![](https://habrastorage.org/getpro/habr/upload_files/494/205/745/494205745929a5edfc3f8194ad533bd6.jpg)
Хакеры в кино — сверхлюди, которые по щелчку мыши могут взломать автомобиль, запустить «киберракету» и вычислить юрлицо через командную строку. Сцены взлома сопровождаются звуковыми и визуальными эффектами, которые вызывают если не смех, то ироническую улыбку у всех, кто в теме.
Меня зовут Артемий Богданов, я Chief Hacking Officer в Start X. Находил слабые места в приложениях Uber, Yahoo и ВКонтакте, участвовал в CTF и регулярно провожу пентесты. За годы работы убедился, что реальные кибератаки выглядят совсем не так красочно, как в кино. Никаких сирен и экранов с мигалками.
Этой статьей я бы хотел развеять миф о всесильности хакеров и объяснить, как этот миф мешает внедрению культуры кибербезопасности в компаниях.
Под катом — четыре сцены взлома из фильмов с подробным разбором их правдоподобности. В заключении порассуждаем, почему легенда о всемогущих хакерах мешает сотрудникам защищать свои данные в сети и как помогает организаторам кибератак.
«Касл»: битва хакеров, котики и киберъядерная бомба
В этой сцене прекрасно все: кубики Рубика с цифрами и рунами, индикаторы прогресса атаки, четкое количество файрволов, спам-видео с котятами, наводящая ужас озвучка взлома и даже киберъядерная бомба, уничтожающая систему. Поединок хакеров проходит на сверхсветовых скоростях и заканчивается в течение пары минут.
А что в реальности?
Увы, юзер-френдли атак не существует. Зрители привыкли к насыщенным спецэффектами сценам, где все сразу узнают о проблеме: звучат сирены, мигает свет, а на экране появляется огромное оповещение о хакерской атаке.
Если в компании есть SOC с процессами выявления и автоматизированного реагирования, похожие оповещения возможны. Конечно, никаких сирен не будет и оповещение появится только если на атаку настроен сценарий реагирования. В реальной жизни сотрудники SOC анализируют огромное количество подозрений на инциденты, сопоставляя данные из различных источников, и только малая часть из них переходит в категорию подтвержденных инцидентов.
![Вас кто-то взломал! Вас кто-то взломал!](https://habrastorage.org/getpro/habr/upload_files/a0b/869/a00/a0b869a004fc3f9f44b8b7ede052ec8c.png)
Чаще всего взлом происходит незаметно для жертвы и узнать о ней могут спустя несколько месяцев. Хакеры изучают средства защиты компаний, IDS и IPS, проверяют вредоносное ПО на обнаружение антивирусами, чтобы они не сработали и не среагировали на атаку.
Если вторжение все-таки обнаружено, компоненты SOC могут визуализировать цепочку атаки, но только ее техническую часть — никаких черепов, пиратских флагов и прочей свистопляски. Давайте посмотрим, как атака может выглядеть для обычного пользователя.
![Предупреждение браузера об опасности Предупреждение браузера об опасности](https://habrastorage.org/getpro/habr/upload_files/2a3/39e/a77/2a339ea7759fa210d7d279f3ad522631.jpg)
Так выглядит экран браузера при популярной атаке «человек посередине» (Man-in-the-middle). Злоумышленник внедряется между компьютером и сайтом, к которому пользователь пытается обратиться по HTTPS. Если пользователь проигнорирует предупреждение и перейдет на такой сайт, хакер сможет перехватить введенные данные банковских карт, логины и пароли — и человек этого даже не заметит.
![Как режиссеры видят хакерскую атаку Как режиссеры видят хакерскую атаку](https://habrastorage.org/getpro/habr/upload_files/e36/30a/22e/e3630a22eb15e7970113cbf8d3197d61.jpg)
Еще одна любимая кинематографистами вещь — прогресс-бары, на которых жертва атаки с ужасом отсчитывает оставшиеся до взлома секунды. Такие сцены помогают создать напряжение, но не имеют отношения к реальности.
