет — вообще никаких нет, когда приперло — ОЧ пришлось ставить свою базу) уже некоторое время воююет с шиярами. Машинный разум который считает что обезьяны не должны вылезать за стратосферу.
Происхождение шияров — загадка. И нет, не похоже ни на что из того что в музеях ОЧ есть.
А в итоге оказалось что… в музеях Земли как раз есть и платы похожей размерности и процессоры "чуждой" архитектуры (колонисты просто не брали с собой то что не нужно а разрыв отношений с Землей был достаточно резким). А потом выяснили и кто создал шияров и зачем. Хотели вообщем как лучше (и про обезьян инструкций не вносили но подразумевалось что они будут одни в космосе).
Chamie
18.02.2022 22:51А роботы, вполне возможно, именно этими же биороботами и построен/спроектирован, потому им и понятен и доступен для починки.
khulster
17.02.2022 16:08+1Оружие судий работает только в их руках. Это означает, что мегапистолетик содержит в себе биометрическую базу, как минимум, части судейского корпуса. Т.е. конфиденциальные данные, которые нужно хранить особенно бережно, выносятся с сервера на устройствах, которые злоумышленники могут легко заполучить.
Вовсе не обязательно.
Оружие хранит ключ, которым подписывает биометрические данные взявшего его человека и отправляет в Центр Судей запрос на аутентификацию. А проблема лага на отклик решается временем активной сессии. Авторизовался с утра, получил временный токен, может какое-то время без связи с центром работать.
2. Оружие хранит биометрию прописью одного человека, но в искаженном виде. И чтобы сопоставить ее с владельцем, требуется второй фактор. Скажем авторизационный ключ интегрированный в костюм судьи.
static_cast
17.02.2022 16:31+7Зачем так сложно. Хеши. Судя по лору весь мир - один город, судей - считанное количество, расходов на хранение данных - почти никаких.
PS. А вот боевой робот был классный. Тоже, правда, без системы защиты.
khulster
17.02.2022 16:58Зачем так сложно. Хеши.
Сложно потому, что у нас тут секурити инцидент, когда у злоумышленника есть физический доступ к объекту взлома. ;)
cadovvl
17.02.2022 16:34+7ничего даже не надо перехватывать - достаточно отковырять пулю из стены или трупа.
Разумеется, ведь туда обязательно кидается сама биометрия, а не соленый хеш, подписанный периодически обновляемым токеном. И в пистолете хранятся именно ДНК, а не хеши. Интересно, в вашем представлении, раз я логинюсь на хабр, то он где-то хранит мой пароль?
С "отрезанным пальцем/украденной кровью" проблема остается, но "отковырять пулю", или база с днк судей в пистолете - это несколько перебор.
Tyrauriel
17.02.2022 16:19+1В Железном человеке "возможно данные спрятаны на созданном виртуальном (Ghost) диске, тогда ищи наименьшее цифровое имя файла". Без понятия что это означает. Но первая часть фразы напоминает про скрытые тома из True Crypt
cadovvl
17.02.2022 16:35+2ничего даже не надо перехватывать - достаточно отковырять пулю из стены или трупа.
Разумеется, ведь туда обязательно кидается сама биометрия, а не соленый хеш, подписанный периодически обновляемым токеном. И в пистолете хранятся именно ДНК, а не хеши. Интересно, в вашем представлении, раз я логинюсь на хабр, то он где-то хранит мой пароль?
С "отрезанным пальцем/украденной кровью" проблема остается, но "отковырять пулю", или база с днк судей в пистолете - это несколько перебор.
pod
17.02.2022 16:39+24-
Побег из Шоушенка (1994)
Мало того, что у несуществующей личности есть счет в банке, так еще и весь налик отдают мужику с улицы! По водительским правам, Карл!
вот вообще мимо. Во-первых это 50е-60е года, тогда были совсем другие порядки, а во-вторых сам гг и объясняет ситуацию, что он воспользовался уязвимостями системы, когда можно получить один документ на основе другого, а получение первого в этой цепочке не требует физического присутствия и т.п. Ну и да, это же Америка - права там до сих пор главный документ!
