Blog Lukatsky securitatea informațiilor. De ce nu poți blog ca Lukatsky? Cum să îmbunătățiți siguranța vehiculului
Lucrez în domeniul securității informațiilor din 1992. A lucrat ca specialist în securitatea informațiilor în diverse guverne și organizatii comerciale. A evoluat de la un programator și administrator de software de criptare la un analist și manager de dezvoltare a afacerii în domeniul securității informațiilor. Avea o serie de certificări în domeniul securității informațiilor, dar a încetat să mai urmărească insigne. Momentan, dau totul lui Cisco.
A publicat peste 600 de lucrări tipărite în diverse publicații - „CIO”, „Director Serviciul Informațional”, „Jurnalul Bancar Național”, „PRIME-TASS”, „Securitatea Informației”, „Cnews”, „ Tehnologii bancare”, „Analytical Banking Journal”, „Afaceri online”, „World of Communications. Conectare”, „Rezultate”, „Gestionare rațională a întreprinderii”, „Fuziuni și achiziții”, etc. La mijlocul anilor 2000, el a încetat să-și mai numere publicațiile ca pe un exercițiu zadarnic. În prezent, conduc un blog pe Internet, „Business Without Danger”.
În 2005 a fost distins cu Asociația de Telecomunicații Documentare „Pentru Dezvoltarea Infocomunicațiilor în Rusia”, iar în 2006 - Premiul Infoforum în nominalizarea „Publicația Anului”. În ianuarie 2007, a fost inclus în ratingul a 100 de persoane de pe piața IT din Rusia (pentru care nu am înțeles). În 2010, a câștigat competiția Lei și Gladiatori. În 2011, a primit o diplomă de la Ministrul Afacerilor Interne al Federației Ruse. La conferința Infosecurity a primit de trei ori Premiile de Securitate - în 2013, 2012 și 2011 (pentru activități educaționale). Pentru aceeași activitate, sau mai degrabă pentru blogging, a primit în 2011 Anti-Premiul Runet în nominalizarea „Safe Roll”. În 2012, a fost premiat de Asociația Băncilor Ruse pentru marea sa contribuție la dezvoltarea securității sistemului bancar rusesc, iar în 2013, la forumul Magnitogorsk, a primit un premiu „Pentru sprijin metodologic și realizări în domeniul securității bancare. ." Tot în 2013 și 2014, portalul DLP-Expert a fost desemnat cel mai bun vorbitor despre securitatea informațiilor. În perioada petrecută la Cisco, a primit și o serie de premii interne.
În 2001, a publicat cartea Attack Detection (a doua ediție a acestei cărți a apărut în 2003), iar în 2002, în colaborare cu I.D. Medvedovsky, P.V. Semyanov și D.G. Leonov - cartea „Atacul de pe internet”. În 2003 a publicat cartea „Protejează-ți informațiile cu detectarea intruziunilor” (la data de 2003). Limba engleză). În perioada 2008-2009, a publicat pe portalul bankir.ru cartea „Mituri și eșecuri ale securității informațiilor”.
Sunt autorul a numeroase cursuri, printre care „Introducere în detectarea intruziunilor”, „Sisteme de detectare a intruziunilor”, „Cum se leagă securitatea cu strategia de afaceri a unei întreprinderi”, „Ce se ascunde legea datelor cu caracter personal”, „ISIS și teoria organizațională” , „Măsurarea performanței securității informațiilor”, „Arhitectura și strategia de securitate a informațiilor”. Susțin prelegeri despre securitatea informațiilor în diverse institutii de invatamant si organizatii. A fost moderatorul conferinței ecou RU.SECURITY în rețeaua FIDO, dar a abandonat această afacere din cauza exodului majorității specialiștilor către Internet.
Pentru prima dată în presa rusă am abordat subiectul:
- Securitatea informațiilor de afaceri
- Securitatea fuziunilor și achizițiilor
- Măsurarea eficienței securității informațiilor
- Securitate SOA
- Securitatea sistemului de facturare
- Sisteme înșelătoare
- securitatea telefoniei IP
- Securitatea sistemului de stocare a datelor
- Securitate hotspot
- Securitatea centrului de apeluri
- Aplicații ale centrelor de situație în securitatea informațiilor
- Spam pe mobil
- Securitatea rețelei operatorului de telefonie mobilă
- Și multe altele.
Căsătorit, crescând un fiu și o fiică. Încercând timp liber se dedică familiei, deși munca epuizantă în beneficiul Patriei și angajatorul nu lasă aproape un astfel de timp. Un hobby care s-a transformat într-un loc de muncă, sau o meserie care a devenit un hobby, este scrisul și Securitatea informațiilor. Sunt implicat în turism încă din copilărie.
PS. Fotografii pentru publicații pe Internet (descărcare de mai sus sau prin
Invitatul nostru de astăzi este Alexey Lukatsky, un cunoscut specialist în securitatea informațiilor și consultant de afaceri la Cisco. Subiectul principal al conversației a fost extrem de zona interesanta- siguranța mașinilor moderne și altele Vehicul. Dacă doriți să știți de ce dronele sunt sparte chiar mai des decât mașinile și de ce producătorii de mașini agricole blochează reparațiile neautorizate ale mașinilor lor la nivel de firmware, citiți mai departe!
