piątek, 9 listopada 2012

Scary Shit #5 – serduszko za firewallem

Imagine Dragons – Radioactive

W czasie niedawnej konferencji BreakPoint poświęconej bezpieczeństwu informacji jedna prezentacja zrobiła szczególne wrażenie. Barnaby Jack w trakcie wystąpienia pod tytułem „Hacking humans” zaprezentował jak można za pomocą zwykłego laptopa zdalnie wyłączyć rozrusznik serca lub śmiertelnie porazić jego właściciela.

Barnaby Jack od ponad 10 lat zajmuje się wyszukiwaniem zagrożeń i wrażliwych punktów wśród najróżniejszych technologii. Brał na cel drivery sprzętowe i bankomaty. Tym razem pokazał coś działającego na wyobraźnię i pokazującego znak naszych czasów. Wykrył dość prostą lukę w oprogramowaniu rozruszników serca pewnej firmy (którą zachowano w tajemnicy), wyposażonych w możliwość komunikacji bezprzewodowej.

Istnieje uniwersalne zapytanie, dla którego urządzenia te zwracają swój model oraz numer seryjny. Jak się okazało to dość by krok po kroku przejąć kontrolę nad rozrusznikiem. Oznacza to nie tylko możliwość zdalnego wyłączenia go, lub użycia funkcji defibrylatora, rażącej noszącego go napięciem 830 woltów. Oznacza to również możliwość wprowadzenia wirusa, który będzie zarażał inne rozruszniki, które pojawią się w zasięgu. Stąd jest już prosta droga do masowego morderstwa – wirus, odliczający do wyłączenia lub śmiertelnego porażenia.

Chciałbym tu jednak zaznaczyć jedno – rozrusznik z możliwością łączności bezprzewodowej oraz wbudowanym defibrylatorem to żadna głupota. To wspaniałe wynalazki ratujące życie i umożliwiające zdalną diagnozę i pomoc. Perspektywa noszenia własnego defibrylatora przy sobie, zawsze, to wspaniała rzecz dla ludzi z chorobami serca.

Tak czy inaczej poza paliwem dla RPGowców i wszelakich twórców, ten przypadek powinien być zbawiennym zwróceniem uwagi na problem, który można łatwo zlikwidować. Bo gdzie tkwi ten problem? W ignorancji i lenistwie. Wbrew pozorom, źródłem takich słabości i wielu wyczynów hakerskich nie jest geniusz cyberprzestępców. Możemy tworzyć niemal doskonałe zabezpieczenia cyfrowe. Nie ma prawdziwie doskonałych, ale są takie, w których trudność ich złamania będzie znacznie przekraczać opłacalność wysiłku. I to wystarczy. Głosowanie internetowe mogłoby być bezpieczniejsze od obecnego systemu, ale jak to przetłumaczyć tłumom w kraju i tłumokom w sejmie?

Niestety nie sięgamy po bezpieczeństwo, tylko po poczucie bezpieczeństwa. Mógłbym rozwinąć tę myśl, ale znacznie lepiej opowiedzieć o tym może Bruce Schneier. Dlatego zanim zaczniecie szykować scenariusz o hakerach implantów i egozszkieletów, którzy w ośrodku rehabilitacyjnym tworzą armię żołnierzy-zakładników (hmm chyba muszę to sobie zapisać…), zapraszam do zapoznania się z tym wystąpieniem:

TED – Bruce Schneier: The security mirage



Artykuł o prezentacji Barnaby Jacka



Brak komentarzy:

Prześlij komentarz