-
SShtole
17.02.2022 16:40-2С «Игрой престолов» всё мимо! Эддард прекрасно знает, что никого не будет волновать подлинность печати и подписи, и поэтому заранее посылает Мизинца
подкупитьфинансово простимулировать городскую стражу, чтобы на корню подавить любое несогласие. Чего он не понимает, это что нельзя было поручать такую задачу человеку, который всю жизнь любил твою жену и ненавидел тебя (ну и был заинтересован в гражданской войне).
Возможно, в сериале это показано не очень хорошо, но в книге выражено предельно чётко.
На самом деле, это контрпример к статье (пример того, что нельзя сводить к ИБ политические задачи).
А ещё… Бонус-трек:Под катом мегаспойлер! Не читай, если не любишь спойлеры!Серсея и Джейме дети Безумного короля. Инфа 100%!
static_cast
17.02.2022 16:58Серсея и Джейме дети Безумного короля. Инфа 100%!
Это вряд ли.
А вот
Тирион - весьма вероятно.
SShtole
17.02.2022 17:08-1Я бы не стал цитировать такие вещи без ката!
Ещё больше спойлеров внутриА вы вспомните, из-за чего Тайвин полгода не разговаривал со своей сестрой. (Разговор между Джейме и его тётей в лагере). Разумеется, сам-то он так и думал, поэтому и пытался при каждом удобном случае сжить со свету. Сестра попыталась открыть ему глаза, но только испортила отношения.
static_cast
17.02.2022 18:56У Мартина, как и у всякого уважающего себя автора, концов запрятано на сто вариантов.
Но версия про Тириона намного более обоснована, - и намеков на это намного больше, - внешность, наклонности, пристрастие Тириона к драконам, прямые подозрения Тайвина и проч, и проч.. Вплоть до того. что вариант с Серси и Джейме просто не бьется по датам (после свадьбы и до рождения близнецов молодожены жили несколько лет в своих землях, далеко от Королевской Гавани. Эйрис приехал навестить старых знакомых после рождения первенцев). И Тайвин не пытался сжить со свету Джейме вот прямо ни разу, в отличие от Тириона - мне даже показалось, что Вы их уже спутали за давностью лет)
SShtole
17.02.2022 19:23Безусловно, но с настоящим вариантом он уже определился и менять его не будетО чём он много раз говорил в интервью.И Тайвин не пытался сжить со свету Джейме вот прямо ни разу
Ну разумеется! Он же не услышал свою сестру Дженну. В том и ирония, что он всячески изводил своего родного сына, считая его неродным. Разумеется, рассудят нас только «Грёзы» )) Если все доживём…
Tyrauriel
17.02.2022 16:43+2Пометка пули не самой биометрией, а электронной подписью, которой соответствует биометрия
13werwolf13
17.02.2022 16:56половина придирок из статьи сюжетом, остальное либо "киношные допущения" сделанные по принципу а всё равно в этом никто не понимает" либо... а вы простите год этого кинца видели?!
но в целом за статью спасибо, плюсанул, прочитал с удовольствием и понимающей улыбкой, жена со мной фильмы не любит смотреть, говорит я часто "придираюсь к неважным для сюжета вещам".
Ente
17.02.2022 17:10+4Казалось бы, сравни контрольные суммы у двух видео, и сразу будет понятно, одинаковые ли они.
По сюжету эти предсказания больше похожи на сон, они размыты и видны частично. Сравнивать их, это как сравнивать два камрипа одного фильма из кинотеатра, картинка одна, а вот суммы точно не сойдутся.
D03ER
18.02.2022 17:40+1Да там вся система построена в таком виде, что можно творить беззаконие прикрываясь записями. Я смотрел этот фильм именно в таком ключе.
aelaa
17.02.2022 17:20+6Гарри, не прикладывая никаких усилий, подключается к Волан-де-Морту, читает его мысли, планы, просматривает видеопоток от змеи и пр.
История началась с того, что Волан-де-Морт по случайности (кажется о такой фиче в мануалах написано не было) сливает свой приватный ключ
vesper-bot
17.02.2022 17:27+1Мануал писали выжившие, а Волди в этот момент как раз транклюкировало, а на то, чтобы понять, что именно произошло, у обоих ушло порядка пяти лет, а там и мануалы некому стало обновлять...
ledascho
17.02.2022 17:36+7Левый мужик в царских шмотках подписывает документ федерального значения
Не в каждом государстве, и уж подавно не в каждом царстве, слово «государственный» можно заменить словом «федеральный»
n0dwis
17.02.2022 17:50+11Левый мужик в царских шмотках подписывает документ федерального значения и отправляет войско в пеший турпоход на Изюмский Шлях.
