Кабинет отца напоминал бункер. Звукоизолированные стены поглощали даже шёпот, а портреты предков в позолоченных рамах следили строгими взглядами. На стеклянном столе лежал макет небоскрёба в виде иглы из хрусталя и стали, пронзающей облака. Отец, в костюме, сшитом под заказ в лондонском ателье, поправил галстук.
— Ты знаешь, почему наши прадеды строили банки из гранита? — его палец постучал по стеклянной столешнице, словно отбивая такт вековой традиции. — Не из-за красоты, а из-за того, что гранит нельзя взломать.
Пол, вертевший в руках телефон, уронил его на стол. Экран треснул, как и его подростковое равновесие.
— Завтра ты едешь в Шаолинь! На всё лето.
— В Шаолинь?! — мальчик вскинул голову, будто получил пощёчину. — На кой он мне сдался?
Отец никогда не просил. Его приказы висели в воздухе, как лезвия гильотины, но сегодня в голосе, обычно холодном как слитки в хранилище, дрогнула нота, которую Пол не слышал прежде.
— Ты силён в числах, но слаб духом, — он разглядывал сына, словно оценивая сомнительный актив. — Линь Шэн Лун научит тебя побеждать!
— Побеждать? — Пол фыркнул, откинувшись на кожаное кресло. — Я, потомственный финансист, должен учиться у какого-то там монаха?
Отец провёл рукой по кейсу из крокодиловой кожи. Защёлка щёлкнула, обнажив клинок. Лезвие блеснуло под светом люстры, выхватив из полумрака гравировку: «Побеждай, не обнажая меча» на старояпонском.
— Мой друг Лю Вэй рекомендовал тебя мастеру. — Палец скользнул по надписи. — Линь Шэн Лун постиг не только технику меча, но и стратегию Миямото Мусаси.
— Мусаси? Это тот, что писал «путь воина»? — Пол закатил глаза, щёлкая треснувшим экраном. — Пап, это же сборник метафор! Драться палкой против катаны? Просто смешно.
Кейс захлопнулся с грохотом, заставив вздрогнуть портрет прадеда-банкира.
— Мусаси выиграл шестьдесят поединков, потому что видел мир как шахматную доску! — Голос отца врезался в тишину, как клинок в плоть. — Ты научишься видеть слабости раньше, чем их используют против тебя. Понял? Настоящая битва идёт за контроль над собой.
Пол втянул голову в плечи, вдруг ощутив себя тем самым гранитом — непробиваемым снаружи, но треснутым внутри.
— Собирайся. — Отец повернулся к окну, за которым плыли огни мегаполиса. — Мастер не терпит опозданий.
В отражении стекла Пол увидел, как его лицо исказилось и маска благополучия дала трещину. Родной город гудел как живой организм, а он ехал туда, где учат слышать тишину между ударами клинка.
Учительница на уроке спрашивает: - Дети, кем работают ваши родители? Леночка: - У меня папа врач, спасает жизни. Вася: - А у меня пожарный, тушит пожары. Вовочка мнётся: - Ну… папа… хакер. Интернет ломает… сайты там крутятся… не открываются… видео замирает… звонки… ну… обрываются… А, и разок даже Госуслуги не открылись… папа смеялся.
Учительница чуть линейку не уронила и быстро перевела тему. На перемене тихо спрашивает: - Вовочка, он правда хакер? - Мариванна… ну как я при всём классе скажу, что он в Роскомнадзоре работает?..
Вечерний воздух пригорода Бомбея был особенно плотным. Влажный и немного солёный от близости моря, он смешивался с запахами уличной кухни, выхлопными газами от вечно кашляющих авторикш и дорожной пылью. На крыше одного из домов, тесно прижавшихся друг к другу, сидели двое подростков - худощавый Раджеш Кумар с острыми чертами лица и глазами, которые даже в полумраке казались необычайно живыми, и его друг Ганеш Шарма с привычно озабоченным выражением лица.
Между ними стояла потрёпанная картонная коробка, служившая импровизированным столом. На ней стояли две бутылки газировки, лежал пакетик чипсов и стоял ноутбук Раджеша. Ноутбук был не новый и не блестящий, а старый, с потёртыми краями и наклейкой Kali Linux на крышке. Экран ноутбука светился призрачным синим сиянием, отражаясь в зрачках Раджеша.
— Смотри, Ганеш, смотри сюда, — голос Раджеша звучал тихо, но с напряжённой энергией, словно провод под током. Он ткнул пальцем в строки быстро мелькающего кода на экране. — Это… как запертая дверь, в которой я нашёл щель. Пусть маленькую, едва заметную, но я знаю, как вставить в неё отмычку.
Ганеш отхлебнул газировки, скептически покосившись на экран, где бесконечные строки символов сливались в гипнотический поток.
— Отмычку? Босс, ты опять про свои проекты? В прошлый раз, когда ты нашёл щель, мы чуть не попались из-за того проклятого интернет-кафе на станции. Его хозяин чуть не вызвал полицию.
Раджеш отмахнулся, не отрывая взгляда от монитора. Его пальцы порхали по клавиатуре с непринуждённой скоростью пианиста виртуоза.
— Пффф! Тот клоун даже не понял, что произошло. Просто его древний сервер глюкнул, а что я? Получил то, что хотел — его данные. Ганеш, данные — это новая нефть. Только добывать её можно не лопатой или буровой, а вот этим!
