Перейти к содержанию

«Мандалорец» c точки зрения информационной безопасности


Рекомендуемые сообщения

Империя повержена (не совсем). Власть в руках Новой Республики (тоже не вполне). В результате галактика окончательно приняла вид коктейля из киберпанка и вестерна. Мы решили посмотреть, как в эти смутные времена обстояли дела с информационной безопасностью.

Приватность

Первым делом следует сказать пару слов о приватности. Вот эта пара слов: ее нет. Каждый охотник за головами теперь получает устройство под названием трек-брелок (tracking fob), которое позволяет выследить цель. По всей видимости, оно не работает в открытом космосе, однако на планете четко показывает направление на цель. Какая технология стоит за этим устройством — непонятно.

Вживляется ли в цель маячок? Это объяснение кажется разумным при охоте на сбежавших преступников. Но кто и когда вживил маячок в ребенка расы Йоды? И почему никто не догадывается удалить или хотя бы заглушить этот маячок? Если нет, то по каким параметрам следящее устройство наводится на цель? По какой-то биологической сигнатуре? Как бы то ни было, если кто-то способен изготовить такой брелок для отслеживания любого живого существа, то ни о какой приватности говорить не приходится.

Дополнительным подтверждением этого факта служит устройство оптического прицела на винтовке мандалорца — с его помощью он видит тепловое излучение через стены домов, а также может слышать разговор людей (хоть и с помехами).

Корабль Razor Сrest

Дин Джарин, большую часть фильма именуемый просто «Мандалорцем», летает на достаточно старом имперском патрульном корабле под названием Razor Crest. На корабле невооруженным взглядом заметны проблемы с безопасностью.

Во-первых, шкаф с оружием закрывается на некий электронный замок, но открыть его может любой проходящий мимо человек. Как минимум дважды персонажи, которых сложно заподозрить в каких-то навыках хакера или взломщика, открывали этот шкаф, потыкав в кнопки. Судя по всему, по принципу старого домофона (некоторые кнопки изнашиваются от использования, что позволяет подобрать код). То есть тут мы имеем недостаточно надежный и, вероятно, давно не изменявшийся пароль.

Во-вторых, в бортовом компьютере хранятся записи голографических сообщений. Причем хранятся без особой защиты. Дроид Зеро натыкается на одну из них просто при беглом анализе систем корабля, не предпринимая особых усилий для взлома.

Конечно, и шкаф, и система связи находятся на борту. И их слабая защищенность могла бы компенсироваться безопасностью корабля. Но нет — мандалорец постоянно бросает корабль вообще не закрытым и регулярно натыкается на засаду внутри. То есть доступ к шкафу и записям, в теории, может получить кто угодно.

Дроид IG-11

У дроида-убийцы, работающего охотником за головами, имплементирована интересная защитная технология — система самоуничтожения. При возникновении опасности он заявляет:  «Согласно протоколу производителя, я не должен быть захвачен. Нужно самоуничтожиться», после чего начинает обратный отсчет. Казалось бы, замечательная функция.

Вот только она не работает. Если уж производитель задумался о необходимости такой системы, то логичнее всего было бы сделать ее независимой от операционной системы. Ведь достаточно повредить мозги робота, и его можно будет захватить. Собственно, практически так все и происходит. Мандалорец стреляет в голову IG-11, и он просто отключается. После чего его подбирает Куилл и перепрограммирует. То есть идея с самоуничтожением хорошая, а реализация — не очень.

Отдельных вопросов достойна сама возможность перепрограммировать дроида. Но тут IG-11 не уникален. Мы уже писали, что дроиды, как и другие устройства Интернета вещей, логичнее делать на безопасной операционной системе, которая в принципе не допускала бы никаких изменений, не предусмотренных разработчиками.

Тюремный транспорт Новой Республики

В одном из эпизодов Дин Джарин подписывается на освобождение заключенного, которого перевозят на тюремном транспорте. План такой: Razor Crest совершает серию маневров, чтобы подобраться близко к кораблю, глушит какой-то код, маскирует свой сигнал и стыкуется, после чего команда высаживается на борт, находит комнату управления, узнает номер камеры, взламывает ее и освобождает цель.

