Почему компьютерных хакеров изображают либо гениями, либо фантастическими способами?

Во- первых, фильмы нереалистичны в этом отношении . Это ничем не отличается от «реализма» увеличения камер видеонаблюдения и очистки изображений. Это просто нереалистично, но хорошо развлекает и помогает развитию сюжета.

Тем не менее, есть много людей с легко угадываемыми паролями . Я знаю множество умных людей, которые не заботятся о хороших паролях, не меняют их часто и т. д. Интеллект не является сдерживающим фактором для плохого управления паролями, и поэтому суперзлодеи и плохие парни с такой же вероятностью легко -угадывать пароли.

Если бы я попытался взломать учетную запись без грубой силы, я бы начал с простых паролей, которые легко угадать, и рассчитывал на глупость людей, которых я пытаюсь взломать. Или я бы прибегнул к социальной инженерии. «Я из службы поддержки, и мне нужно избавиться от вируса на вашем компьютере. Не могли бы вы дать мне свое имя пользователя и пароль, чтобы я мог войти в систему и сделать это?» (Вы будете удивлены, как много людей попадутся на это.)

Простой способ вызвать «добровольную приостановку недоверия» ради взлома пароля в фильмах, я предпочитаю сценарий «слабый пароль», поскольку он наиболее реалистичен.

Практически все хакерские приемы в «Девушке с татуировкой дракона» реальны и регулярно используются не только плохими парнями, но и правоохранительными органами, группами тестирования на проникновение и аудиторами безопасности.

Конечно, Голливуд драматизирует их, но в данном случае не сильно. Я руководил командами людей, которые могли делать вещи, показанные в этом фильме, и в моем смутном и далеком прошлом я делал некоторые из них сам.

Взгляните на этот вопрос о надежности пароля , чтобы получить полезную информацию о надежности пароля и о том, почему люди так плохо создают надежные пароли.

Что касается видеопотоков с камер видеонаблюдения, в настоящее время есть несколько компаний с системами, которые извлекают информацию из нескольких кадров для интерполяции/экстраполяции высококачественных фотографий. Но нет, вы не можете повернуть вид в сторону, противоположную направлению камеры (враг государства). И вы не можете масштабировать и панорамировать бесконечно (Бегущий по лезвию)

Действительно хороший пример реальных методов, используемых сегодня атакующими группами, дает серия Mr Robot. Если исключить психотические/галлюциногенные сюжетные темы, все взломы, вторжения и эксплуатации, осуществленные хакерами, реальны.

Почти в каждой парадигме компьютерной безопасности самым слабым звеном является человеческий фактор. Некоторые алгоритмы безопасности просто плохи, что помогает хакерам. Социальная инженерия и глупость имеют большое значение для того, чтобы хакеры выглядели действительно хорошо, прежде чем потребуется приостановка недоверия.

Вот интересный калькулятор , который дает вам приблизительное представление о различных сценариях вычислительной мощности и о том, сколько времени займет атака грубой силы.

Используя такой пароль, как «power», вы получаете результат менее чем за миллионную долю секунды с массивом компьютеров, предназначенных для грубой силы, и в худшем случае онлайн-атака длится менее 4 часов. С другой стороны, такой пароль, как «1We^gold», дает смоделированное время атаки 1,12 минуты с тем же суперкомпьютером, но более двух тысяч столетий с использованием атаки на основе онлайн-словаря.

Все это говорит о том, что, с одной стороны, ЛЮБОЙ пароль, который не блокирует догадки, может быть взломан в течение достаточно долгого времени или с достаточной вычислительной мощностью. Тогда возникает голливудский вопрос: легче ли убедить аудиторию в том, что пароль был слабым или что хакер имеет доступ к массиву суперкомпьютеров? Второй вариант был бы хорош для разнообразия, но обычно проблема либо просто игнорируется, либо объясняется слабостью цели.