Левый мужик в царских шмотках и с царским лицом. А президенты сейчас разве не так указы подписывают?
KovVlad
17.02.2022 17:57я уже много лет жду, когда в банковских приложениях наконец появится возможность ставить двухфакторную аутентификацию на часть счетов, чтобы ни одна операция по ним не могла быть выполнена по пин-кодам, паролям, пальцам и пр.
Хорошие банки сейчас просят 2й фактор при операциях на крупную сумму. Как по мне удобнее, чем настраивать для конкретных счетов.
ifap
17.02.2022 18:56+1Королю Роберту еще до встречи с кабаном стоило озаботиться внедрением нормальной системы ЭДО во всех семи королевствах. С цифровой подписью, поверкой сертификатов и прочей алхимией!
Что очнеь помогло бы его преемнику, подвергнутому криптоанализу лучшими палачами королевства. Да там весь город в лицо называл своего нового короля бастардом, что не мешало ему сидеть на троне, поддерживаемым грубой физической силой.
Классический фейл на эту тему был показан в "Гладиаторе".
Rollant
17.02.2022 19:02+3мало того, что у машин в сточных трубах развернут высокоскоростной Wi-Fi, так они еще и пускают в свою сеть всех подряд
По канализации летают дроны-инспекторы, которым как-то нужно связываться с управляющим центром. А безопасность машины выстраивали так же, как сейчас люди выстраивают безопасность IoT (то есть никак)
un7ikc
18.02.2022 15:03+3Ну да, все же прекрасно знают что в аббревиатуре IoT, буква S - означает Secure.
vadimr
17.02.2022 19:41+3По поводу Ивана Васильевича исторически правильно будет заметить, что в то время цари вообще не подписывали документы (а многие из них не умели писать и читать). Негоже было царю ставить своё имя в самом низу. В России практику самоличного подписания царских указов ввёл, если не ошибаюсь, Пётр I.
Подписывал писец, а царь ставил печать.
tsurugi-no_ken
18.02.2022 09:30в то время цари ... а многие из них не умели писать и читать
При Иване Грозном давно уже не Тёмные века, а эпоха Возрождения.
ajratr
17.02.2022 21:16+4Странный у вас подход к просмотру фильмов.
Это же просто художественный фильм, прозведение с элементами вымысла. Если вдаваться во все тонкости, сценарий никогда не будет закончен. Надо остановиться и начать снимать.
Лично меня расстраивает отсутствие, в современных художественных фильмах, качественной актерской игры, всё заменили спецэфектами, взрывами и т.д.
А вот "Иван Васильевич..", на мой обывательский взгляд, сбалансированный и продуманный во всех отношениях фильм.
sukhe
17.02.2022 21:50+3поставила защиту ПАРОЛЕМ из 4 символов!!! Я аж на стуле подпрыгнул!
Когда на моей банковской карте был ПИН-код длиной 8 цифр, кассирши в магазинах тоже подпрыгивали.
drWhy
17.02.2022 23:19+1«Обливион (2013) — инопланетного робота, построенной по неведомой технологии и с неизвестной архитектурой, можно перепрограммировать, сидя в пещере с помощью камней и палок.»
Для штатного техника это привычное занятие. Без него результат не был бы гарантирован, да и повозиться пришлось бы дольше.
AlexTheCleaner
17.02.2022 23:37+2Побег из Шоушенка - вполне себе рабочий сценарий в Америке тех лет. Так что это не к сценарию претензии, а к американскому правительству. Хотя мне это намного симпатичнее того адка который мы имели (и опять скоро будем иметь похоже), потому что одному усатому мерещились везде японские шпионы.
PNSpasskiy
19.02.2022 19:16В шоушенке смущает сам побег. Разве в трубе не должна была быть концентрация газов несовместимых с жизнью?
tsurugi-no_ken
18.02.2022 08:12+1весь налик отдают мужику с улицы! По водительским правам, Карл!