Он похлопал по крышке ноутбука с почти религиозным благоговением и откинулся на спинку старого пластикового стула, глядя поверх крыш соседних домов на далёкие огни центрального Мумбаи.
— Я устал от этого, Ганеш. Устал смотреть, как мама стирает вручную до ночи. Устал считать рупии, хватит ли на хорошие кроссовки, а не на подделки с толкучки. Устал от этих стен. Он обвёл рукой горизонт, где росли новые стеклянные башни как символ богатства, которое обтекало их пригород стороной.
— Ты говоришь, как герой фильма, — усмехнулся Ганеш, но в его голосе не было насмешки, скорее привычная усталость. — Все хотят быть богатыми и знаменитыми, но мы с тобой рождены нищими, Радж.
— Именно поэтому! — Раджеш резко повернулся к другу. Его глаза горели в сумерках. — Они там, в своих башнях, думают, что мир принадлежит им! Но они ошибаются, думая, что неуязвимы. Их мир — это сети, серверы, цифры на экранах. А я… Он постучал себя по виску, — Я говорю на их языке лучше, чем они сами. Я вижу щели в их крепостях там, где они видят только гладкие стены. Они спят, Ганеш. Спят на своих деньгах, а я учусь, ищу, взламываю.
Он снова наклонился к ноутбуку. На экране сменилась картинка , и появился логотип какой-то солидной, но не самой известной компании. Это был не гигант вроде «Тата» или «Релейнс», а что-то поменьше, но явно состоятельное.
— Видишь? «Старлайт Консалтинг» — это финансовые услуги, управление активами для богатеньких. Их система безопасности… — Раджеш фыркнул. — Они купили дорогущую крепость, но забыли поставить охрану на заднюю калитку. Я нашёл эту калитку. И знаешь, что там?
Заинтригованный Ганеш наклонился к нему, несмотря на свои опасения.
— Что?
— Тестовый сервер. Он полон зеркал реальных данных клиентов. Там находятся транзакции, счета, инвестиционные портфели… всё, как настоящее, только в песочнице. Для них это мусор, а вот для меня… — Раджеш медленно улыбнулся, и в этой улыбке было что-то хищное и восторженное одновременно. — Это карта и доступ к их миру, ключ к пониманию того, как они думают и как двигаются их деньги. Он закрыл ноутбук резким щелчком. Синий свет погас, оставив их в почти полной темноте, нарушаемой только отсветами города и редкими лампочками на соседних крышах.
— Великим меня сделают не мечты, Ганеш, а знания. Сегодня тот, кто контролирует информацию, контролирует всё на свете. А богатым… — Он взял последний чипс из пакета, разломил его пополам с театральным жестом. — Богатым меня сделает понимание того, как заставить их деньги работать на меня. Не воровать их, нет. Просто… знать правила игры лучше, чем они сами и играть в свою игру.
Он встал и потянулся. Его силуэт на фоне вечернего неба Мумбаи казался внезапно больше и значительнее.
— Я хочу не просто вырваться из нищеты. Я хочу прийти туда, заявить о себе и забрать всё у них. А потом вернуться домой и купить тут всё. — он обвёл рукой вокруг себя. — Каждый дом, каждая хижина или магазин будут моими. Всё это будет моим. Слышишь меня? Я буду хозяином мира, хозяином жизни!
Ганеш молча смотрел на друга. Он видел эту одержимость и раньше, но сегодня в ней было что-то новое. Это была не просто бравада или отчаяние, а холодная, расчётливая уверенность, которая его даже немного пугала.
— А если… если не получится? Если тебя поймают?
Раджеш уже спускался по узкой лестнице с крыши. Его голос донёсся снизу, слегка приглушённый:
— Поймать можно того, кто ошибается, а я не собираюсь ошибаться. Великие люди не ошибаются потому, что именно они создают правила, по которым играют все остальные!
Снизу донёсся крик его матери:
— Раджеш! Ужин! И свет в комнате выключи, электричество дорогое!
— Иду, мама! — крикнул он в ответ.
Ганеш остался сидеть на крыше в наступающей темноте, глядя на потухший экран ноутбука и яркие огни далёкого Мумбаи. Между ним и этими огнями лежали не только километры — но и пропасть миров. Раджеш с его горящими глазами и старым ноутбуком только что бросил в эту пропасть тонкий невидимый мост из кода и амбиций. Ганешу стало одновременно страшно и завидно. Ему дали имя «Ганеш» в честь индийского бога Ганеши, устраняющего препятствия, и он понимал, что всё в этом мире реально, нужно лишь приложить немного усилий.
— А вдруг у него всё получится? — сказал он вслух, поднимая голову и смотря вверх на звёзды.
В приёмной Пола, где стены мерцали голографическими диаграммами, а воздух был наполнен ароматом технологических инноваций, сидели двое. Марк, французский аристократ с седеющими висками и тростью из старинного серебра, и Томас, немецкий финансист в костюме от дорогого портного. Они ёрзали на диване из переработанного пластика, словно аристократы на табуретке из гаража.
— Этот человек выглядит как хипстер из кофейни, а не как глава хедж-фонда, — процедил Марк, нервно вращая трость между пальцами. — Где его галстук? Где хотя бы намёк на серьёзность?
— Вчера его фонд принёс семь процентов за сутки, — заметил Томас, поправляя часы стоимостью с небольшой самолёт. — Пока мы спорили о дресс-коде, он зарабатывал нам состояние.
