Comments 39
Раньше слово "хакер" звучало гордо, в нём чувствовалась борьба с несправедливостью, борьба против системы и зажравшихся корпораций. От одного этого слова появлялся азарт в глазах тех, кто изучал IT, хотелось обойти и обмануть систему не ради наживы, а ради самого процесса, почувствовать некое превосходство. Сейчас слово "хакер" уже не несёт в себе подобного фундамента, скорее оно больше ассоциируется с разрушением и бедами. А жаль.
П. С. Я понимаю, что в статье напрямую не написано про хакеров, речь про кибератаки, но одно из другого вытекает.
Вот почему веду бухгалтерию в екселе с бекапами на сиди)
Вот до чего дошли — кибератаки на фермы.
Ждем кибератаки на бордели - пропадут графики месячных, медосмотров; количества обработаных клиентов; адреса, телефоны.
Графики ерунда, а вот списки клиентов могут быть крайне ценной информацией.
Ждем кибератаки на бордели - пропадут графики месячных, медосмотров; количества обработаных клиентов; адреса, телефоны.
...а потом крыша борделя, повесит хакера с содранной заживо кожей под автомобильным мостом, чтобы все проезжающие его видели (как это случилось с хакерами, покусившимися на картель Anonymous Mexico пытаются отменить операцию, наркокартель начал охоту).
Жаль, что без технических подробностей. Неясно зачем вообще подобной технике связь вне изолированного интранета.
Ну в статье же есть некоторый намек - возможность контролировать работу устройств и просматривать отчеты с телефона .
Зато на безопасных языках®©™ написали /s
Вот висит на стенке электросчётчик. Ему можно поправить часы, по которым он отсчитывает тарифы. Но не более чем на несколько минут раз в N дней, чтобы пользователь не включал себе ночной тариф в любой момент, когда захочется. Вот и весь принцип…
Берём всё ту же «атмегу». Делаем на «страшлом ужаслом си» локальную панель управления класса «хрен сломаешь». Делаем наружу интерфейс и протокол удалённой настройки. Делаем вещи, которые в принципе нельзя сделать по удалённому протоколу (factory reset или хотя бы изменения параметров без возможности undo и без висящих уведомлений). Делаем вещи, которым можно локально настроить границы дозволенных удалённых настроек (допустим, завести в БД новую корову; вряд ли большинству это нужно делать удалённо, но если такой извращенец есть — локально это можно включить). А по умолчанию — только read-only отчёты о работе систем.
Короче, работаем исходя из вводной: юзер — идиот, телефон у него — мешок троянов и малваря, пароль у него 1234, а все флэшки, которые он суёт локально — полны вирусов.
Я вообще подозреваю, что вся эта кунсткамера работала от обычного компа с мастдаем. Странно, что все бурёнки не полегли еще в прошлый инцидент, ну вы помните (такое забудешь, как же).
Палка о двух концах. Удобство и безопасность. Как по мне любое промышленное оборудование должно сидеть внутри интранета. Если к этому оборудованию необходим доступ снаружи - этот доступ должен быть вдоль и поперёк аудирован, документирован и сертифицирован. Чтоб через него архитектурно невозможно было что-либо сделать, кроме предусмотренного и согласованного. И если это "что-то" случилось - то все подписанты выше должны огребать очень сильно.
Только такой вариант и стоить будет заметно больше. И не факт что обычный фермер будет готов столько платить.
Должно быть прозрачно. Вот вам базовый доильный аппарат с компом, который к нему кабелем подключается и отчетики показывает на ферме в кабинете или на принтере печатает. Если хотите отчетики дома на телефоне полистать в нашем приложении - вот опция, за столько то денег, стоимость опции оправдана гарантией безопасности и внешним аудитом.
Хм, а как вы думаете это обычно работает? Фермер кидает кучу денег в воздух и у него на следующий день магическим образом появляется какая-то аппаратура и инфраструктура?
Есть разные производители. У них есть разные варианты. Все эти варианты вполне себе расписаны, обьяснены и имеют документацию. Обычно есть и какие-то сертификаты. И даже если их у кого-то и нет, то несложно найти кого-то с ними.
Но 100% гарантии безопасности вам никто не даст. Риски никто на себя брать не будет. Если хотите, то страхуйте это где-то сами.
Но 100% гарантии безопасности вам никто не даст. Риски никто на себя брать не будет. Если хотите, то страхуйте это где-то сами.
Фермер покупает оборудование с услугой доступа к нему извне интранета фермы. Это услугу предоставляет производитель оборудования. Если через это ПО ломанули оборудование на ферме и убили корову - отвечать должен тот, кто оказывает услугу. В моей голове это как-то так должно работать.
Да, реальность она не всегда такая. Оборудование это может быть вообще без такой услуги, но "добрые люди" подсказали фермеру, что можно купить у провайдера услугу внешнего статического адреса, назначить этот адрес на управляющий оборудованием комп, и заходить из дома браузером отчет смотреть. В таком случае ССЗБ.
Если через это ПО ломанули оборудование на ферме и убили корову - отвечать должен тот, кто оказывает услугу
Во первых вы не знаете что там конкретно покупает фермер в каждом отдельно взятом случае. Он может покупать услугу, а может просто ему всё устанавливают, а дальше он сам.
И даже если ферм покупает именно услугу, то по дефолту тот, кто оказывает эту самую услугу, ничего фермеру не должен. А в целом он должен только то, что прописано в договоре. И если фермера что-то не устраивает, то никто его не заставляет подписывать договор.