Прогресс-бары могут отображаться на стороне злоумышленника при работе с «конечными» процессами: брутфорсом, дирбастингом. Но и в этом случае индикатор будет показывать не оставшееся до взлома время, а количество паролей или каталогов, которые осталось попробовать.
Чаще всего картинка со стороны хакера выглядит примерно так:
![Отображение портов в Zenmap Отображение портов в Zenmap](https://habrastorage.org/getpro/habr/upload_files/c12/c3a/029/c12c3a029c05bf278cc63e177639fbd3.jpg)
Если все же очень хочется добавить в хакерские будни эпичности, можно использовать графический интерфейс Armitage:
![Отображение объектов в Armitage Отображение объектов в Armitage](https://habrastorage.org/getpro/habr/upload_files/e1c/8ea/d30/e1c8ead3046b2403b93562270fd3920a.jpg)
Armitage — дополнительный инструмент для Metasploit
Обойти файрволы щелканьем клавиш не получится. В сцене хакер за секунды открывает все файрволы системы как замочки в игре. На экране написано, что каждую защиту хакер снимает с помощью загадочной расшифровки, хотя обход файрвола не имеет отношения к криптографии.
![Пронумерованные файрволы — удобно Пронумерованные файрволы — удобно](https://habrastorage.org/getpro/habr/upload_files/c03/bcb/fae/c03bcbfae9eb4dfd2d8fbc05ba15717a.png)
Хакер действительно может проникнуть в систему компании через внешний периметр, но обходить он будет не файрволы, а IDS, IPS и WAF. Потратить на это можно от пары часов до нескольких месяцев. «Обойти файрвол» в сценарии атаки будет означать найти уязвимость в каком-то сервисе, который не блокируется файрволом, и через него проникнуть дальше в сеть.
Отбить атаку мошенника в реальном времени тоже получается не всегда. Пока Кейт с напарником пытаются выследить взломщика по IP, хакер Хейли запускает и контратаку, чтобы усложнить жертве поиски. Называть это контратакой не совсем корректно, так как Хейли изначально была атакующей.
![Нажмите кнопку, чтобы начать атаку Нажмите кнопку, чтобы начать атаку](https://habrastorage.org/getpro/habr/upload_files/de1/d63/d53/de1d63d53d70a584b646146b7e1c12cd.png)
Если посмотреть на контратаку как на оборону со стороны жертвы, чисто теоретически использование обратного взлома (Hacking back) возможно. Я проводил небольшое исследование, где разбирал два инструмента анализа защищенности сайтов — искал в них уязвимости и делал сайты, которые при попытке сканирования взламывают того, кто их сканирует. Но сделать это по волшебной кнопке в момент взлома вряд ли получится.
Перегрузить систему хакера можно, но не так кинематографично. Перепробовав все уловки, напарник Кейт решат запустить в компьютер Хейли «кибербомбу», которая должна «поджарить систему». В сцене ракета приземлилась удачно и выкинула хакера из системы.
![Запуск хакерской ракеты Запуск хакерской ракеты](https://habrastorage.org/getpro/habr/upload_files/d54/003/af2/d54003af2005552d5ff8af72ef0584d7.png)
Трудно сказать, как работает киберъядерная бомба в этом сериале, но в реальности ее аналогом вполне могла выступить форк-бомба.
![Как бомба клонирует сама себя Как бомба клонирует сама себя](https://habrastorage.org/getpro/habr/upload_files/0c6/59b/462/0c659b4624c9fdedf3bcad4ca08ef15d.jpg)
Форк-бомба — один из вариантов атаки на отказ в обслуживании (Denial of Service, DoS). После запуска программа начинает создавать свои копии, которые создают новые копии, и так до бесконечности, пока ресурсы системы не закончатся. Форк-бомба действительно помогает быстро вывести чужой компьютер из строя, но ни к каким серьезным последствиям это не приведет — все решается обычной перезагрузкой. Может, и к лучшему, что Хейли об этом не знала.
Если не зацикливаться на ассоциациях со взрывами, и предположить, что у Кейт с напарником уже был доступ к компьютеру Хейли, они могли бы очистить или отформатировать жесткий диск и, тем самым, вывести его из строя.