Despre siguranța mașinilor moderne
Există o concepție greșită periculoasă printre majoritatea oamenilor că o mașină este ceva unic, diferit de un computer obișnuit. De fapt, acest lucru nu este adevărat.
În Israel, Cisco are o divizie separată care se ocupă de securitatea cibernetică auto. A apărut după achiziția unuia dintre startup-urile israeliene care lucrează în acest domeniu.
O mașină nu este diferită de o casă sau rețeaua corporativă,
după cum o demonstrează diverse studii care examinează ce poate face un atacator unei mașini. Se pare că mașinile au și computere, doar că sunt mici și discrete. Se numesc ECU (Electronic Control Unit) și sunt zeci de ele într-o mașină. Fiecare geam electric, sistem de frânare, monitorizare a presiunii în anvelope, senzor de temperatură, încuietoare ușii, sistem informatic de bord și așa mai departe sunt toate computerele, fiecare dintre ele controlând propria lucrare. Prin astfel de module de computer, puteți schimba logica mașinii. Toate aceste module sunt combinate în o singură rețea, lungimea cablurilor se măsoară uneori în kilometri, numărul de interfețe este în mii, iar volumul de cod este de milioane de linii pentru un computer de bord obișnuit și, în general, toată umplutura electronică (sunt mai puține). într-o navă spaţială). Potrivit diverselor estimări, până la 40% dintr-o mașină modernă este electronică și software. Volumul de software în mașinile premium este de până la un gigaoctet.
Nu țin cont de producția industriei auto ruse, unde, din fericire (din punct de vedere al siguranței), nu există o umplutură serioasă de computer. Dar dacă luăm în considerare aproape toți producătorii auto străini, atunci toți computerizează acum chiar și cele mai bugetare modele ale mașinilor lor.
Da, sunt computere în mașini. Da, au propriile protocoale de schimb de date, care nu sunt ceva secret: te poți conecta la ei, intercepta date și le modifici. După cum arată cazuri din practica producătorilor precum Toyota, Chrysler Jeep, GM, BMW, Chevrolet, Dodge și Mercedes-Benz, atacatorii au învățat destul de bine să analizeze ce se întâmplă în interiorul mașinii, au învățat să analizeze interacțiunea dintre lumea exterioară cu mașina. Experții estimează că 98% din toate aplicațiile software testate din mașini (și oferă până la 90% din toate inovațiile) au defecte grave, iar unele aplicații au zeci de astfel de defecte.
Acum, în cadrul diferitelor proiecte din Europa și America, sunt create așa-numitele drumuri inteligente.(de exemplu, proiectele EVITA, VANET, simTD). Acestea permit mașinii să comunice cu suprafața drumului, semafoare, parcări, centre de control al dispecerelor trafic. Mașina va putea mod automat, fără intervenție umană, gestionați traficul, ambuteiajele, parcările, încetiniți, primiți informații despre incidentele din trafic, astfel încât navigatorul încorporat să poată reconstrui în mod independent traseul și să direcționeze mașina de-a lungul autostrăzilor mai puțin aglomerate. Toată această interacțiune acum, din păcate, are loc într-un mod aproape neprotejat. Atât mașina în sine, cât și această interacțiune aproape că nu sunt protejate în niciun fel. Acest lucru se datorează concepției greșite obișnuite că sistemele de acest fel sunt foarte greu de studiat și de puțin interes pentru nimeni.
Există și probleme legate de afaceri.În afaceri, oricine ajunge la piață primește reguli. În consecință, dacă producătorul a fost primul care a lansat o anumită noutate pe piață, el a luat o cotă mare pe această piață. Prin urmare, securitatea, care necesită mult timp pentru implementare și, cel mai important, pentru testare, trage întotdeauna multe afaceri înapoi. Adesea, din această cauză, companiile (acest lucru se aplică nu numai mașinilor, ci și internetului lucrurilor ca atare) fie amână securitatea pentru mai târziu, fie nu se ocupă deloc de ea, rezolvând o sarcină mai banală - să lanseze rapid un produs. spre piata.
Hack-uri cunoscute care au avut loc în trecut au fost legate de interferența cu funcționarea frânelor, oprirea motorului în mișcare, interceptarea datelor despre locația mașinii, dezactivarea de la distanță a încuietorilor ușilor. Aceasta înseamnă că atacatorii au oportunități destul de interesante de a efectua anumite acțiuni. Din fericire, până acum astfel de acțiuni au viata reala nu este produs, mai degrabă este așa-numita dovadă de concept, adică o anumită demonstrație a posibilităților de a fura o mașină, de a o opri din mers, de a prelua controlul etc.
Ce poți face cu mașina ta astăzi? Hackează sistemul de management al transportului, ceea ce va duce la accidente rutiere și ambuteiaje; interceptați semnalul PKES și furați mașina; înlocuirea rutelor prin RDS; accelerați în mod arbitrar mașina; blocați sistemul de frânare sau motorul în timpul conducerii; înlocuiți punctele POI în sistemul de navigație; interceptarea locației sau blocarea transmiterii informațiilor despre locație; blocați transmiterea unui semnal de furt; fura conținut din sistemul de divertisment; efectuați modificări la funcționarea ECU și așa mai departe. Toate acestea pot fi realizate atât prin acces fizic direct, printr-o conexiune la portul de diagnosticare al vehiculului, cât și prin acces fizic indirect prin intermediul unui CD cu firmware modificat sau prin mecanismul PassThru, cât și prin acces wireless la distanță apropiată (de exemplu, Bluetooth) sau distanțe lungi (de exemplu, prin Internet sau prin aplicația mobilă).