Внезапно дверь открылась. Пол вошёл в чёрной футболке с провокационной надписью: «Деньги не воздух, но попробуй без них выживи!», держа стакан зелёного чая. Его взгляд излучал уверенность, а в глазах плясали озорные искорки.
— Серьёзность — это когда вы доверяете алгоритму, а не куску шёлка на шее, — ухмыльнулся он, словно прочитав мысли Марка. — Кстати, ваш винный фонд, Марк, только что потерял два процента. Хотите спасти своё бургундское — продавайте.
Марк побледнел, хватаясь за трость. Томас достал телефон, пряча усмешку.
— Пол, ваш фонд показал восемьдесят пять процентов доходности, — произнёс Марк, оглядывая голые стены. — Но ваши методы… это же чистой воды казино, а не финансы.
Пол рассмеялся, запуская голограмму с данными.
— Гарантии? Вы пришли не на банкет, а в лабораторию, — сказал он, указывая на мерцающие графики. — Вот ваши страховки — двенадцать миллионов транзакций в секунду. Ваш страх и жадность — наш алгоритм уже купил их… пока вы завязывали галстук.
— Мы слышали, ваш ИИ сливал наши акции, чтобы купить бразильский крипто-мусор, — возмутился Томас. — Это не инвестиции, а саботаж!
Пол встал, прищурив глаза. На экранах заплясали изображения угольных карьеров и нефтяных вышек.
— Саботаж? — спросил он. — Ваши портфели двадцать лет пожирали это. Я просто заменил лопаты на нейросети.
Марк перебирал чётки с Лазурного берега.
— Бог не простит игры с судьбами, — произнёс он. — Ваши алгоритмы… они же могут ошибиться?
Пол включил запись, где голос Януса на ломаном французском предсказывал обвал швейцарского франка.
— Ошибка — это когда вы платите два процента комиссии за надёжность, — сказал он, поворачиваясь к Марку. — Вчера Янус обвалил ваш любимый фонд шампанского на десять процентов, чтобы мы купили акции австралийских дронов. Вы получили двадцать процентов прибыли за пять часов. Грешно? Тогда кайтесь в церкви прибыли!
— Нам нужен контроль, — настаивал Томас, сжимая договор. — Хотя бы право вето на сделки!
Пол подошёл к окну.
— Контроль? — спросил он, доставая чип «красный выключатель», обёрнутый в этикетку от шато-марго. — Нажмите, и ваш капитал превратится в пыль. Или пейте вино, пока мы делаем историю.
В комнате повисла тишина.
Томас медленно подписал договор. Его лицо напоминало выражение шахматиста, проигравшего компьютеру.
— Дьявол носит Прада, — пробормотал он, — а гении носят кроссовки. Я в деле.
Марк, бледный как полотно, уронил трость.
— Пол, передайте мне бумаги, я тоже! — произнёс он, словно подписывая свой финансовый приговор.
В этот момент будущее их капиталов растворилось в воздухе, как утренний туман над Ла-Маншем, уступая место новой эре финансовых возможностей, где правила писались заново, а старые догмы превращались в пыль под ногами нового поколения финансовых гениев.
Любой специалист по кибербезопасности не раз задавал себе этот вопрос «Почему — нет ПОЧЕМУ — взломы в голливудских фильмах выглядят настолько глупо?!»
Взлом атомной бомбы в фильме «Немыслимое» (бюджет 15'000'000 долларов)
Неужели имея бюджет в десятки, а то и сотни миллионов долларов, продюсеры экономят на консультантах. Или же есть более серьёзные причины, почему агенты FBI обезвреживают ядерные бомбы с помощью Excel, а Тони Старка атакуют роботы, c кодом интернет-магазина…
Вот так выглядит взлом в фильме «Человек-утюг 2»: Кондиционеров не найдено...
Но для начала давайте вспомним голливудскую классику. как думаете, как назывался первый фильм о киберпреступлениях и хакерах?
Как назывался первый фильм о хакерах?
Правильный вариант наверняка вас поразит так же, как поразил меня…
… потому что это «Горячие миллионы», который сняли в 1968 году.
«Горячие миллионы» (1968)
Первого в истории Голливуда киберпреступника сыграл обаятельный Питер Устинов, хорошо знакомый всем киноманам по классическому образу Эркюля Пуаро.
Главный герой — самоуверенный аферист и мошенник, который пытается украсть деньги крупной страховой компании. Для этого он устраивается работать в фирму под видом компьютерного специалиста. Пользуясь внутренней документацией, хакер взламывает систему и проводит страховые выплаты подставным компаниям. В качестве получателей хакер использует имена давно умерших композиторов.
По сути, он повторяет свои прежние бухгалтерские афёры, но на новом высокотехнологичном уровне — вместо подделки документов, мошенник изменяет записи в базе данных. Впрочем, подозрительные платежи обнаруживает его коллега и самоуверенному аферисту приходится пуститься в бегство.
И хотя это было первым появлением киберпреступников на большо экране, сцена взлома системы до сих пор остаётся одной из наиболее реалистичных. Взлом происходит изнутри, сотрудником компании, который имеет непосредственный доступ к терминалам системы.
В ход идут методы социальной инженерии — хакер выдаёт себя за другого человека и использует коллег для получения важной информации.