Ну и о взломе несколько замечаний:

1. Является незаконным в США, поэтому большинство из них мошенники или просто не работают в другой сфере. Исключение составляют государственные служащие.
2. В некоторых фильмах показано, что у ФБР и ЦРУ есть команда экспертов по взлому. Конечно глупо, сначала агент ФБР и ЦРУ получает среднюю зарплату, а компьютерный эксперт может заработать двойную с меньшими усилиями. Во-вторых, работать в ФБР и ЦРУ непросто, существует несколько требований и каждый агент регулярно контролируется и проверяется, поэтому я не думаю, что кто-то захочет работать в ЦРУ вместо крупной корпорации. И, наконец, большая часть работы выполняется на стороне...
3. Начиная с 2. в некоторых программах и сервисах есть бэкдор. На самом деле, большинству сервисов требуется наличие бэкдора на случай расследования. Таким образом, проще всего взломать какую-либо систему.
4. Существуют системы с уязвимостями, которыми может воспользоваться каждый (кто знает об этом). Например, довольно легко взломать систему Windows (с физическим доступом) с помощью какой-нибудь хакерской программы (такой как CIA COMMANDER <-- лол).
5. Кроме того, это тот факт, что большинство людей используют один и тот же пароль несколько раз. Так можно собрать пароль с одного сайта (например сайта варез) и использовать этот же пароль для взлома учетной записи электронной почты.

Потому что скучно показывать хакеров инженерами. Они не показали Цукерберга как человека, который любит что-то строить — здесь та же логика. Хотя я бы считал ее Script kiddie .

Ваш вопрос вызывает много аргументов в пользу сетевой безопасности, но я попытаюсь объяснить вам самое главное, начиная с самого начала.

1) Все фильмы и книги о взломе очень нереальны, поэтому стереотип хакера - это тот, кто обычно делает все, что кто-то просит, даже взламывает системы АНБ (Агентства национальной безопасности), что совершенно невозможно.

2) Есть много способов взломать чей-то компьютер, а не просто угадать пароль (если есть протокол аутентификации на основе пароля), используя атаки грубой силы (которые занимают очень много времени, если пароли длинные и довольно случайные) или социальную инженерию . . Есть много других возможных атак, если есть слабый протокол:

• Пассивные атаки , при которых хакер может просто прослушивать канал связи, когда кто-то входит в систему, и если пароль передается в открытом виде (без криптографии), то все сделано: никакого перебора.
• Активные атаки , при которых хакеру просто нужно изменить некоторые передаваемые биты или взаимодействовать с жертвой, не зная ничего, чтобы иметь учетные данные/ключи/пароли/парольную фразу.

Помните, хакер из кино — это стереотип , который умеет ВСЕ, даже то, что в реальной жизни не так просто, а иногда и вовсе невозможно.

Не всегда, как насчет явной и настоящей опасности :

«В фильме компьютерный гений ЦРУ Пити (Грег Джерманн) взламывает пароль жертвы лодки, вручную угадывая комбинации чисел дня рождения семьи жертвы». — IMDB

Позже он говорит что-то о необходимости написать программу для взлома другой учетной записи кого-то с лучшей / более высокой учетной записью ЦРУ (я думаю, Риттера).

Мой ответ связан с личностью большинства людей, которые овладевают такими навыками. Интроверты .

Интроверты, как правило, набирают более высокие баллы в тесте IQ, потому что их личность лучше подходит для мышления и решения абстрактных задач. Им действительно нравятся такие виды деятельности. Это заставляет их чувствовать себя хорошо. Это мотивирует их. Похоже, она классический интроверт, как и большинство хакерских персонажей в фильмах. Говоря о себе, я знаю, что могу тратить 20 часов в день на изучение того, как работают разные вещи.