În viitor, dacă vânzătorii nu se gândesc la ceea ce se întâmplă, acest lucru poate duce la consecințe grave. Sunt destui exemple simple, care încă nu indică faptul că hackerii au luat în mod activ mașini, dar sunt deja aplicabile în viața reală. De exemplu, suprimarea tahografelor încorporate care au senzori GPS sau GLONASS. Nu am auzit de astfel de cazuri cu GLONASS în practica rusă, dar în America au existat precedente cu GPS-ul când atacatorii au suprimat semnalul unei mașini blindate de colecționari și au condus-o într-un loc necunoscut pentru a o distruge și a scoate toate obiectele de valoare. Cercetările în acest domeniu au fost efectuate în Europa, în Marea Britanie. Astfel de cazuri sunt primul pas către atacuri asupra unei mașini. Pentru că, din fericire, nu am auzit niciodată de orice altceva (oprirea motorului, oprirea frânelor în timpul conducerii). practică reală. Deși însăși posibilitatea unor astfel de atacuri sugerează că producătorii și, cel mai important, consumatorii ar trebui să se gândească la ce fac și la ce cumpără.
Merită spus că nici măcar criptarea nu este folosită peste tot. Deși criptarea poate fi prevăzută inițial de proiectare, aceasta nu este întotdeauna activată, deoarece încarcă canalul, introduce anumite întârzieri și poate duce la deteriorarea unor caracteristici de consum asociate dispozitivului.
Într-un număr de țări, criptarea este un tip de afacere foarte specific, care necesită permisiunea agențiilor guvernamentale. Acest lucru impune și anumite restricții. Exportul de echipamente care conțin o funcție de criptare face obiectul așa-numitelor Aranjamente Wassenaar privind exportul de tehnologii cu dublă utilizare, care includ și criptarea. Producătorul trebuie să obțină un permis de export din țara sa de producție și apoi să obțină un permis de import din țara în care va fi importat produsul. Dacă situația cu software-ul s-a calmat deja, deși are propriile dificultăți și limitări, atunci există încă probleme cu lucruri atât de noi precum criptarea în Internetul lucrurilor. Cert este că nimeni nu știe cum să reglementeze acest lucru.
Cu toate acestea, există și avantaje în acest sens, deoarece autoritățile de reglementare aproape că nu caută încă criptarea internetului lucrurilor și în special a mașinilor. De exemplu, în Rusia, FSB controlează foarte strict importul de softwareși echipamente de telecomunicații care conțin funcții de criptare, dar nu face nimic pentru a reglementa criptarea în drone, mașini și alte componente hardware, lăsând-o în afara domeniului de aplicare a reglementărilor. FSB nu vede asta ca pe o mare problemă: teroriștii și extremiștii nu profită de asta. Prin urmare, deocamdată, o astfel de criptare rămâne în afara controlului, deși formal intră sub incidența legii.
De asemenea, criptarea, din păcate, este foarte des implementată la un nivel de bază. Când, de fapt, aceasta este o operație XOR obișnuită, adică înlocuirea unor caractere cu altele conform unui anumit algoritm simplu, ușor de selectat. În plus, criptarea este adesea implementată de neexperti în domeniul criptografiei, care preiau biblioteci gata făcute descărcate de pe Internet. Drept urmare, în astfel de implementări pot fi găsite vulnerabilități care vă permit să ocoliți algoritmul de criptare și, cel puțin, să interceptați datele și, uneori, să invadați canalul pentru a-l înlocui.
Cererea pentru siguranța mașinii
Divizia noastră israeliană are o soluție numită Autoguard. Acesta este un mic firewall pentru mașini care controlează ceea ce se întâmplă în interior și interacționează cu lumea exterioară. În esență, analizează comenzile schimbate între elementele computerului de bord și senzori, controlează accesul din exterior, adică determină cine are și cine nu are voie să se conecteze la electronica și hardware-ul intern.
În ianuarie 2018, la Las Vegas, la cea mai mare expoziție de electronice CES, Cisco și Hyundai Motor Company au anunțat crearea unei mașini nouă generație, care va folosi arhitectura Software Defined Vehicle și va fi echipat cu cele mai noi tehnologii de rețea, inclusiv mecanisme de securitate cibernetică. Primele mașini ar trebui să iasă de pe linia de asamblare în 2019.
Spre deosebire de electronicele de consum și soluțiile IT pentru întreprinderi, securitatea auto este o piață foarte specifică. Există doar câteva zeci de consumatori pe această piață în întreaga lume - egal cu numărul producătorilor de automobile. Din păcate, proprietarul mașinii însuși nu este capabil să îmbunătățească securitatea cibernetică a „calului său de fier”. De regulă, proiectele de acest gen nu numai că nu sunt promovate, dar nu sunt în domeniul public, deoarece acestea nu sunt milioane de companii care au nevoie de routere și nu sute de milioane de utilizatori care au nevoie de smartphone-uri securizate. Aceștia sunt doar trei până la patru duzini de producători de automobile care nu doresc să atragă atenția asupra modului în care este structurat procesul de protecție a mașinii.
