Если вы спросите современного безопасника, как выглядит идеальный взлом, он вряд ли расскажет вам про летящие зеленые цифры на черном экране или перебор паролей суперкомпьютером. Он расскажет вам про уверенного в себе парня с букетом цветов, коробкой пиццы или фальшивым бейджем техника, который просто заходит в серверную через парадную дверь.
Фильм «Тихушники» (Sneakers) с Робертом Редфордом — это абсолютная классика, которая за 30 лет до массовой популярности профессии «пентестер» показала, как на самом деле ломаются корпоративные сети.
🕵️♂️ Оригинальная Red Team: Люди важнее файрволов
Сюжет строится вокруг Мартина Бишопа и его команды «тихушников». По сути, это независимая группа аудиторов физической и информационной безопасности. Компании нанимают их, чтобы они взломали систему охраны банка, украли данные, а потом положили на стол руководства подробный баг-репортинг.
В команде идеальное распределение ролей, которое актуально для любого современного отдела ИБ:
- 🧠 Мартин (Роберт Редфорд): Лидер, стратег и мастер социальной инженерии.
- 🕶️ Криз (Сидни Пуатье): Бывший агент ЦРУ, отвечающий за физическую безопасность, наружку и железо.
- 🎧 Уистлер (Дэвид Стрэтэйрн): Слепой гений фрикинга (взлома телефонных сетей), обладающий абсолютным слухом. Он буквально слышит маршрутизацию звонков.
- 💻 Карл (Ривер Феникс): Молодой хакер, отвечающий за софт и работу с сетями.
- 🛠️ Мама (Дэн Эйкройд): Параноик, конспиролог и гениальный радиоинженер, собирающий жучки из мусора.
📦 Setec Astronomy и математика Апокалипсиса
Главный технический «макгаффин» фильма — это небольшая коробочка размером с автоответчик. Устройство, разработанное гениальным математиком, способно дешифровать любую информацию. Название проекта «Setec Astronomy» оказывается анаграммой фразы «Too Many Secrets» (Слишком много секретов).
Но давайте посмотрим на эту коробку глазами инженера. Как она работает? В фильме объясняется, что современная криптография (например, алгоритмы типа RSA) базируется на сложности факторизации больших чисел. Проще говоря, перемножить два гигантских простых числа легко, а вот разложить получившийся результат обратно на два исходных множителя — задача, на которую у обычных процессоров уйдут миллионы лет.
Черный ящик из фильма делает именно это. Он содержит уникальный математический алгоритм, который решает задачу факторизации за секунды.
- ⚠️ Почему это страшно сегодня? В 1992 году это звучало как фантастика. Но сегодня этот «черный ящик» имеет реальное воплощение — квантовые компьютеры и алгоритм Шора. Когда квантовые системы наберут достаточную мощность, они смогут щелкать современные RSA-ключи именно так, как это делала коробка в «Тихушниках». Весь мировой банковский трафик, правительственные каналы связи и ваши пароли станут открытой книгой. Сценаристы предсказали главную головную боль криптографов 21 века!
🗣️ "My voice is my passport": Атака повторением (Replay Attack)
В фильме есть культовая сцена ограбления, которая является эталонным пособием по социальной инженерии и физическому взлому. Команде нужно проникнуть в защищенный офис, дверь в который открывается только после голосовой биометрии. Сотрудник Вернер Брандес должен произнести фразу: «Hi, my name is Werner Brandes. My voice is my passport. Verify me».
Как они это обходят? Они не пытаются синтезировать голос на компьютере (в 1992 году это было бы нереалистично). Они используют классическую социальную инженерию:
- 👩🦰 Подсылают к Вернеру красивую девушку на свидание.
- 🎤 Во время непринужденного разговора она задает вопросы так, чтобы он произнес нужные слова: «Скажи это слово: Паспорт», «Как тебя зовут?».
- 📼 Записывают всё на скрытый микрофон.
- ✂️ Затем Уистлер вручную, на бобинных магнитофонах, нарезает и склеивает пленку так, чтобы получилась идеальная фраза.
В IT это называется Replay Attack (атака повторением). Система биометрии не проверяет «живость» голоса, она проверяет лишь совпадение частот. Сегодня эту проблему решают с помощью Liveness Detection (просьба сказать случайные цифры), но сам принцип перехвата и воспроизведения авторизационного токена актуален как никогда.
🚶♂️ Баг тепловизора и магия мусорных корзин
Помимо биометрии, фильм пестрит гениальными техническими деталями:
- 🌡️ Обход датчиков движения и тепла: Чтобы не активировать сигнализацию, героям приходится двигаться по коридору со скоростью миллиметр в секунду, чтобы система списала изменение температуры на фоновый шум.
- 🗑️ Dumpster Diving (копание в мусоре): Чтобы узнать архитектуру системы охраны, команда не ломает сервера. Они просто забирают мусорные мешки из здания и по кусочкам склеивают разорванные документы банковских проводок и спецификаций оборудования. Безопасность начинается с шредера!
- 📞 Маршрутизация по звуку: Слепой Уистлер определяет, куда звонили похитители, просто анализируя звуковые щелчки реле на коммутаторах телефонной станции. Это дань уважения реальным «телефонным фрикерам» 70-х и 80-х (например, Джою Энгрессу).
🏁 Резюме сисадмина
«Тихушники» — это шедевр, который стареет как хорошее вино. В нем нет нелепой трехмерной графики полетов внутри микросхем. Зато в нем есть железобетонная истина: какой бы мощной ни была ваша криптография, ее всегда можно обойти, если обмануть человека или найти брешь в физической инфраструктуре.
Технологии из фильма ушли вперед: магнитофоны сменились дипфейками (DeepVoice), а акустические модемы — гигабитными каналами. Но человеческий фактор остался прежним. Девушка с тортом и улыбкой по-прежнему открывает больше дверей, чем самый изощренный эксплойт нулевого дня.
Если вы работаете в IT или ИБ и по какой-то причине пропустили эту ленту — исправляйте немедленно. Это база.
🍿 Где приобщиться к классике:
Коллеги, а какой ваш любимый прием социальной инженерии из кино или реальной практики? Приходилось ли вам в начале карьеры восстанавливать доступы через «заднюю дверь» или копаться в логах телефонных станций? Делитесь историями в комментариях!