Jste zde

Domů

Bezpečnostní střípky XXI

Listopad 2014, díl 1.

Připravil Tomáš Přibyl a kolektiv

O příliš štědrých bankomatech

Považujete bankomaty za superbezpečná zařízení, která není možné ošálit a jejichž úroveň zabezpečení je velmi vysoká? Pokud o tyto iluze nechcete přijít, pak následující řádky přeskočte.

Zvláštní metodu útoku proti bankomatu předvedl třeba Maxwell Parsons (41) z Velké Británie, který provedl úspěšný útok proti bankomatům s pomocí (sic!) MP3 přehrávače! A rozhodně nebyl neúspěšný, protože jím způsobená škoda byla vyjádřena částkou přesahující dvě stě tisíc liber. Tedy něco přes šest miliónů korun.

Způsob provedení útoku byl následující: Parsons vyhledával osamoceně stojící bankomaty (např. v nákupních centrech). Tedy takové, které nebyly „zazděné“, ale k nimž byl relativně volný přístup. MP3 přehrávač pak umístil tak, že tento byl schopen zaznamenávat tóny, jimiž bankomaty komunikovaly s bankou při zadávání a ověřování transakce.

Na základě těchto tónů byl schopen doma vyrábět klonované karty, k nimž znal veškeré údaje včetně PINu. S jejich pomocí následně chodil vybírat hotovost. K jeho odhalení přitom pomohla náhoda (i když Parsons by asi hovořil spíše o smůle): zastavila jej policejní hlídka poté kvůli dopravnímu přestupku. Policisté si pak všimli prapodivné karty ležící na sedadle vedle něj a odvezli ho na stanici. Osobní prohlídka ukázala, že jde o klonovanou kartu. Následná domovní prohlídka pak odhalila celou domácí továrnu na klonované karty.

Chtělo by se říci: Jak prosté, Watsone. Ale realita může být ještě prostší a jednodušší. Stačí, aby provozovatel bankomatu byl – ehm – lajdák, který se neobtěžuje změnou hesla defaultně nastaveného od výrobce. Že něco podobného snad není možné? Asi ne, přesto se nedávno ukázalo, že zhruba čtvrtina (!!!) bankomatů ve Spojených státech pracuje s původním heslem, které mu bylo dáno do vínku u výrobce.

Toto heslo přitom umožňuje měnit nastavení bankomatu či provádět různé jiné operace, které jsou běžnému smrtelníkovi zapovězené. Problém vyplaval na světlo poté, co dosud neznámá osoba přeprogramovala u benzínové stanice ve Virginia Beach (stát Virginia) při plném provozu bankomat ATM Tranax Mini Bank 1500 pouze s použitím klávesnice a znalosti speciálních kódů tak, že stroj považoval dvacetidolarové bankovky za pětidolarové. Při výběru jednoho sta dolarů tak místo pěti dvacetidolarových bankovek vydal rovnou dvacítku bankovek této hodnoty – tedy 400 USD.

 

Cílem je ropný a energetický průmysl

Norsko oznámilo, že nejméně padesát ropných a energetických firem v této zemi bylo napadeno kybernetickým útokem. Jde ale nejspíše jen o špičku ledovce, protože dalších 250 firem bylo varováno, aby své systémy důkladně prověřily. Není to poprvé, co byl norský ropný průmysl zasažený. Už v roce 2011 došlo k útoku na nejméně deset ropných, plynárenských a zbrojařských firem. Stejně jako před třemi lety i letos byly útoky provedeny pomocí phishingových e-mailů. Zkrátka a dobře: informace mají svoji cenu.

 

Šifry jsou jako zbraně

Americká vláda udělila pokutu 750 tisíc USD společnosti Wind River Systems, což je pobočka mnohem známější firmy Intel. A to za vývoz šifrovacího software do Číny, Ruska, Izraele a dalších zemí. Silné šifrování je hodnoceno jako zbraň a je předmětem kontroly exportu už od devadesátých let minulého století: ovšem firmy, které příkaz porušily, dosud vyvázly jen s varováním. Wind River Systems provedla 55 obchodů z kategorie „nepovolených“ mezi lety 2008 a 11 v hodnotě 2,9 mil. dolarů.

 

Co přinese chytrá domácnost?

Dle analytické společnosti Gartner bude typická americká či evropská domácnost v roce 2022 obsahovat 500 chytrých zařízení. Tedy takových, která budou schopna aktivně reagovat na měnící se situaci, budou schopna komunikovat – a to vše bezdrátově, v případě lepších typů je pak bude dálkově možné i ovládat. Většina z nich pak bude připojena k internetu. Cena takovéhoto zařízení „spadne“ k jednomu dolaru. Půjde o zařízení pokrývající média a zábavu (konzole, televize, počítače…), aplikace (vařiče či pračky) až po technologie transportní, bezpečnostní nebo řízení prostředí stejně jako zdravotní systémy. Tato penetrace chytrými zařízeními představuje z makroekonomického hlediska obrovské příležitosti – ale z hlediska bezpečnostních hrozeb? Čestně si musíme přiznat, že na tuto otázku neumíme odpovědět. Ale stejně tak si čestně musíme přiznat, že budou – a mnohé z nich si dnes zřejmě ani nedovedeme představit.

 

Spam v kalendáři

Není to nic nového pod sluncem – spam (nevyžádaná elektronická pošta), která se šíří v podobě záznamů do kalendáře Outlook. Jeho podstatou je, že zpráva od spammera dorazí ve formě přílohy formátu *.ics, kterou filtry spamu (zpravidla) neblokují. Původně se takovéto e-maily objevily v roce 2008, pak se ale na několik let odmlčely. Aktuální oživení nám připomíná, že je nesmírně snadné se v případě počítačových útoků inspirovat v minulosti, protože „všechno už tu jaksi bylo“. Stejně jako připomíná, že když ochabne ostražitost, nepřítel udeří znovu.

ad