Для США водительское удостоверение = фактический аналог паспорта. Даже, если человек не умеет водить, то у него все равно будет водительское удостоверение, в котором будет написано отсутствие прав на вождение транспорта, но само удостоверение все равно будет.
tsurugi-no_ken
18.02.2022 08:30+4То, что вытворяет Нео внутри Матрицы, вообще поражает воображение. Во-первых, он либо выбил привилегированные права для своей учетки, либо юзает читы - god, noclip, impulse 101 и пр.
lol
Какие ещё читы?! Ты что официальные чемпионаты по киберспорту не видел?
Спидраны с багоюзами, судя по всему, ты тоже никогда не видел?
Знание багов и использование их в качестве фич, позволяет киберспортсменам и спидраннерам, и без каких-либо читов, творить чудеса как Нео в Матрице!
То, что вытворяет Нео внутри Матрицы, вообще поражает воображение. Во-первых, он либо выбил привилегированные права для своей учетки, либо юзает читы - god, noclip, impulse 101 и пр. Во-вторых, получает доступ в закрытые подсети, хакает служебные программы и практически доходит до ядра
Ещё пример багоюза (всё ещё актуального на момент выхода фильма)
drWhy
18.02.2022 10:54Кстати при отправке на печать документ также можно было повернуть на произвольный угол. Или символы шрифта.
Dzzzen
18.02.2022 13:34+2В windows 95 пароль нужен был только для подключения к рабочей группе. Для работы за локальным хостом можно было просто Cancel нажать.
Dinxor
18.02.2022 19:13Про "Пароль «Рыба-меч»", это всё-таки 2001 год, а не 2011. Тогда в фильмах было принято показывать компьютерные интерфейсы как что-то волшебное, средний обыватель вполне верил в тот кубик Рубика, который ГГ добыл откуда-то с корневого сервера DNS. В фильмах "Хакеры" и "Сеть" из 90-х тот же подход. А те кто в теме просто смотрели на это как на комедию, будь то подбор пароля за 60 секунд или число более 255 в IP адресе. Чуть более реалистично выглядел "Sneakers", который наши прокатчики перевели как "Аферисты" - я его долго не мог найти и опознал чисто случайно по цитате в книге Митника.
vikarti
18.02.2022 20:31+1Из книг примеров тоже хватает :)
Лукьяненко Танцы на снегу- у спецов есть ДВА документа удостоверяющих личность. Равноправных. Паспорт и удостоверение спеца. Можно получить один на основании другого. При этом удостоверение спеца может выдать бортврач. Проверит просто что у человека есть нужные для спеца соответствующего типа характеристики а паспорт предоставить позднее — небольшое нарушение. Затем идем заключать брак по сертификатам спецов и делаем новый паспорт.
- А потом в силу вступает то что время выдачи в документах пишется местное. Вот только для космического корабля местное время это как скажет капитан. Имеем в составе экипажа девочку-спеца с левыми документами.
При этом сама возможность фокуса с часами — похоже вообще намеренная дыра — про это вообще все кому не лень знают. Про фокус с двумя наборам документов — следователь-спец расколол сразу
Или, менее известный пример — трилогия Камбрийский период Коваленко
сцена с идентификацией византийских принцесс, там сложная песня где даже ударения важны и полностью текст знают только члены семьи а частично — много кто из допущенных. Обе принцессы спели до конца, те кто знал частично — поняли что это — то. Вот только одну из принцесс еще раньше признали таковой (а заодно — языческой богиней ставшей христианской святой и вообще не человеком а сидой Немайн) хотя та и говорила сначала что не она. При этом технически идентификация подделана. Персонаж эту песню просто знает, из других источников, и имеет идеальную память. Является ли персонаж византийской принцессой утратившей память и получившей новую на самом деле — да сам персонаж уже ни в чем не уверен а ситуация такая что строго однозначно ответить на вопрос не возможно.
FakeOctopus
19.02.2022 21:15Почему на компьютерах в кино нет большой красной кнопки отключения? Из за этого столько проблем когда нужно выключить спятивший компьютер.
Jury_78
Ну, а что? Сейчас по "левому" паспорту выдают кредит.
AllexIn
Вообще какая-то странная претензия. Он выглядит как царь и занимает место царя. Кто и с чего у него будет документы спрашивать?