Самое любопытное, что именно так был осуществлён первый реальный взлом компьютерной системы в реальной жизни. Первую систему безопасности придумал Фернандо Корбато в 1962. Профессор MIT придумал для пользователей имена и пароли, чтобы ограничить время, которое студенты и аспиранты могли бы работать с компьютером института. Молодому Алану Шеру это пришлось не по нраву.
Поэтому он написал программу, которая распечатала имена и пароли всех пользователей и запустил её, когда пришла его очередь работать с компьютером.
Алан Шир смотрит на список пользователей
Вряд ли создатели фильма знали об этом случае, но алгоритм будущих атак они угадали верно. Такие утечки до сих пор случаются, особенно среди новых web-сервисов. Именно поэтому не стоит использовать один и тот же пароль для разных ресурсов.
Кстати, правдоподобно выглядит быстрое обнаружения взлома — внимание привлекают крупные суммы и странные имена получателей. Принцип поиска аномального поведения и нестандартных транзакций до сих пор весьма актуален в системах обнаружения финансового мошенничества.
С работой таких алгоритмов вы наверняка сталкивались, если пытались совершить крупную покупку где-то вдалеке от своего места жительства. Банковские системы отслеживают место проведения платежа — например, если вы обычно пользуетесь картой в кафе и магазинах Мурино, покупка в бутике Дубая или Гонконга потребует дополнительного подтверждения платежа.
Сценарий фильма высоко оценили критики — в 1969 году его авторы, среди которых был и сам Питер Устинов, были номинирован на премию Оскар.
А в 1973 году прозорливость авторов фильма подтвердил и незадачливый Нью-Йоркский клерк, попытавшийся украсть в Union Dime Savings Bank 1,5 миллиона долларов.
Статья 1973 года о неудавшемся киберпреступлении
А вот зрителям тонкий британский юмор не понравился и фильм провалился в прокате. Сейчас о нём мало кто помнит. Поэтому я уверен, что большинство из вас ответило в моём опросе выбрало вариант «А» — «Военные игры».
«Военные игры» (1983)
Действительно, именно он стал первым коммерчески успешным и популярным фильмом о хакерах. Давайте разберёмся, насколько реалистичен фильм 1983 года.
На сей раз главным героем становится ученик средней школы Девид Лайтман. В начале фильма юный хакер с помощью модема подключается к серверу школы, чтобы исправить плохую оценку по биологии.
И снова на лицо социальный инжиниринг — Девид сам раскрывает способ взлома системы: «они меняют пароль раз в пару недель, но я знаю, где они его записывают».
Правда, эта фраза актуальна до сих пор? Многие пользователи хранят пароли от рабочих компьютеров на записке, приклеенной к монитору.
Это кадр из репортажа французского телеканала TV5Mond. В 2015 они буквально показали пароль от своих соцсетей в эфире.
Жирный плюс и за экранный интерфейс. Система выглядит вполне реалистично, на экране чёткие команды и инструкции, курсор мигает там, где можно вводить или изменять информацию. Примерно так выглядели подобные системы в начале 80-х. Единственная неточность — модемное соединение проходит слишком быстро. Но это вполне допустимо для художественного фильма.
Дальше по сюжету Девид пытается подключится к компьютеру разработчика электронных игр. Юный хакер не знает номер телефона к которому подключён модем этой компании, но знает город, в небольшом калифорнийском городе Саннивейл. Поэтому он запускает программу, которая по порядку обзванивает все телефоны этого города. С помощью такого перебора Девиду удаётся найти компьютер, подключённый к сети.
Этот момент тоже абсолютно реален — в начале 80-х этот приём действительно использовали первые сетевые хакеры. Кстати, после выхода фильма, такой метод стали называть «военный прозвон».
В четвёртом сезоне «очень странных дел» с помощью такого прозвона Сьюзи находит секретную базу
Правдоподобен и следующий элемент — Девид не взламывает пароль к компьютеру в лоб, а начинает собирает информацию о системе. В частности, он узнаёт имя погибшего сына создателя этой программы, и пробует его в качестве пароля.
Эта техника применяется до сих пор — прежде чем начинать грубый перебор всех возможных паролей, взломщики собирают информацию о пользователе. Часто название любимой команды, книги или кличка любимой кошки действительно используют в качестве пароля. На этом попадаются даже настоящие хакеры.
А вот дальше начинается фантастическая составляющая. Оказывается, что мальчик подобрал пароль к компьютеру министерства обороны и чуть было не начал третью мировую войну. В фильме появляется супер-компьютер с искусственным интеллектом, который понимает задаваемые вопросы, анализирует происходящее и делает выводы.
К счастью или к сожалению — но даже сейчас такие системы не существуют. Компьютеры и смартфоны научились разбирать простые голосовые запросы, но до понимания смысла им ещё очень и очень далеко.
Озадачивает и ещё один момент, ставший после выхода «военных игр» настоящим штампом. Я имею ввиду взрывающийся от перегрузки компьютеры.
Дымный экран смерти
Подозреваю, что корни этого явления стоит искать в космических операх. В популярнейшем «Стар треке» компьютеры на мостике Энтерпрайза искрят и дымят чуть ли не в каждой серии. Да и что-то похожее я видел в старых фильмах о похождениях Джеймса Бонда.
Но в фильмы о хакерах взрывные спецэффекты появились именно в «Военных играх».
Впрочем главный вопрос другой. Насколько реалистичен образ нового главного героя. К опытному мошеннику в Питера Устинова вопросов не возникает, но могли ли дети быть взломщиками правительственных систем?