Допустим, благодаря каким-то конструкционным особенностям старый корабль Мандалорца действительно может незаметно приблизиться к транспорту повстанцев. Допустим, дроид Зеро знает, как заглушить и замаскировать сигнал, чтобы системы транспорта не знали о состыкованном постороннем объекте. Допустим, он действительно умеет проникать в систему безопасности (хотя сама возможность подключения к этой системе извне кажется безумной). Допустим, благодаря этому система безопасности не поднимает тревоги при взломе наружного люка, а когда из-за стычки с охранными дроидами тревога все-таки поднята — у Зеро получается дезориентировать бойцов подкрепления и направить их в другую точку.

Но почему в камере есть замок, который можно открыть изнутри? И почему это можно сделать обломком руки дроида-охранника, без использования каких-либо электронных систем вообще? И самое главное, почему весь этот дурдом называется «транспортом максимальной безопасности»?! Как у них тогда обстоят дела на менее «безопасных» кораблях?

В этом эпизоде еще есть достаточно сомнительное устройство безопасности в виде приводного маячка, который призывает патруль из нескольких республиканских истребителей. Ну прилетят они, а дальше что? Злоумышленники на борту. Взорвут свой транспорт со всеми заключенными? Или пристыкуются и пойдут воевать? Но по крайней мере это устройство хоть как-то работает.

В сериале еще есть несколько мелких деталей, которые с точки зрения информационной безопасности кажутся провальными. Например, в последнем эпизоде Мандалорец (казалось бы, опытный воин и охотник за головами) общается с Куиллом по открытому каналу связи, в результате чего штурмовики его слышат и перехватывают Куилла. Ну и стандарт мира «Звездных Войн» — электронный замок, который открывается после выстрела.

Короче говоря, давным-давно в далекой-далекой галактике с безопасностью все было очень-очень плохо…

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • MadMess
      От MadMess
      Хотел очистить ПК от вирусов, посмотрел видео в ютубе как очистить вирусы, нужно было зайти в безопасный режим через msconfig. Я перезагрузил ПК чтобы зайти в безопасный режим но вместо этого черный экран. Перезагрузил по кнопке, все равно тот же черный экран. Что делать? Комп и монитор работают
    • Good2000
      От Good2000
      Мне нужно было зайти в безопасное систему для удаления файла в итоге после того как я зашел в безопасный режим и перезагрузил ПК win 11 монитор стал черным и не включается.Но сам по себе компьютер работает я  доставал провода и включал выключал монитор все четно.Поэтому не понимаю что произошло и как это пофиксить(
    • Acteon_927
      От Acteon_927
      Для банков Сбер и ВТБ в безопасных платежах в полях ввода данных исчезли значки вызова экранной клавиатуры. Это нормально или это ошибка? Используется браузер Google Chrome.  Windows 10.
       