Единственное, что не вызывает вопросов в плане визуальной достоверности — видео с котиками. Их действительно можно запустить при взломе, если очень хочется.
Правдоподобность: 2/5 (за котиков)
«Возвращение Мухтара»: вычисляем данные через ipconfig
Базовый функционал любого кинохакера — вычислить кого угодно по IP. Самые продвинутые могут по IP-адресу выяснить юрлицо, которому он принадлежит. И все с помощью суперкоманды ipconfig.
![Команда ipconfig или «шзсщташп» на русскоязычной раскладке — секретный код вычисления IP Команда ipconfig или «шзсщташп» на русскоязычной раскладке — секретный код вычисления IP](https://habrastorage.org/getpro/habr/upload_files/9cb/39c/ea2/9cb39cea207614660f946503b24bf6b3.jpg)
А что в реальности?
В реальности получить информацию о постороннем IP-адресе с помощью ipconfig невозможно. Даже если предположить, что у следователя в руках была распечатка электронного письма, и паренек смог вытащить кое-какие технические данные из заголовков:
![](https://habrastorage.org/getpro/habr/upload_files/c12/553/ef7/c12553ef77e31a7bede085c79c454f3f.jpg)
Если у локального почтового сервера постоянный IP-адрес и письмо отправляли с него, теоретически хакер может вычислить IP-адрес такого сервера, затем взломать его, найти в логе IP-адрес, с которого подключался отправитель, а затем попытаться определить город и провайдера. И тут появляется большое количество ограничений:
отправитель мог использовать VPN-или прокси, тогда IP-адрес в логах не даст информации о его расположении;
даже если отправитель не настолько продвинутый, чтобы добраться до IP-адреса устройства отправителя, нужно взломать его почтовик и добраться до логов — в заголовках полученного фигурирует только имя или IP-адрес почтового сервера отправителя, а не его устройства;
если реальный IP-адрес отправителя все-таки удалось узнать, какую-то информацию о нем получить можно, но не с помощью ipconfig, а с помощью whois. Только этой утилиты нет в стандартной установке Windows.
Полученные из whois сведения могут быть достаточно подробными, например:
az@Silenz:~$ whois 46.0.192.92
% This is the RIPE Database query service.
(…)
inetnum: 46.0.192.0 - 46.0.199.255
netname: ESAMARA-PPPOE-17-NET
descr: CJSC "ER-Telecom" Company" Samara
descr: Samara, Russia
descr: PPPoE individual customers network
country: RU
(…)
org-name: JSC "ER-Telecom Holding" Samara Branch
org-type: OTHER
descr: TM DOM.RU, Samara ISP
address: Partizanskaya str., 86
address: Samara, Russia, 443070
phone: +7 (846) 202-88-78
fax-no: +7 (846) 202-88-78
(…)
role: ER-Telecom Samara ISP Contact Role
address: AO "ER-Telecom Holding" Samara Branch
address: Nikitinskaya, 53
address: 443041 Samara
address: Russian Federation
phone: +7 846 277-88-98
fax-no: +7 846 277-88-98
(…)
% Information related to '46.0.192.0/22AS34533'
route: 46.0.192.0/22
origin: AS34533
org: ORG-CHSB3-RIPE
descr: CJSC "ER-Telecom Holding" Samara branch
descr: Samara, Russia
(…)
% This query was served by the RIPE Database Query Service version 1.109.1 (BUSA)
Выдача whois может показать, на какое юрлицо зарегистрирована автономная система с этим блоком IP-адресов — в данном случае это провайдер Эр-Телеком. Только использовать эту информацию для точного вычисления местоположения не получится — хакер может установить прокси на уязвимом роутере абонента Эр-Телеком.
Тратить время на «пробитие» IP-адреса нет смысла. Данные о человеке находят в открытых источниках с помощью OSINT-инструментов, сливов из сервисов доставки и кадровых баз. Хакеру достаточно вытащить из заголовков письма информацию об отправителе, сопоставить с данными из утечек, а оттуда взять все, что интересует — от ФИО и адреса до паспортных данных.
