Ko se hekerji poigrajo
V Las Vegasu že od leta 1993 vsako leto priredijo eno največjih hekerskih konferenc na svetu. Letošnji Defcon, ki je potekal od 4. do 7. avgusta, je vnovič postregel s prikazom najrazličnejših atraktivnih možnosti, kako vdreti v računalniške sisteme ali jih drugače prelisičiti. Varni niso niti pametni avtomobili, letališča in domači termostati.
Defcon je v trinajstih letih iz majhnega dogodka s sto obiskovalci prerasel v veliko konferenco. Začelo se je kot poslovilna zabava za hekerskega kolega iz Kanade, ki je moral leta 1993 iz Las Vegasa zaradi selitve. Ker je moral oditi še pred napovedanim datumom in je zamudil zabavo, je organizator Jeff Moss povabil vse svoje kolege hekerje iz Las Vegasa. Naslednje leto so ga pregovorili, naj zabavo ponovi, in prišlo je dvakrat več ljudi. Letos je med 4. in 7. avgustom v Las Vegas prišlo 22.000 obiskovalcev.
Leta 1997 je Moss ustvaril še sestrsko konferenco Black Hat, ki poteka večkrat na leto v Las Vegasu, Amsterdamu, Barceloni, Abu Dabiju in še kje (novembra bo v Londonu). Prvi del konference se imenuje Trainings, na njem izdelovalci opreme za računalniško varnost predstavljajo novosti in organizirajo seminarje. Na drugem delu, Briefings, slišimo več o dejanskih napadih.
Black Hat v Las Vegasu poteka vsako leto tik pred Defconom, ker sta si dogodka različna, a komplementarna. Black Hat je splošno usmerjena konferenca, že napol sejemska, ki poteka v luksuznih hotelih. Udeležujejo se je ljudje v poslovnih oblekah na visokih položajih, govorijo tehnični direktorji, vsi omikano razpravljajo o računalniški varnosti in prihodnosti. Defcon je bolj sproščen, udeleženci v majicah na priponkah nimajo zapisanih imen, kreditnih kartic ne sprejemajo, predava, kdor ima kaj povedati, poudarek je na tehničnih podrobnostih hekerskih dosežkov.
Mnogi se udeležijo obeh dogodkov, ki pa sta si po samem utripu bistveno različna. Zelo površno: za udeležence Defcona je Edward Snowden junak, za tiste na Black Hat Briefings pa bedak. Na Defconu so vdirali v letališke poslovne salone, na Black Hatu pa je Apple napovedal zagon programa za nagrajevanje prijaviteljev ranljivosti (bug bounty).
Tesla S: zdaj jo vidiš, zdaj je ne
V Tesli niso nikoli trdili, da zmorejo njihovi avtomobili sami varno voziti po svetu. A ker imajo zelo dobrega avtopilota, ki sicer voznika opozori, naj bo ves čas zbran in se posveča vožnji, a mu tega ni treba, je vtis ostal. Do maja, ko se je Tesla S v avtonomnem načinu vožnje s 120 kilometri na uro zaletela v polpriklopnik, ker ga senzorji niso zaznali, in pri tem ubila voznika.
Raziskovalci z Univerz South California in Zhejiang in iz podjetja Qihoo 360 so pokazali, kako je mogoče senzorje v Tesli S načrtno pretentati. Avtomobil ima senzorje štirih vrst: radar na milimetrske valove (MMW), ultrazvočni senzor, kamere in lidar. Ultrazvočni senzorji vidijo neposredno okolico (do 2 metrov) in se uporabljajo pri parkiranju. Bližnjo okolico (do 30 metrov) zaznavajo kamere in radar MMW, srednje oddaljene predmete (80–160 metrov) lidar in radar MMW, pri daljših razdaljah pa radar.
Izkazalo se je, da so radarji, ultrazvočni senzorji in kamere občutljivi za manipulacije. Senzorje je mogoče povsem zaslepiti (jamming), da ovire ne zaznajo, ali pa jih prevarati (spoofing), da je pred njimi ovira. Napad na ultrazvočni senzor je najenostavnejši – človeka so ovili v akustično peno, ki absorbira ultrazvok, pa ga Tesla S ni videla. Na prazno parkirišče so postavili Arduino in ultrazvočni pretvornik za 40 dolarjev, pa Tesla S tja ni parkirala zaradi imaginarne ovire. Kamere jim je uspelo zaslepiti in z laserjem celo poškodovati, a jih je avtomobil zgolj ugasnil in voznika pozval, naj vozi sam. Še največ škode bi lahko povzročila zaslepitev radarja, za kar so sicer potrebovali skoraj sto tisočakov vredno opremo. V garaži so pokazali, kako je mogoče, da radar ne zazna ovire. To je potencialno najbolj nevarno, ker se Tesla S pri visokih hitrosti zanaša na radar, a za delovanje potrebujemo zelo drago opremo in natančno usmerjen vir radijskih signalov. Tako Tesla kot raziskovalci zato poudarjajo, da gre zaenkrat zgolj za teoretične načine.