    • KL FC Bot
      От KL FC Bot
      Уже сегодня технологии на базе ИИ внедрены в каждой второй компании, а за ближайшие два года к ним присоединится еще 33% коммерческих организаций. ИИ в том или ином виде будет внедрен повсеместно. Экономический эффект, который получают компании от внедрения, варьируется от повышения удовлетворенности клиентов до прямого роста выручки. По мере того как понимание сильных и слабых сторон ИИ-систем бизнесом будет углубляться, эффективность только увеличится. Но уже сейчас очевидно, что о рисках, которые несет внедрение ИИ, нужно подумать заранее.
      Даже ранние примеры внедрения демонстрируют, что цена ошибки ИИ-системы может быть высока и может выражаться в том числе во влиянии на репутацию, отношения с клиентами, здоровье пациентов и многое другое. А если учесть еще и киберфизические системы вроде автономных автомобилей, то вопросы безопасности станут еще острее.
      Внедрять безопасность постфактум, как это было с предыдущими поколениями технологий, будет дорого и порой невозможно. Чтобы в этом убедиться, достаточно найти свежие оценки ущерба, который мировой экономике наносит киберпреступность: на 2023 год это $8 трлн. Неудивительно, что страны, претендующие на технологическое лидерство в XXI веке, торопятся внедрить регулирование ИИ (например, China’s AI Safety Governance Framework, EU AI Act, US Executive Order on AI). Но в законах редко указываются технические подробности и практические рекомендации — это не их задача. Поэтому для практического применения любых регуляторных требований формата «обеспечить надежность и этичность ИИ, а также контролируемость его решений» необходимы конкретные практические рекомендации, позволяющие достичь этого результата.
      Чтобы помочь практикам, внедряющим ИИ уже сегодня, а также сделать будущее нашего мира более безопасным, специалисты «Лаборатории Касперского» при участии Эллисон Вайлд, члена команды по функциональной совместимости Сети по вопросам политики в области искусственного интеллекта Форума ООН по управлению Интернетом; доктора Мелодены Стивенс, профессора управления инновациями и технологиями школы государственного управления имени Мохаммеда бин Рашида; и Серхио Майо Масиаса, менеджера инновационных программ из Технологического института Арагона, создали набор рекомендаций. Документ был представлен в ходе семинара «Кибербезопасность в сфере ИИ: баланс между инновациями и рисками» на 19-м ежегодном Форуме по управлению Интернетом (UN Internet Governance Forum, IGF) для обсуждения с международным сообществом формирующих политику работы с AI экспертов.
      Следование описанным в документе практикам поможет инженерам, специалистам DevOps и MLOps, которые разрабатывают и затем эксплуатируют ИИ-решения, достичь высокого уровня защищенности и безопасности ИИ-систем на всех этапах их жизненного цикла. Рекомендации документа нужно индивидуально оценивать для каждого внедрения ИИ, поскольку их применимость зависит от разновидности ИИ и модели внедрения.
      Какие риски нужно учесть
      Многообразие применений ИИ вынуждает организацию учитывать очень разнородные риски:
      Риск от неиспользования ИИ. Звучит на первый взгляд забавно, но только сравнив выигрыш и потери компании от внедрения ИИ, можно правильно оценивать все остальные риски. Риски несоответствия регулированию. Быстро развивающееся регулирование ИИ делает этот риск динамичным, его нужно часто оценивать заново. Кроме регулирования ИИ как такового, нужно учитывать сопутствующие риски, например нарушения законов по обработке персональных данных. ESG-риски, то есть социально-этические риски применения ИИ, риски раскрытия чувствительной информации и риски для экологии. Риск нецелевого использования ИИ-сервисов пользователями — от шуточных до злонамеренных сценариев. Угрозы ИИ-моделям и наборам данных, применявшимся в тренировке. Угрозы сервисам компании, возникающие при внедрении ИИ. Возникающие при этом угрозы данным, которые обрабатываются в рамках этих сервисов. При этом «под капотом» трех последних групп рисков находятся все угрозы и задачи, традиционные для ИБ в сложных облачных инфраструктурах: контроль доступа и сегментация, управление уязвимостями и обновлениями, создание систем мониторинга и реагирования, контроль цепочек поставок.
       
      View the full article
    • Fitulka
      От Fitulka
      Уважаемые сотрудники и руководители компании. Работаю материально-ответственным лицом в муниципальной организации, за небольшие деньги, но и спрос такой же. На балансе 560 единиц малоценки. Кто знает тот понимает, кто не знает это столы, стулья и даже куркуляторы дедушки Брежнева. На каждом инвентарный номер. Написанный разными людьми, в разное время, в разном состоянии, разными и даже перманентными маркерами.
      Соответственно инвентаризация проходит по старинке. Один крикнул, второй не услышал, третий забыл и так кругами к светлому будущему. Дня 3-4. 
      Супруга из Казахстана, ее подружка когда услышала что инвентаризация по "совдеповски", удивилась. А что в России не используются QR??? В Казахстане уже везде, по опыту Китая как я понял. 
      Нашел сайт вроде российский. Сделал на 25 штук(один кабинет) кодов. Распечатал на липкой бумаге. Наклеил. Проверил "безопасным сканером" работает без сбоев. Поинтересовался в типографии неубиваемая липкая маркировка 5000р за все. Это предприятие потянет без проблем. Кабинет к слову прошли без проблем и не возвращались к нему за 5 минут я засекал.
      Дело за безопасным сканером который сможет передавать данные на мой сервер PostgreSQL. 
      1. Вопрос- Возможно ли получить API Безопасного сканера?
      2. Вопрос -планирует ли компания развивать "Безопасный QR-сканер" в отдельную программу "Инвентарка" для работы при проведении инвентаризации.  Требуется всего то общи список материалов и оборудования и сканирование QR кодов с удалением или отметками в программе. Ну и конечно же раз уж есть сканер, где "Безопасный генератор QR кодов"?
       
       
       
        
       
×
×
  • Создать...