Насколько легко взломать что-то, это зависит от того, насколько хорошо вы подготовились / практиковались. То, что вы видите в фильме, — это человек, вы не видите 3 года, которые она могла потратить на написание программ, построение сетей и проверку своих навыков. Мне кажется, что она не особо работала до фильма и делала то, что ей нравилось. У нее может быть 10-летний опыт взлома систем. Возможно, она на самом деле не взламывает систему в фильме, просто получая доступ через черный ход, на создание которого ушло 6 месяцев.

Если вы хотите понять, насколько легко получить доступ, это программные инструменты, которые вы можете скачать бесплатно прямо сейчас . У них есть предварительно загруженные наборы атак для взлома определенных типов программного обеспечения. Даже умеренно осведомленный человек сможет понять, как использовать это программное обеспечение. Высоко мотивированный человек мог бы сделать с ним довольно много.

Слабой стороной большинства систем безопасности являются люди, которые их используют. Если вы знаете их достаточно хорошо, получить доступ довольно легко.

Один простой способ взглянуть на это так: хакерство настолько плохо понимается населением в целом, что хакеры рассматриваются либо как бугимены, либо как волшебники. Несмотря на это, взлом является чистой магией черных искусств (в их представлении), и фильмы обычно изображают его именно так.

Это приводит ко всей ерунде, которую вы видите на экране:

• «Гидра» Хью Джекмана в «Рыбе-мече» — это волшебник, который варит сложное зелье, которое нужно правильно варить и которое продолжает шипеть в кастрюле.
• Вирус в «Дне независимости» — это волшебник, использующий свою магию против царства с другого плана.
• Финальный хак в Hackers — это дуэль между волшебниками.
• и т.п.

Опытные пользователи становятся могущественными, накапливая инструменты

Лучшим ответом на самом деле является «голливудская магия» : кропотливая работа по разработке программного обеспечения не выглядит захватывающей для наблюдателя, и поэтому кинематографисты ищут сильно визуальные метафоры, которые, как они надеются , улавливают суть, если не истинную форму. деятельности. Иногда им удается уловить измерения, которые имеют значение для их истории, так, чтобы это было честно, если не буквально, как в Swordfish. В других случаях они производят что-то заведомо абсурдное и комично глупое, как и в «Рыбе-мече». Я думаю, что, вероятно, не существует единственного лучшего способа представить работу программного обеспечения в фильмах, потому что цели повествования и контекст имеют очень большое значение.

Но это не единственная причина, по которой хакеры и программисты в художественной литературе, кажется, так легко обладают такой большой властью.

В реальном мире люди, которые много лет работают с программным обеспечением, собирают инструменты, которые помогают им выполнять обычные задачи быстрее, лучше и проще. Программисты полагаются на повторное использование и автоматизацию для повышения своей производительности.

Учтите: в первый раз, когда я пытаюсь угадать чей-то пароль, мне, вероятно, придется написать программу с нуля, которая может генерировать все возможные варианты, а затем написать еще одну программу, которая может принять индивидуальное предположение и фактически проверить его, а затем мне придется подключить их вместе.

Во второй раз, когда я пытаюсь угадать чей-то пароль, я, вероятно, смогу повторно использовать первую программу и, возможно, смогу повторно использовать вторую программу, если их учетная запись находится в той же системе, что и первая учетная запись.

...

В 50-й раз, когда я хочу взломать чей-то пароль, я запускаю свою программу CollectTargetPersonalInfo , которая очищает Google, Facebook, LinkedIn, Instagram и Twitter, чтобы попытаться собрать любую общедоступную информацию о цели — полное имя, дату рождения, ближайшие фамилии и т. д. -- который затем генерирует "целевой профиль", который моя программа PasswordGuesser использует для определения приоритетов различных областей пространства ключей.

...

В 700-й раз, когда я хочу взломать чей-то пароль, я просто отправляю электронное письмо с его именем на мой PasswordCrackerBot, который работает в облаке. Он добавляет имя в список людей, которых исследует и пытается взломать. Когда он, наконец, преуспевает или блокируется, он отвечает на мое электронное письмо с результатами.