Mulți producători iau cu ușurință protecția, alții doar aruncă o privire mai atentă în această zonă, efectuând diverse teste, pentru că aici sunt specifice asociate cu ciclu de viață mașină. În Rusia, durata medie de viață a unei mașini este de cinci până la șase ani (în regiunile centrale și orașele mari trei până la patru ani, iar în regiuni șapte până la opt ani). Dacă un producător se gândește acum să introducă securitatea cibernetică în linia sa de automobile, atunci această soluție va ajunge pe piața de masă în zece ani, nu mai devreme. În Occident situația este puțin diferită. Mașinile sunt schimbate acolo mai des, dar chiar și în acest caz este prea devreme să spunem că mașinile sunt suficient dotate cu sisteme de protecție. Prin urmare, nimeni nu vrea să atragă prea mult atenția asupra acestui subiect.
Atacatorii pot începe acum să atace mașini sau să provoace rechemarea vehiculelor din cauza problemelor de securitate a computerului. Acest lucru poate fi foarte costisitor pentru producători, deoarece există întotdeauna vulnerabilități. Bineînțeles că vor fi găsite. Dar rechemarea a mii sau sute de mii de vehicule vulnerabile de fiecare dată din cauza unei vulnerabilități este prea costisitoare. Prin urmare, acest subiect nu este auzit pe scară largă, dar marii producatori, desigur, lucrează și se gândesc la perspectivele acestei piețe. Potrivit estimărilor GSMA, până în 2025, 100% dintre mașini vor fi conectate la Internet (așa-numitele mașini conectate). Nu știu în ce măsură Rusia este inclusă în aceste statistici, dar giganții auto din lume sunt incluși în ele.
Siguranța altor moduri de transport
Vulnerabilitățile există în toate tipurile de vehicule. Acestea sunt transportul aerian, transportul maritim, transportul de marfă. Nu vom lua în calcul conductele, deși sunt considerate și un mod de transport. Orice vehicul modern conține hardware de computer destul de puternic, iar dezvoltarea sa este adesea efectuată de specialiști IT și programatori obișnuiți care fac greșeli clasice atunci când își creează codul.
Din punct de vedere al dezvoltării, abordarea unor astfel de proiecte este puțin diferită de cea realizată de Microsoft, Oracle, SAP sau Cisco. Și testarea nu se efectuează la același nivel. Prin urmare, sunt cunoscute cazuri de găsire a vulnerabilităților și demonstrarea capacității de a pirata aeronave sau transport maritim. De aceea, niciun vehicul nu ar trebui exclus din această listă - securitatea lor cibernetică astăzi nu este la un nivel foarte înalt.
La drone situația este exact aceeași și chiar mai simplă, pentru că este o piață mai de masă. Aproape oricine are posibilitatea de a cumpăra o dronă și de a o dezasambla pentru cercetare. Chiar dacă o dronă costă câteva mii de dolari, o puteți cumpăra împreună, o puteți analiza și găsi vulnerabilități. Apoi puteți fie deturna astfel de dispozitive, fie le puteți ateriza din mers, interceptând canalul de control. De asemenea, le puteți face să cadă și să provocați daune proprietarului sau să furați pachetele pe care dronele le transportă dacă sunt folosite pentru a transporta mărfuri și transporturi.
Având în vedere numărul de drone, este clar de ce atacatorii studiază în mod activ această piață specială: este mai monetizată. Situația în acest domeniu este și mai activă decât la mașini, pentru că există un beneficiu direct pentru „băieții răi”. Nu este prezent atunci când o mașină este spartă, fără a lua în calcul eventualele șantaj ale producătorului auto. În plus, poți merge la închisoare pentru șantaj, iar procedura de obținere a răscumpărării este mult mai complicată. Desigur, puteți încerca să obțineți bani de la producătorul de automobile în mod legal, dar sunt foarte puțini oameni care câștigă bani căutând astfel de vulnerabilități în mod legal și pentru bani.
Când producătorii blochează actualizările
Recent a existat un caz interesant - un producător de mașini agricole. Nu văd nimic supranatural sau contrar practicii de afaceri din punctul de vedere al producătorului în această situație. El vrea să preia controlul asupra procesului de actualizare a software-ului și să își leagă clienții de el. Deoarece suportul în garanție este bani, producătorul dorește să continue să câștige bani din asta, reducând riscul ca clienții să plece la alți furnizori de echipamente.
Aproape toate companiile care lucrează în domenii legate de IT „trăiesc” după acest principiu. precum și companii - producători de mașini, mașini agricole, avioane sau drone care implementează IT acasă. Este clar că orice intervenție neautorizată poate duce la consecințe groaznice, așa că producătorii închid posibilitatea de a actualiza software-ul în mod independent și le înțeleg perfect aici.
Când un consumator nu dorește să plătească pentru asistență în garanție pentru echipamente, el începe să caute pe diverse site-uri warez firmware-ul de actualizat. Acest lucru îl poate determina, pe de o parte, să-și actualizeze software-ul gratuit, dar, pe de altă parte, poate provoca daune. În special, în practica Cisco a existat un caz în care companiile care nu doreau să plătească pentru asistență (în acest caz, desigur, nu pentru automobile sau mașini agricole, ci pentru echipamente de rețea obișnuite) au descărcat firmware undeva pe forumurile hackerilor. După cum sa dovedit, aceste firmware-uri conțineau „marcaje”. Ca urmare, pentru un număr de clienți, informațiile care treceau prin echipamentele de rețea s-au scurs către persoane neidentificate. Au fost mai multe companii din lume care s-au confruntat cu asta.