Ответить на этот вопрос очень просто. В год выхода «Военных игр» Америку всколыхнул судебный процесс над участниками хакерской группы 414's. Компьютерные гении проникли в дюжину закрытых систем — от Тихоокеанского банка до национальной атомной лаборатории в Лос-Аламосе. Но настоящая охота за хакерами началась когда они взломали Мемориальный онкологический центр имени Слоуна-Кеттеринга и случайно удалили истории болезни всех пациентов. Специалистам ФБР удалось отследить номера телефонов, с которых осуществлялся взлом. Все номера начинались с регионального кода Милуоки — 414.
Тим Уинслоу — основатель 414's
В течение нескольких дней все участники 414 были задержаны. Лидеру группы — Тиму Уинслоу было 20 лет, самому младшему — Нилу Патрику — всего 17.
В силу возраста Нилу не грозил тюремный срок. Он решил извлечь выгоду из своего положения и стал настоящей медиа-звездой. За следующий год он появился в шоу Фила Донахью, обложке Newsweek и как эксперт по кибербезопасности выступал на слушаниях Конгресса США.
Рассказы Нила до боли напоминали «Военные игры». Например, он утверждал, что зачастую им даже не приходилось подбирать пароли — доступ открывался с помощью принятых по умолчанию паролей. А незащищённые компьютеры они действительно находили методом последовательного перебора.
Как авторам фильма удалось предугадать появление молодых хакеров? У них был хороший консультант — Питер Шварц. Именно преподаватель Стенфордского института рассказал создателям «Военных игр» о новом явлении.
И фильм не только рассказал о новой субкультуре, но и невероятно популяризировал её. Владельцы электронных досок объявлений (BBS, застали такие?!) обратили внимание на значительный рост посещений после выхода фильма. Молодежь действительно заинтересовалась компьютерными сетями и стала скупать модемы.
Не остались в стороне и законотворцы — уже в 1984 году Конгресс США включил компьютерное мошенничество в Comprehensive Crime Control Act, а в 1986 дополнил его Computer Fraud and Abuse Act. На них до сих пор опирается вся американская система противодействия киберпреступлениям.
Неизвестно что повлияло на них больше, шумиха вокруг 414 или огромный успех «Военных игр». Зато я знаю точно, что в прокате фильм собрал больше 70 миллионов долларов — чуть больше, чем выпущенный в следующем году «Терминатор».
«Терминатор 2» (1991)
И восстали машины из ядерного пепла...
И да, я не случайно вспомнил о роботах-убийцах. Вторая часть легендарной франшизы подарила нам ещё один яркий образ хакера. Молодой и дерзкий Джон Конор, будущий лидер человеческого сопротивления, в нашем времени обладал мечтой любого подростка — сверхкомпактным компьютером Atari Portfolio.
Правда использовал его для очень сомнительных целей — взлома банкоматов.
«Шальные деньжата!»
Создатели фильма неплохо поработали над интерфейсом программы, которая перебирает PIN-коды — после выхода фильма не один подросток прочёсывал сеть в поисках подобных устройств. Но их ждало разочарование. Устройство выглядело реалистично, но никогда в природе не существовало — совсем как шагающий погрузчик из другого фильма Камерона.
Сценаристы сознательно пошли на компромисс с реальностью. Дело в том, что на банковских картах с магнитной полосой никогда не хранился пин-код владельца. При обработке такой карты, банкомат пересылал её номер, зашифрованный пин-код в информационную систему банка и ждал подтверждение правильности авторизации. Разумеется, такие системы изначально были защищены от перебора. Если они получали от трёх до шести неправильных пинкодов подряд, банкомат получал команду не возвращать карту. Поэтому снять деньги с помощью такого оборудования у Джона Конора точно не получилось бы. Скорее он бы раздобыл краденые номера кредиток на одной из хакерских BBS и использовал их для оплаты on-line.
Сцена с кражей денег была вставлена в фильм с целью продемонстрировать инструмент, который выручит героев в более важном деле — уничтожении чипа Т1000. С его помощью Джон откроет хранилище Cyberdyne System.
Но вернёмся к вариантам ответов в моём опросе. А вы смотрели «Тихушников»?
«Тихушники» (1992)
Слепому хакеру не обязательно смотреть на экран
Это первый фильм в котором один из героев был вдохновлён конкретным и легко узнаваемым человеком. В образе Ирвина-свистуна легко угадывался знаменитый телефонный взломщик — Джозеф Энгресиа.
От рождения слепой Джозеф обладал абсолютным музыкальным слухом. Эта особенность помогает пятилетнему мальчику услышать то, на что не обращают внимание другие люди. Во время телефонных звонков в трубке слышны высокие и тихие сигналы. Джозеф пытается имитировать их с помощью свиста и через пару лет подбирает мелодию, которая открывает доступ к бесплатным междугородним звонкам. Свист имитировал служебные сигналы телефонной компании. Но эта история всплывёт лишь в конце 60-х, когда Джозефа, став студентом университета Флориды предлагал друзьям за доллар сделать телефонный звонок в любую точку мира. Друзья и придумали ему кличку Свистун.
Знаменитая статья о слепом свистуне
Большое количество неоплаченных звонков привлекло внимание инженеров телефонной компании и в 1968 Джозефа арестовывают агенты ФБР.
