Jste zde
Bezpečnostní střípky II
Listopad 2013, díl 2.
připravil Tomáš Přibyl
Hacker Jack Barnaby: když nejde o život...
Barnaby Jack se narodil 22. listopadu 1977 na Novém Zélandu. Od dětství jej fascinovaly počítače. Prošel jako specialista různými firmami, své místo ale našel v etickém hackingu.
Upozornil například na to, že bankomaty jsou prachmizerně zabezpečené a že je nesmírně snadné je – s trochou hlubších programátorských znalostí – ošálit. Ovšem největší slávu získal Jack Barnaby varováními před útoky proti lékařským zařízením. V říjnu 2011 na konferenci FOCUS 11 v Las Vegas předvedl bezdrátový útok na dávkovače inzulínu. S pomocí výkonné antény dokázal Jack převzít kontrolu nad různými dávkovači, a to aniž by o nich cokoliv věděl – dokonce ani sériové číslo či výrobce. Opakovaně dokázal přimět dávkovače, aby uvolnily maximální dávku 25 jednotek. A to až do okamžiku, kdy se vyprázdnil celý zásobník na 300 jednotek. To je mimochodem pro pacienta několikanásobek smrtelné dávky.
V roce 2012 dokázal napadnout také kardiostimulátor. Ve zprávě „Zlomené srdce“ na svém blogu tvrdil, že dokázal překonfigurovat kardiostimulátor tak, aby dal svému majiteli smrtelnou ránu 830 voltů. Zároveň tvrdil, že celý útok je mnohem jednodušší, než jak bylo prezentováno v televizi. Všem nevěřícím Tomášům pak na podzim 2012 vzal vítr z plachet, když útok živě demonstroval na konferenci v Melbourne.
„Všechna tato zařízení byla navržena tak, aby je v případě nouze mohl velmi snadno ovládat jakýkoliv lékař,“ vysvětloval Jack. Doplnil pak, že si dokáže představit vytvoření červa pro určitou značku kardiostimulátoru nebo defibrilátoru, který se bude šířit přímo ze zařízení na zařízení. Představa, ze které mrazí...
„Zabýváme se tu potenciálním počítačovým virem se schopností spáchat hromadnou vraždu," prohlásil loni v Melbourne. „Podobné útoky byly jako anonymní vražda. Zabiják by nepotřeboval jinou zbraň než notebook a vražda by po sobě nenechala žádné hmatatelné stopy ani vražednou zbraň.“
Varoval zároveň, že úřady pro kontrolu léků sledují sice účinnost a kvalitu lékařských přístrojů, ale absolutně ignorují bezpečnost jejich softwarového vybavení. Doložil to i demonstracemi, během kterých dokázal například přepsat firmware inkriminovaných přístrojů.
Na konferenci Black Hat 2013 v Las Vegas se chtěl Barnaby Jack zaměřit znovu na kardiostimulátory. Sliboval skutečnou lahůdku: jejich přeprogramování na smrtelný elektrický vývoj – a to na vzdálenost padesát metrů!
Svůj slib ale už neměl šanci splnit: 25. července 2013 byl nalezený mrtvý ve svém bytě v San Franciscu.
Stroje, které mění obsah dokumentů
Kontrolovali jste někdy naskenovaný dokument, zdali obsahuje přesně to, co originál? Asi ne. A nejste sami, takže dlouhé roky zůstávala nepovšimnuta chyba, kdy software při komprimaci elektronických dat měnil některá čísla. Problém objevil náhodou německý výzkumník David Kriesel a týkal se podle něj dvou typů Xerox WorkCentre 7535 a 7556: jenže se záhy ukázalo, že jím trpí i nejméně typy 7530, 7328, 7346 a 7545 a Xerox ColorQube 9203, 9201 a 8700. (A podle některých informací i hardware dalších výrobců.) Problém byl sice izolovaný (jen při skenování s rozlišením 200 dpi, při písmu Ariel 7 nebo 8 bodů, při komprimaci do formátu PDF), přesto po něm pachuť zůstává. Vždyť docházelo k modifikaci záznamů při pouhém kopírování! A jak na něco podobného vůbec přijít příště? Dovedete si představit důsledky této chyby ve zdravotnictví, při digitalizaci dokumentace, v letecké dopravě, technických výkresech, smlouvách, při řešení soudních sporů?...
Příliš zvědavé brýle
„Brýle“ Google Glass slibují přinést skutečnou revoluci, protože posouvají rozšířenou realitu blíže ke každodennímu používání. Zatím je má k dispozici jen limitovaný počet výzkumníků a nadšenců. Jedním z nich je i Jay „Saurik“ Freeman, který ovšem objevil způsob, jak lze tyto brýle „hacknout“. Či přesněji: několik způsobů, protože na bezpečnost evidentně výrobce při tvorbě aplikace příliš nedbal. Google Glass se tak mohou stát silným špionážním nástrojem: mohou sledovat pohyb majitele stejně jako jeho úkony (zadávání PINů, přístupových kódů ke dveřím, počítačových hesel...), dokážou sledovat okolí nebo mohou majiteli zobrazovat podvržené informace. Dobrou zprávou budiž konstatování, že útočník potřebuje pro hacknutí Google Glass fyzický přístup. Tedy alespoň do doby, než někdo dříve či později objeví způsob, jak útok provést vzdáleně.
Nejen obsah, ale i forma
Causa technika CIA Edwarda Snowdena, který zveřejnil informace o rozsáhlých monitorovacích programech CIA zaměřený na všechny formy elektronické komunikace, je dostatečně známá. Nebudeme se proto věnovat obecně známým faktům nebo spekulacím, ale upozorníme na jednu zajímavou skutečnost: podstatou monitorovacích programů nebylo studování obsahu komunikace, ale její formy. Jinými slovy: sledovalo se, kdo a s kým komunikoval, kdy, jak dlouho, jak často, v jaké podobě apod. To umožňovalo vytvářet přehled o „normálním stavu“ komunikace a vyhledávat odchylky, které by napovídaly, že se „něco“ děje. Ostatně, i policie přiznává, že polovina informací z odposlechů není o tom, cože v telefonech zaznělo, ale vyplývá z toho, že hovory vůbec proběhly. Aneb různé formy šifrování jsou sice pěkná věc, ale v případě komunikace skryjí jen část informace.