И возможно фермеру и самому наплевать на кибербезопасность и он в принципе не хочет за такое платить. Его личное дело.
В таком случае ССЗБ.
Там в любом случае ССЗБ. Ну за исключением вариантов с мошенничеством, обманом и прочими нарушениями законов.
Фермер это даже не потребитель-частник. Это бизнес. Он должен сам понимать свои риски и что он там конкретно покупает.
Кроме того конкретно в Швейцарии 100% есть какое-нибудь "профобъединение фермеров". С кучей членов, приличным бюджетом, доступом к всевозможным специалистам и так далее и тому подобное. И в крайнем случае если что-то не понимаешь сам, то можно обратиться к ним.
Не согласен с Вами. Заниматься защитой своего продукта должен сам поставщик услуги. Фермер просто потребитель, который кнопочку нажимает и не обязан знать что там и как внутри. И даже в голове не может представить, что таким путём могут вред нанести. Если софт дырявое ведро, напрямую управляет чем-то опасным для жизни и здоровья, при этом имеет уязвимости, это халатность.
Но мы, к сожалению, не знаем технических подробностей внутри контекста этой ситуации.
Заниматься защитой своего продукта должен сам поставщик услуги.
Даже если это не нужно покупателям его услуг?
Фермер просто потребитель, который кнопочку нажимает и не обязан знать что там и как внутри.
Фермер это бизнесмен, который во что-то инвестирует свои деньги. И он должен понимать во что он инвестирует.
И если он не может разобраться сам, то это его задача найти кого-то, кто поможет ему разобраться. Или нести риски.
Если софт дырявое ведро, напрямую управляет чем-то опасным для жизни и здоровья, при этом имеет уязвимости, это халатность.
В данном случае всё что случилось это пропали данные. Неприятно и привело к убыткам в $6900. Но урон жизни и здоровью нанесён не был.
Даже если это не нужно покупателям его услуг?
Да. 2025 год на подходе. Пора бы регуляторам уже понять, что владелец фермы Джон сам не сможет настроить безопасный удаленный доступ никогда.
А разгадка одна - регуляторы в кармане у страховых, а те мхом проросли, и не готовы страховать ответственность производителя поилок - это же ему в жопу без мыла надо будет залезть, проще получить заверения о том, что уж новый то мкас точно безпроблемный и пролонгировать столетней давности договор с боенгом.
Так он и доилку сам сделать не может. И трактор. И чтобы коров лечить ему ветеринар нужен. И так далее и тому подобное.
И если ему нужен безопасный удалённый доступ, то он точно так же может кого-то нанять чтобы тот ему это сделал. Если ему это действительно нужно.
Или может он решит на это забить и просто купит себе страховку от таких случаев.
Или просто рискнёт и вообще не будет тратить деньги.
Но урон жизни и здоровью нанесён не был
Вообще-то был: погибли животные. Люди, конечно, не пострадали. Но всё-таки урон жизни и здоровью как таковым был нанесён 😉
Как мне кажется основная сторона, которой это нужно, это поставщик оборудования и услуг. Дабы клиент поменьше думал уйти к другому.
…и это тоже. Я подозреваю, что они за собой оставили возможность всё удалённо окирпичить в случае, если их крепостной что-то против воли барина сделает (скажем, показания встроенного GPS изменятся). То есть фермер деньги заплатил, но вместо этого не он оборудование купил, а производитель его купил по сути.
Во всяком случае, со всякими хайтек-станками именно так. Возможно, и бурёнки в заложниках у копрораций.
Эволюция раньше: вымирают коровы, которые не приспособились к новым условиям (убегать от волков, зимой питаться сеном и т.д.)
Эволюция сейчас: вымирают коровы, чьи хозяева не приспособились к новым условиям (делать бэкапы, менять заводские пароли и т.д.)
Электроовцы опасносте!
производителя этих роботов стоит прижать уже сейчас. "Взломщик" знал как именно навредить, т.е. нужно хоть немного разбираться во многом-разном, вангую инсайдера-разработчика которому не слишком много заплатили/выкинули на мороз.
Про отел тоже как то непонятно, коровы уже сами рожать разучились чтоли..
Коровы уже очень давно "разучились рожать". То есть без помощи со стороны это очень часто приводит к проблемам.
Взломщик просто снёс всю инфу по коровам. Ничего особо специфического он не сделал. Про отел: скорее всего история про проблемы со здоровьем коровы, которые должны были обнаружиться раньше благодаря системе, но система не работала и эти проблемы слишком затянулись. Если б не было системы, то фермер в блокнотике вел бы записи и заметил бы проблему, а так понадеялся и попал в печальную ситуацию.
ОМГ. Я вот профан в сельском хозяйстве, не знаю как именно лучше всего навредить коровам, и ни в каком многом-разном не разбираюсь. Но даже мне очевидно, что удаление пользовательских данных в подобном приложении нанесет ущерб.
Я б такого фермера уволил в день. Он коровок должен знать всех в лицо, тоесть в морду. А не сидеть в Аспене/Каршавеле/Сен-Тропе и изображать из себя бывалого ковбоя/коровьего фермера, сидя в левой приложке с якобымониторингом. Имхо.
Я б такого фермера уволил в день.
Вы конечно можете попытаться его уволить. Проблема только в том что он сам на себя работает :)
Он коровок должен знать всех в лицо, тоесть в морду.
Кому должен? Почему должен?
А не сидеть в Аспене/Каршавеле/Сен-Тропе и
И почему нет? Просто потому что вам завидно? :)
Кибератаки на фермы могут привести к смерти животных