Letališki Robin Hood
Precej manj zlovešč, a bistveno bolj robinhoodovski je dosežek vodje poljskega CERTa, Przemeka Jaroszewskega, ki nekega dne na letališču zaradi tehnične napake ni imel dostopa do poslovnega salona. Spisal je kratko, 500 vrstic dolgo aplikacijo v javascriptu, ki je problem rešila. Za poljuben let, razred in ime potnika je ustvarila kodo QR, s katero je imel dostop do poslovnih salonov na letališču. Aplikacijo je preizkusil na več letališčih v Evropi in večinoma je delovala. Ukana se skriva v preprostem dejstvu, da sistem za vstop v salon le algoritemsko preveri kodo QR, ne opravlja pa poizvedbe po dejanski zbirki (CRS – computer reservation system) potnikov na letih.
Nekaj podobnega je Bruce Schneier napravil že leta 2003 (pa potem v letih 2005, 2007, 2008 in 2011 še drugi), a več kot desetletje pozneje ostaja ista razpoka nezakrpana. Ker na vhodih ni več ljudi, temveč zgolj optični bralniki, sploh ne potrebujemo vozovnice prepričljivega videza, temveč zgolj kodo QR na zaslonu pametnega telefona. Ranljivost varnostno ni problematična, ker je vstop v salone za varnostnim pregledom, tja pa brez veljavne vozovnice in osebnih dokumentov ni vstopa, prav tako lažna koda QR nikakor ne vpliva na uradno zbirko. Je pa simpatičen način, kako si lahko prestopanje po letališču popestrimo in brezplačno kaj prigriznemo.
Sef, odpri se
Elektronske ključavnice za sefe se že slišijo kot slaba zamisel, in res so daleč od neprebojnega. Na modelu 6120 znanega izdelovalca Sargent and Greenleaf, ki je bil razvit konec minulega tisočletja, lahko kodo preberemo iz tokovnih karakteristik. Če med baterijo in ključavnico vstavimo upornik in merimo napetost, lahko ugotovimo kodo. Pri preverjanju vnesene kode namreč tok niha glede na pravo kodo, s katero se vnos primerja, zato jo je trivialno izluščiti.
Niti novejši Titan PivotBolt se ni obnesel dosti bolje. Meritve so pokazale, da pri vnosu pravilne kode čez 28 mikrosekund sledi tokovni sunek. Čim več vnesenih cifer je pravilnih, tem daljši je zamik. Tako je mogoče ločeno preveriti vsako cifro, s tem pa se število potrebnih poizkusov z milijona (šest števk) zmanjša na največ 60. Omenjena sefa nista najdražja in najboljša dosegljiva sefa na svetu, a tudi ne najslabša. V praksi vam bodo zlikovci sicer verjetno sef odnesli ali prevrtali.
Pametne ključavnice neumnih izdelovalcev
Odklepanje ključavnic nadaljujemo z delom Anthonyja Rosa in Bena Ramseyja, ki sta se lotila 16 pametnih ključavnic Bluetooth različnih izdelovalcev. Rezultate sta povzela z enim stavkom: pametne ključavnice očitno izdelujejo neumni ljudje. Tako ali drugače jima je uspelo odkleniti kar 12 ključavnic, nekatere celo z razdalje 400 metrov, vse z opremo, ki stane manj kot 200 evrov. Nekatere so geslo prenašale v nešifrirani tekstovni obliki (plain-text), kjer odklep sploh ni bil izziv. Precej jih je bilo mogoče odkleniti tako, da sta posnela signal ob odklepu in ga kasneje spet oddala. Nekaj se jih je ob prejemu pokvarjenih paketkov zmedlo in odprlo samih od sebe. En izdelovalec je dopuščal le šestmestna gesla, kar je napad s surovo silo zelo poenostavilo, drugi pa je vgradil upraviteljsko geslo (»thisisthesecret«). Odziv izdelovalcev pa je bil še bolj katastrofalen od zaščite: eden je umaknil spletno stran, a ključavnice še vedno prodaja prek Amazona, deset jih je prijavo ranljivosti ignoriralo, eden pa je dejal, da razpoke ne bo zakrpal. Odtod tudi nadaljevanje sklepa: pametne ključavnice so za neumne ljudi.