Dacă continuăm analogia și ne imaginăm ce se poate face cu mașinile agricole, imaginea va fi tristă.În teorie, este posibil să blocați funcționarea mașinilor agricole și să cereți o răscumpărare pentru a restabili accesul la mașinile care au costat sute de mii de dolari sau chiar milioane. Din fericire, din câte știu, nu au existat încă astfel de precedente, dar nu exclud să apară în viitor dacă această practică va continua.
Cum să îmbunătățiți siguranța vehiculului
Instrucțiunile sunt foarte simple: trebuie să înțelegeți că problema există. Cert este că pentru mulți manageri nu există o astfel de problemă; ei o consideră fie exagerată, fie nu foarte solicitată de pe piață și, în consecință, nu sunt pregătiți să cheltuiască bani pe ea.
În urmă cu trei sau patru ani, la Moscova a avut loc Summitul pentru mașini conectate, unde s-au vorbit despre diverse lucruri noi legate de automatizarea și computerizarea mașinilor. De exemplu, despre urmărirea locației (partajarea mașinii conectată la Internet) și așa mai departe. Am făcut acolo o prezentare despre siguranța mașinii. Și când am vorbit despre diverse exemple despre ce se poate face cu o mașină, multe companii, producători și companii de car sharing au venit la mine după discuție și mi-au spus: „Oh, nici măcar nu ne-am gândit la asta. Ce facem?"
Există puțini producători de mașini în Rusia. După discurs, un reprezentant al unuia dintre ei a venit la mine și mi-a spus că deocamdată nici nu se gândesc la securitatea computerului, deoarece nivelul de informatizare este foarte scăzut - mai întâi trebuie să înțeleagă ce se poate adăuga la mașină în ceea ce privește umplerea computerului. Când l-am întrebat pe acest reprezentant dacă vor să se gândească deloc la securitate, el a răspuns că acest lucru este luat în considerare pe termen foarte lung. Acesta este punctul cheie: trebuie să vă gândiți la faptul că securitatea computerului este o parte integrantă, nu este o funcție externă „suplimentară”, ci o proprietate a unei mașini moderne. Acesta este jumătate din succesul în asigurarea siguranței transporturilor.
Al doilea pas necesar- angajeaza specialisti interni sau externi. Avem nevoie de oameni care să încalce legal soluțiile existente și să caute vulnerabilități în ele. Acum există entuziaști individuali sau companii care sunt angajate fie în teste de testare, fie în analiza de securitate a mașinilor și a hardware-ului lor computerizat. Sunt puține dintre ele, pentru că aceasta este o piață destul de îngustă în care nu te poți extinde și nu poți câștiga mulți bani. Nu cunosc pe nimeni în Rusia care să facă așa ceva. Dar există companii care sunt angajate în analize de securitate și fac lucruri destul de specifice - testează sisteme automate de control al proceselor și altele asemenea. Probabil ar putea să-și încerce mâna la mașini.
Al treilea element este implementarea mecanismelor de dezvoltare sigure. Acest lucru este familiar de mult timp dezvoltatorilor de software convențional, mai ales că Rusia a adoptat recent standardele GOST corespunzătoare pentru dezvoltarea de software în siguranță. Acesta este un set de recomandări despre cum să scrieți codul corect, astfel încât să fie mai dificil de piratat, cum să evitați constructele care ar duce la depășiri de buffer, interceptarea datelor, manipularea datelor, refuzul serviciului și așa mai departe.
Al patrulea pas este implementarea solutii tehnice Securitate, adică utilizarea cipurilor speciale în mașini, construirea unei arhitecturi de securitate. Dezvoltatorii ar trebui să aibă arhitecți care se ocupă în mod specific de problemele de securitate. Se pot ocupa și de arhitectura mașinii din punct de vedere al protecției, arhitectura sistemului de control. Pentru că puteți ataca întotdeauna nu mașina în sine - este mult mai eficient să spargeți sistemul de control și să obțineți controlul asupra tuturor mașinilor.
Așa cum sa întâmplat recent cu casele de marcat online, care au încetat brusc să funcționeze în ziua centenarului FSB. La urma urmei, o casă de marcat online este, aproximativ, aceeași mașină: are hardware și firmware pentru computer. Firmware-ul a încetat să funcționeze instantaneu și un sfert din întreaga piață de vânzare cu amănuntul a încetat să funcționeze timp de câteva ore. La fel este și cu mașinile: codul scris prost, vulnerabilitățile găsite în el sau piratarea sistemului de control pot duce la consecințe destul de grave. Dar dacă în cazul caselor de marcat online pierderile au fost măsurate în miliarde, atunci în cazul mașinilor vor fi victime.
Deși în cazul mașinilor nu este necesar să ne așteptăm la piratarea sau interceptarea controlului a zeci de milioane de vehicule. Este suficient să piratați doar câteva dintre ele și va fi haos pe drum. Și dacă faptul hack-ului devine public, poți fi sigur că mass-media îl va trâmbița în întreaga lume, iar proprietarii de mașini vor fi îngroziți de „perspectivele” care s-au deschis.
