Tai kas gali būti pajungta į kompiuterinį tinklą - gali būti ir nulaužta
Kompiuteriai ir telefonai - populiariausi taikiniai, bet „nulaužtų“ tarpe atsiranda ir automobiliai, namų apsaugos sistemos, televizoriai ir net naftos perdirbimo stotys.
„Viskas kas pajungta į tinklą - gali būti ir nulaužta“ - tai šiemet Black Hat ir DefCon saugumo konferencijose, vykusiose Las Vegas’e, pranešė ten susirinkę saugumo ekspertai ir programišiai.
Įprastai, gerieji programišiai suradę saugumo spragą apie ją praneša gamintojams ar sistemų kūrėjams, kad pastarieji galėtų ją(s) užlopyti iki apie spragą bus pranešta viešai ir ja galės pasinaudoti „blogiečiai“.
Nuotoliniu būdu valdomi automobiliai
Jei kas „nulaužia“ jūsų kompiuterį - galite pajusti nepatogumą, jei kas „nulaužia“ jūsų automobilį - galite ir nieko daugiau nebejausti.
Nors visiškai autonominės transporto priemonės dar tik ateities planuose, tačiau ta ateitis ne tokia jau ir tolima.
Penktadienį poroje DefCon konferencijos pristatymų Australijos programišius Zoz pabrėžė pilnai automatizuotų transporto priemonių saugumo spragas ir pabrėžė, kad automobilių „nulaužimai“ - neišvengiami.
Autonominės transporto priemonės iš tiesų yra robotai ir jų veikimas priklauso nuo įvairių jutiklių padedančių jiems „suvokti“ aplinką. Zoz sakė, kad programišius gali pilnai perimti tokio automobilio valdymą pasinaudodamas bevieliu tinklu arba siųsti klaidingus duomenis į automobilio jutiklius, pvz. judėjimo greičio ir atstumo iki kitų objektų.
Nors autonominiai automobiliai dar tik laukia mūsų ateities parduotuvėse, tačiau elektronikos elementų netrūksta ir šiuolaikinėse transporto priemonėse. Šios funkcijos kontroliuoja stabdžių sistemą, akceleratorių, vairo sistemas, automobilio monitorius rodančius įvairią informaciją ir net saugos diržus.
Gerai Apple vartotojams žinomas saugumo ekspertas Charlie Miller ir jo kolega Chris Valasek gavo JAV kariškių DARPA (angl. Defense Advanced Research Projects Agency) sutikimą patikrinti kokią žalą programišiai gali padaryti automobiliams Toyota Prius ir Ford Escape.
Norėdami prieiti prie automobilių sistemos, jie turėjo fiziškai pajungti kompiuterį prie automobilio diagnostikos jungties ir pasinaudoti savo sukurta, automobilių sistemoms nulaužti skirta programa. Užvaldę automobilį jie programos pagalba atjungė stabdžius, privertė automobilį rodyti neteisingą greitį ir kuro lygį, „smaginosi“ su vairu ir saugos diržais. Jie sugebėjo visiškai sugadinti variklį ir žaisti su kiek mažiau pavojingomis automobilio funkcijomis, tokiomis kaip šviesos ir signalas.
Toyota atstovus nustebino toks neįprastas pristatymas ir jie pažadėjo daugiau dėmesio skirti automobilio elektroninių funkcijų saugumui, kad į jas programišiai negalėtų pasikėsinti pasinaudoję bevieliu ryšiu.
Mobilūs telefonai
Kompiuterių puldinėjimai maitina daugelį programišių ir yra sukurta ištisas verslas juodojoje rinkoje pridavinėjant piktybinio kodo programas ar virusus. Šis verslas sukūrė ir kitą verslą - programų kovojančių su virusais ir kitais kompiuterinių sistemų programiniais kenkėjais.
Sekantis programišių tikslas - išmanūs mobilieji telefonai, kurie taip pat gali būti ir yra sėkmingai puldinėjami ir gausiai papildo šiems įrenginiams virusus kuriančių programuotojų kišenes.
Kevin MxNamee pademonstravo piktybinį kodą, kurio pagalba Android įrenginį galima paversti šnipinėjimo įrankiu nuotoliniu būdu sekti telefono savininką, siunčiant jo buvimo vietą, bendravimo informaciją ir turinį, nuotraukas ir t.t. trečioms šalims. Šis „nulaužimas“ nėra naujas, tačiau McNamee tai pademonstravo įdiegdamas piktybinį kodą į populiarų žaidimą „Andgy Birds“. Kai žaidimas buvo įdiegtas - telefonas tapo nuotolinio sekimo įrankiu, o vartotojas to net neįtarė.
Konferencijoje buvo pademonstruotas ir Verizon naudojamų nedidelių įrenginių, naudojamų mobilaus tinklo veikimo zonos praplėtimui, nulaužimas. Šio nulaužimo pagalba galima įsiterpti į pokalbius, juos klausytis bei perimti visą informaciją siunčiamą mobiliuoju ryšiu (SMS, naršymo istoriją, nuotraukas). Verizon ištaisė šią saugumo spragą, bet tai nereiškia, kad ji neliko kitų operatorių naudojamoje įrangoje.
Panaudodami 45 JAV dolerių vertės įrangą, saugumo ekspertai Billy Lau, Yeongjin Jang ir Chengyu Song pavertė, nekaltai atrodantį iPhone įkrovėją, įrankiu leidžiančiu rinkti tokią informaciją kaip slaptažodžiai, elektroniniai laiškai, buvimo vieta bei kitą informaciją tiesiai iš mobilaus telefono. Apple padėkojo tyrėjams ir sakė, kad šios spragos naujojoje, šį rudenį pasirodysiančioje iOS 7 versijoje nebeliks.