Но вернёмся к Тихушникам. Фильм запомнился ещё и тем, что на экране изменился подход к демонстрации взлома компьютеров. Например, при расшифровке файлов или подключению к защищёной сети на экране сначала появлялись странных символов, а затем они постепенно превращались в текст или графический интерфейс.
Б, П, О, Н, Я... Доктор, у вас кодировка сбилась!
Впервые взлом компьютерной системы превратился в красивое зрелище. И уже в следующем году мы увидели первый трёхмерный взлом.
«Парк Юрского периода» (1993)
В этом фильме юная героиня Ariana Richards вызвала не одну улыбку своей фразой «Я знаю, это -- UNIX».
Типичнейший интерфейс UNIX
Улыбался и я — интерфейс на экране совсем не был похож на любую из знакомых мне оболочек UNIX. Вот только, подбирая материалы к этому ролику, я узнал, что все это время мы зря смеялись над девочкой.
В фильме показали действительно существовавший трёхмерный графический файловый менеджер — FSN 3D. Это была экспериментальная программа для компьютеров компании Silicon Graphics. Именно эти компьютеры использовались для создания реалистичных моделей динозавров в фильме, да и метаморфозы жидкого робота из Терминатора тоже рассчитались на подобных серверах.
FSN 3D — не продакт-плейсмент, а пасхалка для своих
Так что в знаменитом фильме показали реально существующую программу. К сожалению, она так никогда и не была доведена до стабильного релиза. Зато технология, которая в ней применялась наверняка используется и в вашем компьютере — интерфейс OpenGL спустя несколько лет был лицензирован компанией Microsoft. Но настоящим праздником 3D интерфейсов стал фильм Хакеры.
«Хакеры» (1995)
Этот фильм часто ругают люди, которые не знакомы с хакерской субкультурой. Ещё бы, даже непрофессионалу понятно, что интерфейсы супер-компьютеров Гибсон больше похожи на модель города и крайне не функциональны. Взломы выглядят крайне нереалистично, а сами хакеры больше похожи на уличных хулиганов, чем на посетителей DefCon. Ну а действия вирусов — буквально выгрызающих файлы на экранах компьютеров даже комментировать не хочется.
Вирус уничтожает данные...
Вот только обвинять авторов фильма в непричастности к незнанию хакерской культуры — язык не повернётся. По всему фильму разбросаны пасхальные яйца и намёки для «своих». Тут и взлом телефонных сетей — на сей раз с помощью диктофона, отсылка к червю Мориса, история про бассейн на крыше, которая отсылает к воспоминаниям Алана Шера, реальные книги знакомые в те годы любому профессионалу. А ещё в фильме показаны массовые аресты подозреваемых в киберпреступлениях, которые действительно проводило ФБР в 1990 и 1991.
На самом деле в фильме есть даже сцена, которая демонстрирует, как выглядит настоящая работа хакера — долгие и утомительные часы изучения исходного кода, анализа системы, поиска следов и уязвимостей. Вот только чтобы зрители не уснули, её пришлось украшать абстрактными формулами и спецэффектами. Вряд ли вам бы хотелось, чтоб весь фильм выглядел именно так.
Хакеры стал первым фильмом о компьютерных преступлениях, который перенёс акцент с достоверности на зрелищность. К сожалению — ставка не окупилась. Фильм с треском провалился в прокате.
Но у другого блокбастера, который умышленно играл с понятием реальности, получилось сделать звездой кино реальную хакерскую программу.
«Матрица: перезагрузка» (2003)
В начале второго фильма культовой киберпанковской франшизы Тринити взламывает систему городского электроснабжения с помощью программы Nmap.
Nmap это утилита, которая сканирует заданный диапазон адресов в компьютерной сети. Идеологически — это всё тот же прозвон из «Военных игр». Программа последовательно посылает запросы по списку адресов, а дальше анализирует ответы. Благодаря тому, что программы по-разному реагируют на некоторые запросы Nmap позволяет определить тип и версию операционной системы, определить используемые сетевые программы, составить список оборудования — компьютеров, серверов и маршрутизаторов. Вся эта информация крайне важна для реального взлома.
После премьеры «Матрицы» Nmap прославилась едва ли не больше, чем исполнители главных ролей. Инструмент хакеров и системных администраторов стал регулярно появляться в голливудских фильмах — от «Ультиматума Борна» до «Подруг Оушена». Авторы программы даже создали страницу, посвященную фильмографии своего детища.
С другой стороны, достоверность действий Тринити вынудило Скотланд-Ярда выпустить заявление для зрителей фильма. Британская полиция официально предупредила, что попытки повторить увиденное — это уголовное преступление. Возможно, они опасались, что этот эпизод вызовет такую же волну интереса к взлому компьютерных сетей, как и в случае с «Военными играми».
Именно эта история навела меня на мысль, что многие голливудские компании умышленно идут на искажение реальных технологий в своих фильмах.
Например, вспомните «Хакеры». В финале фильма герои убегали от погони, взломав систему управления уличными светофорами. На самом деле, чтобы устроить такое, им бы даже не понадобился компьютер. Хватило бы специального инфракрасного маячка — такие до сих пор стоят на многих машинах американских спецслужб.
Маячок для создания «зелёной волны»
Человек не видит их работу, зато на их вспышки реагируют датчики, закреплённые на светофорах. Когда полиция или пожарные приближаются к ним, свет автоматически переключается на зелёный.