În general, există trei niveluri de protecție pentru un vehicul modern. Aceasta este securitatea cibernetică încorporată a mașinii în sine (imobilizator, PKES, securizat comunicatii interneîntre ECU, detectarea anomaliilor și atacurilor, controlul accesului, module de securitate de încredere); securitatea comunicațiilor (protecția comunicațiilor externe cu centrul de control al infrastructurii rutiere, producătorul mașinii sau piesele sale individuale, protecția de descărcare a aplicațiilor, conținutului, actualizărilor, protecția tahografelor); și siguranța infrastructurii rutiere.
Ce și unde să studiezi pentru un specialist
Profesioniștii IT care sunt sau doresc să dezvolte cod pentru mașini, vehicule sau drone ar putea dori să înceapă prin a învăța despre dezvoltarea securizată (SDLC). Adică, trebuie să studiezi ce este dezvoltarea sigură în general. Trebuie recunoscut că aceste cunoștințe suplimentare nu aduc bani suplimentari. Astăzi, nimeni nu este pedepsit pentru necunoașterea elementelor de bază ale dezvoltării securizate, nu există nicio responsabilitate, așa că rămâne la latitudinea specialistului IT însuși. La început poate fi avantaj competitiv pentru un specialist, pentru că puține locuri învață acest lucru, ceea ce îți permite să te evidențiezi de ceilalți. Dar în domeniul securității auto, al internetului lucrurilor și al dronelor, aceasta nu este cea mai populară cerință pentru un angajat. Din păcate, trebuie să recunoaștem că specialiștii IT nu acordă prea multă atenție acestui subiect.
Dezvoltarea sigură este auto-învățare în forma sa cea mai pură. Pentru că practic nu există cursuri de acest gen, toate sunt făcute doar la comandă și, de regulă, aceasta este formarea corporativă. La guvernul federal standardele educaționale nici acest subiect nu este inclus, deci tot ce rămâne este auto-studiu sau participarea la cursuri de la companii care analizează cod. Există astfel de companii - printre jucătorii ruși, de exemplu, Solar Security sau Positive Technologies. Sunt mult mai multe în Occident, de exemplu IBM, Coverity, Synopsys, Black Duck. Ei desfășoară diverse seminarii pe această temă (atât plătite, cât și gratuite), unde puteți dobândi câteva cunoștințe.
A doua direcție pentru specialiștii IT este arhitecții. Adică poți deveni arhitect de securitate pentru acest gen de proiecte, pentru internetul lucrurilor în general, pentru că sunt construite, în plus sau în minus, după aceleași legi. Acesta este un sistem de control central din cloud și o grămadă de senzori: fie concentrați îngust, cum ar fi o dronă, fie senzori integrați într-o mașină sau un vehicul mai mare care trebuie configurați, implementați, proiectați corespunzător. Este necesar să se țină cont de diverse amenințări, adică este necesară așa-numita modelare a amenințărilor. De asemenea, este necesar să se țină cont de comportamentul unui potențial contravenient pentru a înțelege potențialele sale capacități și motivație și, pe baza acesteia, să conceapă mecanisme pentru a respinge amenințările viitoare.
Puteți găsi o mulțime de materiale utile pe Internet. De asemenea, puteți citi diverse prezentări din conferințe precum DEF CON și Black Hat. Puteți să vă uitați la materialele companiilor: mulți publică pe site-urile lor web prezentări și documente albe destul de bune, descrieri ale erorilor tipice din cod și așa mai departe. Puteți încerca să găsiți prezentări de la evenimente specializate despre securitatea auto (de exemplu, Automotive Cybersecurity Summit, Vehicle Cyber Security Summit, Connected Cars Summit, CyberSecureCar Europe).
În plus, acum autoritatea rusă de reglementare FSTEC din Rusia ( serviciu federal privind controlul tehnic și la export) are o serie de inițiative, în special, se propune să posteze pe Internet erori tipice pe care programatorii le fac în cod și să mențină o anumită bază de date cu astfel de erori. Acest lucru nu a fost încă implementat, dar autoritatea de reglementare lucrează în această direcție, deși nu au întotdeauna suficiente resurse.
După scurgerea arsenalului cibernetic CIA și NSA pe internet, oricine, chiar și un „hacker de acasă”, se poate simți ca un agent special. La urma urmei, el deține aproape același arsenal. Acest lucru îi obligă pe arhitecți să gândească complet diferit despre modul în care își construiesc sistemele. Conform diverselor studii, dacă te gândești la securitate în faza de proiectare, atunci vor fi cheltuite X resurse pentru implementarea acesteia. Dacă schimbi arhitectura deja la scenă operare industriala, acest lucru va necesita de treizeci de ori mai multe resurse, timp, oameni și bani.
Un arhitect este o profesie foarte la modă și, cel mai important, o profesie foarte profitabilă. Nu pot spune că în Rusia există astfel de specialiști cerere mare, dar în Occident, arhitectul de securitate este unul dintre cei mai mulți specialități foarte plătite, venitul anual al unui astfel de specialist este de aproximativ două sute de mii de dolari. În Rusia, potrivit Ministerului Muncii, există un deficit de aproximativ 50-60 de mii de lucrători de securitate în fiecare an. Printre aceștia se numără arhitecți, administratori, manageri și cei care modelează amenințări - aceasta este o gamă foarte largă de specialiști în securitate care sunt în mod regulat în lipsă în Rusia.