Vibrator za internet
Internet stvari obljublja, da bodo vsi predmeti v naši okolici pametni in povezani v internet. Zakaj bi bili vibratorji izjema, so pomislili v podjetju We-Vibe in predlani izdali vibrator We-Vibe 4 Plus, ki omogoča upravljanje na daljavo z aplikacijo na pametnem telefonu, kar reklamirajo kot orodje za pare, ki so geografsko daleč narazen. To je zamisel, ki kar kliče po hekerjih, in res, letos sta dva Novozelandca pokazala, da aplikacija We-Vibe ni nič kaj varna. V vibrator, ki ga je kupilo že dva milijona ljudi, je mogoče vdreti in ga aktivirati in upravljati na daljavo.
Bolj zaskrbljujoča pa je njuna druga ugotovitev. Vibrator prek interneta izdelovalcu pošilja podatke o stanju vsako minuto rabe – intenziteto vibracij in temperaturo. Izdelovalec pravi, da so uporabniki v pogojih rabe na to opozorjeni, razlog za to početje pa je analiza, kaj ljudje najraje uporabljajo, da bi bili izdelki v prihodnosti še boljši.
Ugrabitev termostata
V prihodnosti se obetajo pametne hiše, v katerih bo centralni računalniški sistem z armado senzorjev in termostatov skrbel za najugodnejše življenjsko okolje. Dokler seveda ne bo kdo vdrl vanje. Andrew Tierney in Ken Munro sta pokazala, da je mogoče to storiti tudi v praksi. V pametni termostat neimenovanega izdelovalca na arhitekturi ARM, na katerem teče inačica Linuxa in ima velik zaslon LCD, jima je uspelo naložiti izsiljevalski program (malware), kakršni so zadnje mesece uspešnica na osebnih računalnikih.
Pametni termostat sta nastavila na 37° C in ga zaklenila (samo sprememba PINa je bila potrebna), na zaslonu pa prikazala zahtevek za plačilo odkupnine v višini enega bitcoina. Druga možnost je sočasno poganjanje klimatske naprave in ogrevanje, ki lastnika še učinkoviteje prisili v plačilo odkupnine.
Za napad je bil potreben fizični dostop do termostata, v katerega sta vstavila kartico SD z zlonamerno programsko opremo. Ker vse na termostatu teče s skrbniškimi privilegiji (root), prevzem nadzora ni bil težak. Še najbolj je pomagal sam termostat, ki omogoča naložitev dodatnih nastavitev ali ozadij prek kartic SD, a pred izvršitvijo ne preveri, kakšne datoteke bo pognal.
To odpira vsaj dvoje možnosti napada. Uporabniki lahko iz interneta nevede prenesejo virus, ki je zapakiran kot dodatek za termostat, in si ga nehote kar sami naložijo. Druga nevarnost je nakup rabljenih pametnih termostatov, ki so na Ebayju že naprodaj, saj je zelo težko preveriti, kaj točno je nameščeno in kaj morebiti podtaknjeno vanje. Glavni očitek? Strojna programska oprema bi morala biti digitalno podpisana, izvrševanje uporabniških datotek z najvišjimi privilegiji pa nemogoče.
Zabavno ali kaj več?
Sprožitev vibratorja na daljavo verjetno res ne bo imela hujših posledic, prav tako nas lasten termostat ne bo zadrževal kot talce. Napadi na senzorje pametnih avtomobilov in odklepanje pametnih ključavnic so po drugi strani bistveno bolj problematični. Ti in še vrsta drugih podvigov kažejo, da bo tehnologija vedno ranljiva. Na to pač moramo računati pri snovanju vsakega sistema.
Na Defconu ne manjka dobre volje in zanimivih domislic. Slika: Jayson E. Street
V We-Vibu so prišli na zamisel, da bi vibrator (v sredini) povezali v internet, vsi drugi pa na to, da bi ga pohekali. Slika: We-Vibe
Pametne ključavnice bi se glede na vse ranljivosti morale imenovati neumne ključavnice.