Правдоподобность: 1/5
«Человек из Рима»: волшебный набор команд для защиты от взлома
Хабр не пропустил шортс со сценой, поэтому прикрепили ссылку с таймкодом на полный фильм — для просмотра нужно перейти в Ютуб.
Здесь опять классика: всплывающие окна, заботливый UI с визуализацией защиты системы и возможность следить за взломом через терминал. Режиссер даже дал возможность подглядеть, при помощи каких команд ИБ-специалисты Папы Римского останавливают атаку.
А что в реальности?
Визуализация взлома здесь более щадящая, чем в «Касле», но к набору секретных команд есть вопросы. Разберем по порядку.
![Последовательность атаки Последовательность атаки](https://habrastorage.org/getpro/habr/upload_files/35f/f3b/3f2/35ff3b3f2c122f95043bffbd04d93e58.png)
Первой команды не существует в принципе. Возможно, герои пытались куда-то подключиться, но у них ничего не вышло. Вторая команда — опять всемогущий ifconfig. Уверен, испанские режиссеры вдохновлялись «Мухтаром», но у них не было компьютера с Windows.
![Проходимся по серверам Проходимся по серверам](https://habrastorage.org/getpro/habr/upload_files/043/281/547/043281547bb3da2d8337fddbdf365065.png)
Атака в самом разгаре
![Почти запустили traceroute Почти запустили traceroute](https://habrastorage.org/getpro/habr/upload_files/134/444/a4a/134444a4a50a4b094a438823e6e8d817.png)
Дальше ватиканские специалисты ИБ вводят команду traceroute, которая могла бы показать маршрут пакетов TCP/IP. Но только если бы ей передали правильный параметр, а не тот, что на экране.
В traceroute можно передать домен или IP-адрес, но параметр «</span>vsp.src@172.168.105.1</span>» на экране не относится ни к тому, ни к другому. Строка больше похоже на попытку скрестить UNC-путь из Windows (\server\folder) c SSH-подключением, когда в качестве параметра SSH передаются имя пользователя и адрес сервера через «@» (user@1.1.1.1 или user@server.com).
Вторая и третья команды даже не команды — их напечатали для зрителя, чтобы мы поняли, что у хакера все получается. А вот четвертая команда выглядит интереснее. Возможно, они написали скрипт, который проверяет сервер. Кроме того, программы в Linux действительно можно запускать через «./название_программы», если скрипт находится в текущей директории.
Видно и название выдуманного сервиса на якобы уязвимом сервере — vsSERVERd версии 2.2.4. Кажется, здесь пытались провести аналогию с vsFTPd версии 2.3.4. У этого сервера есть публичный эксплойт, который позволяет выполнить произвольный код на уязвимом сервере.
![Почти удавшаяся атака Почти удавшаяся атака](https://habrastorage.org/getpro/habr/upload_files/81d/8ed/3b3/81d8ed3b30b6a5d16520e5e133d34ed4.png)
На основном экране хакера мы видим команду cat и какую-то пародию на сетевой интерфейс (/dev/eth0 или что-то типа). Режиссер пытается показать, что с помощью этой команды хакер подключился к секретному терминалу. Об этом зрителю говорит следующая после команды строка «You accessed…».
Только вот команда cat имеет совершенно другую функциональность — в таком виде она могла бы вывести содержимое файла с именем «173.140.167.1:TopSecTerminal000.dir» из поддиректории dev:
![Я хакер! Я хакер!](https://habrastorage.org/getpro/habr/upload_files/a60/a24/b80/a60a24b805051742ee06b0c2ec69f6cd.png)
Могла бы, если бы не ключ -a, которого настоящая команда cat не знает:
![Попробуйте еще раз Попробуйте еще раз](https://habrastorage.org/getpro/habr/upload_files/720/339/7b0/7203397b0f85019327fb1374449f73a8.png)
![Логинимся для финальной атаки Логинимся для финальной атаки](https://habrastorage.org/getpro/habr/upload_files/eb0/a5f/217/eb0a5f217aae6d4d1b81df8d502e705b.png)
Далее хакер вводит команду подключения SSH, и это выглядит вполне реалистично. Такой командой можно подключиться по нестандартному порту — 6350 в нашем случае. Обычно SSH находится на порту 22, но чтобы добавить псевдобезопасности, его иногда переносят на другой порт. Это позволяет защититься от массового сканирования стандартных портов сетевых сервисов.