Cu toate acestea, nici arhitecții nu sunt predați în universități. Practic, aceasta este recalificare, adică cursuri adecvate sau auto-studiu.
În Rusia, instruirea corporativă este practicată în principal. Pentru că nu este o piață de masă și centre de formare nu-l include în programele lor ca cursuri. Aceasta se face doar la comandă. În teorie, este necesar să se includă inițial acest lucru în învățământul public din universități. Pentru a pune bazele pentru proiectarea corectă a diferitelor arhitecturi. Din păcate, standardele educaționale ale statului federal sunt scrise de oameni care sunt foarte departe de realitate și practică. Adesea asta foști oameniîn uniformă, care nu știu întotdeauna să proiecteze corect sistemele, sau sunt familiarizați cu acest lucru într-un mod foarte specific: cunoștințele lor sunt legate de secretele de stat sau de lupta împotriva inteligenței tehnice străine, iar aceasta este o experiență puțin diferită. Această experiență nu poate fi numită rea, dar este diferită și de puțin folos în segmentul comercial și internetul lucrurilor. Standardele educaționale de stat federale sunt actualizate foarte lent, aproximativ o dată la trei până la patru ani, și se fac în mare parte modificări cosmetice. Este clar că într-o astfel de situație nu sunt destui specialiști și va fi un deficit.
Lucrează la Cisco
Cisco are dezvoltare în Rusia.În prezent, se lucrează pentru a crea o platformă deschisă bazată pe stivă pentru furnizorii de servicii și centrele de date. Avem, de asemenea, o serie de acorduri cu companiile rusești, care sunt angajați în proiecte individuale pentru noi. Una dintre ele este compania Perspective Monitoring, care scrie handlere separate pentru traficul de rețea pentru a recunoaște diverse aplicații, care sunt apoi încorporate în instrumentele noastre de securitate a rețelei. În general, noi, la fel ca majoritatea companiilor IT globale, avem mai multe centre de dezvoltare în întreaga lume și birouri regionale efectuează funcții de marketing, suport și vânzări.
Avem un program de internship pentru absolvenți de universități – un an în Europa, la academia noastră.Înainte de aceasta, trec printr-o competiție mare, iar apoi sunt trimiși într-una dintre capitalele europene pentru un an. La întoarcere, acestea sunt distribuite birourilor noastre din Rusia și țările CSI. Aceștia sunt ingineri care proiectează sisteme și le susțin, precum și oameni care fac vânzări.
Uneori avem posturi vacante atunci când cineva este promovat sau părăsește compania. Acestea sunt în principal fie posturi de inginerie, fie poziții legate de vânzări. Având în vedere nivelul Cisco, în acest caz nu recrutăm studenți, ci oameni care au lucrat pe o anumită funcție de mai bine de un an. Dacă este inginer, atunci trebuie să aibă suficientă certificare Cisco. Ceea ce este necesar nu este un CCNA de bază; de regulă, este necesar un minim de CCNP și, cel mai probabil, un specialist trebuie chiar să treacă printr-o certificare CCIE - acesta este nivelul maxim de certificare Cisco. Există puțini astfel de oameni în Rusia, așa că deseori avem o problemă când trebuie să găsim ingineri. Deși în general rotația în companie nu este foarte mare, se măsoară la 1–2% pe an. În ciuda situației economice, companiile americane din Rusia plătesc foarte bine, pachet social bine, de aceea oamenii de obicei nu ne părăsesc.
DESPRE răspuns, ar părea evident. Pentru a bloga ca Lukatsky, trebuie să fii Lukatsky. Dar haideți să aruncăm o privire mai profundă asupra metodelor și motivației pentru a vă conduce propriul blog.Blogging-ul este un drog. Chiar dacă astăzi ai scris deja o grămadă de postări, tweet-uri și comentarii pe toate rețelele de socializare posibile, vrei din ce în ce mai mult. Cu cât sunt mai multe informații care vă interesează, cu atât doriți să consumați mai multe bloguri, pagini și site-uri. Cu cât aveți mai multe canale pentru a vă distribui informațiile, cu atât aveți nevoie de mai multe moduri de a comunica cu lumea exterioară.
Valoarea reală a oricărui blog pentru proprietarul său este mod accesibil să comunice informații unui public mai larg. În plus, un blog vă permite să vă creșteți propria stima de sine, să vă ascundeți slăbiciunile în interior și, dimpotrivă, să vă scoateți virtuțile.
Dorința de a-ți crea propriul brand
Primul motiv pentru a-ți începe propriul blog este dorința de a spune ceva publicului tău. Lumea devine saturată de informații, cererea de informații utile și oportune crește, oferind noi oportunități oamenilor care văd asta ca pe o modalitate de a-și debloca potențialul.
Al doilea motiv este destul de egoist - dorința de a-ți crea propriul brand, adică făcând ceea ce îți place, de a obține beneficii personale din acesta (ops, a formulat casual visul oricărui hacker).
Să ne dăm seama dacă aveți premisele pentru a vă crea propriul brand pe rețelele sociale.
În primul rând, atunci când alegeți un subiect pentru blogging, trebuie să vă concentrați pe ceva. Ai o problemă de alegere.
1. Marca informațiilor raportate (se presupune că acesta este un fel de exclusivitate, la Arustamyan din fotbal cu pseudo-știrile sale).