Инфракрасный приёмник на светофоре (чёрный цилиндр)
Разумеется, эта система не была секретом для настоящих компьютерных экспертов. А вот простым гражданам лишний раз рассказывать о ней совсем не следовало. Поэтому реальный метод использования уязвимости городских светофоров был скрыт за сценой взлома компьютерной системы.
«MR. ROBOT» (2015)
Похожие мысли посещали меня, когда я смотрел блестящий сериал о киберпреступниках — Mr Robot. По ходу действия в кадре появляется огромное количество действительно применяемых хакерами утилит и программ. Герои используют особые сборки Linux — Kali Linux, взламываю пароли с помощью John the Ripper и выманивают информацию с помощью Cryptowall.
На экранах нет бессмысленных интерфейсов, а сцены взлома по достоверности больше всего напоминают Hot Millions, разумеется с поправкой на технологии. Самым уязвимым звеном вновь становятся люди, поэтому всё большее внимание уделяется методам социальной инженерии.
Это не удивительно, к работе над фильмом привлекли настоящих экспертов в области компьютерной безопасности. Но и они допускаю интересные ошибки.
Я тебя по ip найду!
Понятно, что технические консультанты прекрасно знают, что в ip-адресе (м4, разумеется) не может быть числа 373 — это сделано специально, чтобы зрители сериала не завалили запросами реально существующий ресурс — точно по той же причине все телефонные номера в фильмах начинаются с несуществующего кода 555.
Кстати за некоторыми реальными ip-адресами в сериале скрываются любопытные сайты, пасхалки и даже сетевые квесты.
Но в некоторых моментах встречаются загадочные ошибки и неточности.
Например, главный герой часто работает в консоли с правами администратора — об этом говорит системное имя пользователя root. И при этом, вводя команды, дополняет их командой sudo. Эта команда предназначена для того, чтобы пользователи с ограниченными правами могли запускать некоторые задачи от лица пользователей с более широкими возможностями. Это странная и грубая ошибка — предполагаю она сделана умышленно, чтобы начинающие хакеры не смогли повторить то, что делает Элиот тупо копируя его команды.
Похоже создатели кино подошли к той черте, когда слишком реалистичное описание хакерских инструментов становится действительно настолько реалистичным, что начинает представлять угрозу для обычных пользователей. И сознательно откатились обратно!
Настоящий хакер может взломать инопланетный корабль и всегда вставляет USB-флешку с первого раза!
Тема беспилотников становится все более популярной в мире. Прямо сейчас, например, в Сколково, в Москве, проходит два крупнейших мероприятия, посвященных этой теме: «Архипелаг» и «Международны форум беспилотных технологий». Между тем, следует помнить, что беспилотники любого назначения, помимо традиционных для них вопросов связи и управления, также подвержены опасностям хакерского взлома, как и любой цифровой продукт.
На конференции DEF CON исследователи Чьяо-Лин «Steven Meow» Ю (Trend Micro Taiwan) и Кай-Чинг «Keniver» Ван (CHT Security) показали, как «умные» автобусы можно взломать удалённо — и последствия такого взлома могут быть куда серьёзнее, чем просто отключённый Wi-Fi.
Поводом для исследования стала бесплатная сеть в салоне автобуса. Оказалось, что один и тот же M2M-роутер обслуживает не только пассажирский интернет, но и ключевые бортовые системы — APTS (управление маршрутами, расписаниями, GPS, панелями на остановках) и ADAS (ассистенты водителя, предотвращение столкновений, контроль полосы, распознавание знаков, видеонаблюдение в салоне).
Взлом оказался проще, чем ожидалось: аутентификацию роутера удалось обойти, а из-за отсутствия сегментации сети исследователи получили доступ ко всем подключённым сервисам. Нашлись и серьёзные уязвимости — от возможности удалённого выполнения команд до MQTT-бэкдора, позволяющего подключаться к автобусу через интернет.
Демонстрация на DEF CON показала, что хакер может: отслеживать точное местоположение автобуса, подключаться к камерам с дефолтными паролями, менять содержимое информационных дисплеев, воровать данные водителей и пассажиров, подделывать показания GPS, датчиков двигателя и даже статус «не на линии», чтобы сорвать расписание.
Шифрования и аутентификации в используемых протоколах нет вообще, поэтому атаки «человек посередине» легко позволяют подменять или подделывать данные. Хотя тесты проводились в Тайване, разработчики систем предлагают интерфейсы на китайском, английском, японском и вьетнамском — значит, похожие уязвимые решения могут использоваться и в других странах. Исследователи пытались уведомить производителей — американскую BEC Technologies (роутеры) и тайваньскую Maxwin (транспортные платформы), но ответа так и не получили. Уязвимости, судя по всему, до сих пор не исправлены.
Израильская компания по кибербезопасности Zenity показала, как можно получить контроль над учетной записью ChatGPT и извлечь конфиденциальную информацию, не нажимая на ссылки со стороны пользователя.
Иллюстративное изображение ChatGPT.( фото предоставлено : SHUTTERSTOCK )
Израильская компания по кибербезопасности Zenity раскрыла первую в истории уязвимость «Zero Click» в сервисе OpenAI ChatGPT , продемонстрировав, как можно получить контроль над учетной записью ChatGPT и извлечь конфиденциальную информацию, не нажимая на ссылку, не открывая файл и не выполняя никаких преднамеренных действий со стороны пользователя.