Единственное но: пароль в такой ситуации мы бы не увидели. А еще мы почему-то не увидели результата подключения к серверу и остались там, где были. А дальше снова видим команду cat с несуществующим ключом -a. Но зачем она выполняется, нам не показали.
Правдоподобность: 3/5
«Форсаж 8»: страшный сон владельцев Теслы
Злоумышленникам удалось привести в движение сотни машин — от такси до новеньких электрокаров в салоне. При этом даже не понадобилось подключение к общей сети.
А что в реальности?
Теоретически это возможно, но чтобы добиться такого результата, хакерам бы пришлось провести много исследований и собрать огромную библиотеку уязвимостей по каждой марке, модели и году выпуска всех автомобилей в городе. Возможно, еще пришлось бы купить и протестировать некоторые автомобили, не превратив их в «кирпич» при неудачном анализе безопасности.
![Все электрокары города как на ладони Все электрокары города как на ладони](https://habrastorage.org/getpro/habr/upload_files/41a/ac2/42e/41aac242efc9e293be67e056c16e3141.png)
Представить себе программу, способную моментально взять под контроль транспорт целого города, сложно. Но единичные случаи были.
В 2009 году исследователи General Motors дистанционно управляли тормозами и двигателями машин.
В 2015 году Чарли Миллер и Крис Валасек дистанционно взломали джип Cherokee — в движущейся машине они включили музыку, кондиционер и дворники, а затем замедлили авто до 10 км/ч.
В 2016 году специалисты Tencent Keen взломали Tesla Model S. Для атаки они проэксплуатировали сложную цепочку уязвимостей, которая позволила скомпрометировать компоненты сети автомобиля и внедрить вредоносные CAN-сообщения. В 2017 году машину снова взломали даже после усовершенствования.
В 2018 году специалисты Tencent Keen продемонстрировали две атаки на автомобили BMW. Первая атака использовала удаленное выполнение кода в BMW ConnectedDrive через перехват HTTP-трафика. Вторая атака эксплуатировала уязвимости TCB через незащищенные SMS.
Правдоподобность: 4/5
Выводы
Давайте подведем итог и сформулируем, почему проникший в массовое сознание образ всесильных хакеров — это не просто безобидный стереотип, а настоящая проблема.
Помните, что такое выученная беспомощность? Ее еще называют «верой в собственное бессилие». Человек, переживший травмирующие события и не сумевший с ними справиться, бессознательно верит, что он не в силах изменить ничего в своей жизни.
Проблема в том, что такие события совсем необязательно переживать лично. В фильмах год за годом эксплуатируют образы непобедимых хакеров в капюшонах. Перед такими «спецами» заведомо опускаются руки — какой смысл забивать себе голову, если хакеры все равно все взломают?
И если на бытовом уровне такое отношение угрожает одному человеку и его семье, на уровне компаний ситуация гораздо опаснее.
Представьте: руководитель ИБ-подразделения приходит к директору утверждать бюджет на год. Директор, убежденный, что хакеры могут взломать что угодно, скептически рассматривает перечень закупок и вычеркивает их одну за другой. Зачем тратить деньги компании на обучение сотрудников и новые системы защиты, если хакеры все равно нас взломают? Лучше застраховать киберриски и выписать премию отделу продаж.
Легендами о хакерах успешно пользуются и сами киберпреступники, когда организуют атаки на компании. Самым эффективным методом взлома все еще остается социальная инженерия, а не взлом через технические уязвимости. Из-за небезопасного поведения взламывают 56% организаций и 83% частных лиц. Поэтому сотрудникам важно не признавать бессилие перед хакерами, а тренировать насмотренность в части фишинга, уметь выявлять атаки и правильно действовать, чтобы предотвратить их.
Научиться распознавать вредоносные действия и проверить знания на практике можно с помощью тренажера противодействия цифровым атакам Start AWR. В нем мы собрали десять практических заданий по актуальным схемам атак на людей и объяснили, что делать с подозрительными письмами.