2. Brandul unui expert - trebuie câștigat, iar acesta este un lung și potecă spinoasă. Colegii din atelier ar trebui să vă recunoască ca un specialist în capacitatea de a transmite informații de înaltă calitate într-o formă accesibilă.
3. Marca de cunoștințe - pentru a transmite cunoștințe unui public, trebuie mai întâi să le obții, iar aceasta este o muncă care poate să nu dau roade. În orice caz, trebuie să-ți sporești potențialul ca reprezentant al profesiei.
4. Ei bine, și, ca variantă cea mai obișnuită, ești pur și simplu o persoană talentată, izbucnești de dorința de a deveni celebru și nu contează despre ce să scrii/vorbești (majoritatea bloggerilor începători așa cred).
Trebuie să înveți să prezinți materialul în așa fel încât să fie a) de înțeles, b) relevant și apoi orice îți place: interesant, incitant, aforistic, ușor, cu umor. La urma urmei, scriind texte sau performanță publică Acestea sunt abilități care pot fi învățate și vin cu experiență.
Majoritatea oamenilor (în contextul acestui articol - bloggeri) sunt implicați fie în interpretarea ideilor altora (exact ceea ce fac eu acum), fie în agregarea comunicatelor de presă de știri (evenimente, posturi vacante etc.), inclusiv în difuzarea de știri ale propriei mărci. /produs , publicarea continutului necesar din expozitii, conferinte, prezentari etc. Dar chiar și în acest caz, nu mulți oameni pot împacheta informații în materiale de înaltă calitate (nu luăm în considerare jurnaliștii profesioniști). Și de ce? Prezentarea știrilor materialelor este satisfăcătoare cel mai public țintă. Cu lipsa modernă de timp și abundența de materiale, cititorul nu are suficientă forță sau răbdare pentru mai mult.
În ciuda afirmației din titlu, deși nu ca Lukatsky, aveți tot ce aveți nevoie pentru a deveni un blogger celebru - o persoană care știe să scrie și este gata să-și dedice tot timpul liber acestei activități.
Acest lucru necesită doar cinci termeni.
În primul rând, ai nevoie de noroc (și acesta este unul dintre motivele pentru care nu vei deveni Lukatsky). Nu toți sunt la fel de norocoși ca Lukatsky. Are cunoștințe, experiență și cel mai important - tehnologii moderne Securitate. Este important (și se vede) că primește sprijinul companiei sale. Ceea ce odată a fost doar un hobby pentru Lukatsky a devenit noua abordare a companiei în ceea ce privește transferul informatie necesara. Datorită popularității sale în rețelele sociale, blogul lui Lukatsky a devenit un brand în cadrul companiei (mă îndoiesc că aceasta a fost o strategie bine gândită, cel puțin inițial). Aceasta a devenit parte din afacerea pe care o reprezintă Lukatsky ( Cisco ). Iubește sincer ceea ce face și interesul său este transmis publicului. Îi pasă nu numai de subiectul activității sale, ci și de starea industriei în ansamblu, iar acest lucru este captivant.
Al doilea este un cocktail de energie internă, carisma personală și experiență
A vorbi în public necesită carisma și o personalitate puternică. Lukatsky este invitat la diverse evenimente deoarece este capabil să explice lucruri complexe într-un limbaj simplu (aceasta este o abilitate care trebuie învățată) și are cunoștințe excelente ale domeniului subiectului.
În al patrulea rând - vezi pădurea înaintea copacilor
Trebuie să vezi/simți/cunoști problemele publicului țintă al blogului. Bloggerii de top oferă asistență neprețuită în rezolvarea problemelor în rândul cititorilor blogurilor lor. Preluarea materialului și împachetarea lui în postări clare și interesante pe blog este ceva ce fac în mod regulat și bine.
Un blog nu este doar o metodă de transmitere a informațiilor, ci și o oportunitate pentru creșterea carierei(nu exista profet in tara lui). Lukatsky este un exemplu de creare Pozitie nouaîn companie - un interpret al domeniului subiectului pentru a atrage noi audiențe.
Și, în cele din urmă, în al cincilea rând, blogging-ul necesită o disciplină de fier. să publicați în mod regulat (cu cât mai des, cu atât mai bine) materiale pe blogul dvs.
Ei bine, ca opțiune suplimentară, opțională, este recomandabil să organizați în mod regulat seminarii de formare pentru a vă populariza marca.
Pentru a parafraza o zicală celebră: oamenii vor uita ceea ce ai scris, oamenii vor uita ceea ce ai spus, oamenii nu vor uita ceea ce au înțeles datorită ție. Acum toată lumea transmite că Lukatsky ține mâine un seminar despre datele personale (poate că aceasta este o formă de PR, roboții transmit de mult timp, folosind IVR -tehnologie sau există încă sate îndepărtate în Rusia în Kamchatka, ai căror locuitori nu au participat la seminariile lui Lukatsky conform datelor personale?). Dar serios, articolele, prezentările, slide-urile lui sunt distribuite tuturor publicurilor și își trăiesc propria viață și asta e normal, întărește brandul.
Deci, nu veți putea să blogați ca Lukatsky. Și cine a oprit vreodată asta?! După cum a glumit Andrey Knyshev: „Cel care a urcat mai sus pur și simplu a urcat mai devreme”.