Per daug išmanūs namai
Nebrangių mažasrovių jutiklių pagalba, bet kas jūsų namuose gali tapti išmaniu prietaisu pasijungiančiu prie interneto ir leidžiančio kontroliuoti namus mobilaus telefono pagalba. Namų apsaugos sistemos, jei jos „nulaužiamos“ gali sukelti daugiausiai rūpesčių. Atskiros demonstracijos metu konferencijoje buvo parodyta, kaip nulaužti „išmanias“ durų spynas.
Kita, nerimą kelianti, konferencijoje pademonstruotų „nulaužimų“ banga buvo vartotojo sekimas naudojantis jo kompiuteryje įdiegta interneto kamera. Programišius kamerą gali atjungti arba paversti ją sekimo įrankiu. Vienos demonstracijos metu buvo parodyta, kaip iš vaikiško žaislo vaizdo signalą į kompiuterį siunčianti vaizdo kamera, be didelių pastangų, buvo paversta sekimo įrankiu.
Ekspertai Aaron Grattafiori ir Josh Yavor pademonstravo Samsung Smart TV surastas saugumo spragas, kurių pagalba galėjo stebėti vaizdą naudodamiesi televizoriuje įmontuota vaizdo kamera. Daugelis saugumo ekspertų sakė, kad saugiausias būdas apsisaugoti nuo sekimo panaudojant kompiuteryje įdiegtą vaizdo kamerą - yra ją užklijuoti nepermatoma juosta.
Programišiai gali nusitaikyti į ką nors asmeniškai
Namie, visiškai nebrangiai pačio sukonstruotas įrenginys gali leisti sekti kitus žmones naudojant jų turimą kompiuterinę įrangą (išmanūs telefonai taip pat kompiuteriai), net jei pastaroji nėra prisijungusi į Internetą.
Brendan O’Connor vadovaujantis saugumo kompanijai ir baigiantis teisininko studijas sukūrė, savo paprastumu stebinantį įrenginį, pavadintą „CreepyDOL“ (DOL - Distributed Object Locator; “Creepy” ir taip aišku). Įrenginio savikaina 57 JAV doleriai, o sudedamosios dalys Raspberry Pi kompiuteriukas, USB šakotuvas, 2 Wi-Fi jungtys, SD kortelė ir „neaiški juoda dėžutė“ maitinama per USB.
Kompiuteriai ir telefonai tarnauja kaip sekimo įrankiai ir be perstojo perduoda įvairią informaciją. Įjungus CreepyDOL - įrenginys aptinka netoliese esančius telefonus ir kompiuterius ir naudoja juos žmonių sekimui sugebėdama atrasti kas jie tokie yra, kur jie eina ir kuo jie užsiima internete.
Nepažeisdamas įstatymų O’Connor parodė savo paties informaciją, kurią surinko įrenginys. Naudodamas Open Street Maps jis paspaudė ant taško žemėlapyje po ko buvo parodyta jo informacija: elektroninis pašto adresas, nuotrauka, svetainės kurias jis naudoja, informacija apie įrenginį ir vietos kuriose jis lankėsi būdamas mieste.
Anot O’Connor - piktavalis gali pajungti įrenginį kur nors viešoje kavinėje kur yra daug žmonių, savo pavyzdyje ekspertas kaip pavyzdį paminėjo Starbucks prie Kapitolijaus, ir laukti kol pasirodys senatorius, jį sekti ir laukti kol jis padarys ką nors kompromituojančio.
Pramoninės sistemos
Labiausiai bauginantys, konferencijoje pademonstruoti, taikiniai yra nesusiję su privačia žmonių informacija.
Daugelis svarbių naftos ir dujų vamzdynų, vandens saugyklų ir stočių yra potencialūs programišių taikiniai. Daug šio tipo įmonių įrengtos tada kai apie kibernetines atakas niekas nebuvo net girdėjęs ir prie interneto pajungtos nenaudojant saugių protokolų. Internetas joms reikalingas tam, kad nuotoliniu būdu stebėti jų darbą ir fiksuoti sutrikimus, nes kaip taisyklė, vamzdynai tęsiasi ilgus kilometrus.
Visa eilė pristatymų konferencijų metu rodė kaip paprasta „nulaužti“ energetikos sistemas.
Saugumo ekspertai Brian Meixell ir Eric Forner naudodami maketą pademonstravo naftos pompų ir skysčio konteinerio pripildyto arbatos „nulaužimą“. Jie įsibrovė į sistemą, įjungė ir išjungė pompas ir „perpildė“ konteinerius tiesiog sistemai pateikdami klaidingus duomenis. Anot ekspertų, jei tai būtų įvykę realioje situacijoje - rezultatas būtų ekologinė katastrofa.
Galima išjungti visą pramoninį pastatą būnant nuo jo per 50 kilometrų naudojant paprasčiausią radijo bangų siųstuvą. Carlos Penagos ir Lucas Apa pademonstravo, kaip pasiunčiant klaidingus duomenis galima priversti sistemas elgtis neteisingai. Pavyzdžiui kas nors gali priversti vandens saugyklos baką persipildyti vien pasiuntęs klaidingą informaciją apie per aukštą vandens temperatūrą.
JAV vyriausybės ir pramonės atstovai pripažįsta šią bėdą ir ją žino silpnąsias vietas, tačiau tokių pramonės šakų technikos atnaujinimas nepaprastai brangus ir sudėtingas, o jose naudojamos sistemos nepritaikytos įdiegti atnaujinimus ir užlopyti saugumo spragas kaip kad daroma kompiuteriuose.
Apie didžiausius kibernetinius nusikaltimus skaitykite straipsnyje: „Didžiausi kibernetiniai nusikaltimai padaryti tarp 2006 metų ir 2013 metų birželio mėnesio“.