Демонстрацию провел Михаил Бергори, соучредитель и технический директор Zenity, во время конференции Black Hat 2025, которая прошла на этой неделе в Лас-Вегасе, США.
Он показал, как хакер может использовать систему, используя только адрес электронной почты пользователя, чтобы получить полный контроль над чатом пользователя, включая доступ как к прошлым, так и к будущим беседам, изменять цели беседы и направлять чат так, чтобы он действовал от имени хакера.
В ходе лекции было продемонстрировано, как атакованный ChatGPT становится вредоносным агентом, скрытно действующим против пользователя. Исследователи отметили, как хакер мог заставить чат-бота предложить пользователю загрузить определённый вирус, дать неверные бизнес-советы или даже получить доступ к файлам, хранящимся на Google Диске, при условии, что пользователь подключен к учётной записи.
Всё это можно было сделать так, чтобы пользователь даже не заметил, что что-то пошло не так. Уязвимость была полностью устранена только после того, как Zenity сообщила о ней OpenAI .
CHATGPT (кредит: REUTERS)
Атака на ChatGPT была не единственной
В ходе конференции исследователи компании продемонстрировали, как им удалось взломать и другие популярные сервисы ИИ-агентов . В Copilot Studio от Microsoft был раскрыт способ утечки целых баз данных CRM.
В случае с Salesforce Einstein хакеры создали поддельные запросы на обслуживание, которые перенаправляли все сообщения клиентов на подконтрольные им адреса электронной почты.
Системы Google Gemini и Microsoft 365 Copilot были перепрофилированы в качестве враждебных агентов, которые применяли социальную инженерию к пользователям и передавали конфиденциальные разговоры через сообщения электронной почты и события календаря.
Инструмент разработки Cursor, интегрированный с Jira MCP, также был использован в атаке, в ходе которой вредоносные тикеты использовались для кражи учетных данных разработчиков.
Zenity отметила, что некоторые компании, такие как OpenAI и Microsoft, оперативно выпустили исправления после публикации отчёта. Однако были и такие компании, которые решили не устранять уязвимости, заявив, что это было запланированным поведением системы, а не уязвимостью безопасности.
По словам Михаила Бергори, новые вызовы связаны с тем, что сегодня агенты — это не просто помощники, выполняющие простые задачи, а цифровые сущности, действующие от имени пользователей: они открывают папки, отправляют файлы и читают электронную почту. Он отметил, что это своего рода «рай» для хакеров , поскольку существует бесчисленное множество потенциальных точек входа.
Бен Калигер, соучредитель и генеральный директор компании, подчеркнул, что исследования Zenity ясно показывают, что текущие подходы к обеспечению безопасности не подходят для реальной практики работы агентов, и что организациям следует изменить свой подход и искать специальные решения, которые позволят им контролировать и отслеживать действия этих агентов.
Компания Zenity была основана в 2021 году Беном Калигером и Михаилом Бергори. В настоящее время в компании по всему миру работает около 110 человек, 70 из которых работают в тель-авивском офисе. Среди клиентов Zenity — компании из списка Fortune 100 и даже Fortune 5.
Группировка хакеров GreedyBear применяла сотни поддельных расширений для браузеров, вредоносных программ и фальшивых сайтов для кражи криптовалют на сумму как минимум 1 миллион долларов. Эксперты из Koi Security отметили, что они подняли уровень краж монет до промышленного масштаба. Согласно данным специалистов по безопасности, большинство преступных групп сосредотачиваются на одном направлении — создают вредоносные расширения для браузеров, используют программы-вымогатели или управляют фишинговыми сайтами. В случае GreedyBear использовались все три метода атак для похищения криптовалюты, сообщили эксперты.
Группа злоумышленников создала более 150 поддельных расширений для браузера Firefox, которые маскировались под популярные криптокошельки — MetaMask, TronLink, Exodus, Rabby. Изначально эти расширения выглядели безопасными, проходили проверку и получали искусственно созданные положительные отзывы. Однако позже они превращались в инструменты для кражи — собирали введённые пользователями данные криптокошельков и отправляли их на сервер злоумышленников, сообщили специалисты по безопасности.
«Этот метод позволяет GreedyBear обходить системы защиты торговых платформ, создавая иллюзию легитимности на этапе проверки, а затем использовать уже доверенные расширения для кражи средств», — объяснили в Koi Security. Эксперты обнаружили около 500 образцов вредоносного программного обеспечения, включая шпионские программы типа LummaStealer и вымогатели вроде Luca Stealer, требующие от жертв оплату в цифровой валюте. Распространение таких программ происходило преимущественно через русскоязычные сайты с пиратским контентом.
В качестве третьего метода атаки злоумышленники использовали сеть поддельных сайтов, имитирующих сервисы криптокошельков, устройства для холодного хранения или услуги по ремонту аппаратных кошельков (например, Trezor). Эти сайты выглядели как безопасные лендинги, но предназначались только для сбора пользовательских данных, пояснили в Koi Security.
Использование искусственного интеллекта позволяло GreedyBear быстро расширять масштабы угроз и адаптироваться к меняющимся системам защиты. Это свидетельствует о переходе к «индустриальному подходу» в краже криптовалюты, отметили эксперты Koi Security. Ранее компания Check Point сообщила о кампании под названием JSCEAL, нацеленной на пользователей криптовалют: мошенники рекламируют программы, имитирующие как минимум 50 популярных приложений, включая Binance, MetaMask и Kraken.
