Legyünk paranoidok - mely eszközök a leginkább meghekkelhetők?
2015. 06. 16.
Ez a cikk elmúlt egy éves, így elavult lehet.
Közhely, de igaz: nincs olyan informatikai eszköz, amit nem lehetne meghekkelni. Melyek azonban azok az extrémebb típusú megoldások, amely egy átlagembert is aggaszthatnak?
Az egy dolog, hogy a kínaiak a Sony szervereit hekkelgetik, ez bennünket nem feltétlenül kell, hogy ébren tartson éjszakánként. Történnek azonban olyan esetek is, amely a IT biztonságtechnikával foglalkozó közösséget is meglepetésként érték: nem is feltétlenül a módszerek kifinomultsága miatt, hanem a választott célpontoknak köszönhetően.
ATM feltörése
A legtöbb pénzkiadó automata egy általunk is ismerhetett operációs rendszert futtat; Windows-t, a Linux valamelyik változatát, de a lényeg az, hogy gyakran megtalálható rajtuk valamilyen JAVA technológián alapuló megoldás. A Javánál pedig kevesebb biztonsági résektől hemzsegő produktum létezik, bár nagy előnye, hogy minden platformon egységes működést biztosít. Az ATM-eket ráadásul nagyon ritkán szokták a havi frissítéssel ellátni, arról nem is beszélve, hogy sokszor még az eszközhöz készült alapjelszó sem kerül megváltoztatásra. Ha valaki kíváncsi ilyen esetekre, tekintse csak meg az alábbi videót. (A 35. percnél zajlik a művelet érdemi része.)
https://www.youtube.com/watch?v=Ss_RWctTARU
Pacemakerek
Csakúgy, mint a fenti videón látottak, ezek a trükkök is Barnaby Jack munkásságához kötődnek. Az orvosi eszközök (az USA-ban legalábbis) 5-10 éves fejlesztési ciklusban kerülnek forgalomba, vagyis mire megvásárolhatóak lesznek, akkor már legalább öt évnyi elmaradásban van a szoftverük. Ezt kihasználhatják a hekkerek, és akár egy szívritmus-szabályzó működését, sőt, még egy inzulinadagoló dózisát is tetszés szerint változtathatják meg. A Wired magazin egyik írásában arra világít rá, mennyire egyszerűen meghekkelhetők a kórházi berendezések, amelyek egy részénél még az alapértelmezett jelszót sem lehet megváltoztatni.
Kártyalehúzás
Itt kétféle esettel szembesülhetünk: az egyik az, amikor a hekkerek egy "skimmer", azaz lehúzó eszközzel szerelik fel a bankautomatát, amelyből ha a gyanútlan áldozat pénzt vesz fel, a hekker megtudja a kártya információit és PIN kódját. Legyárt egy csomó azonos kártyát, különböző helyeken leszipolyozzák a pénzt és mire a bank észreveszi a dolgot, már árkon-bokron túl vannak. Persze a bűnüldözési szervek sem hagyják magukat: a felfedezett eszközt GPS nyomkövetővel látták el, és így le tudták fülelni a tolvajokat, amikor azok begyűjtötték az eszközüket. A tolvajok módszerei is egyre kifinomultabbá, és az eszközeik is egyre nehezebben észrevehetőkké válnak, sőt, Bluetooth eszközök használatával még arra sem lesz majd szükségük, hogy személyesen kelljen begyűjteni a lehúzó eszközt.
A másik módszer egy kicsit talán még ijesztőbb: az RFID érintéses fizetési lehetőséggel ellátott kártyákról van szó (MasterCard PayPass, pl.) - itt ugyanis az ügyes hekker a védetlen RFID-s eszköz adatait (ez lehet akár útlevél vagy belépőkártya is) messzebbről is le tudja olvasni egy RFID-olvasóval anélkül, hogy a kártya egyáltalán a kezébe kerülne. Elég egy pláza forgalmas csomópontjába állnia, aktiválnia a mellette elhaladók kártyájában a chipet és már viszi is az adatokat.
A cikk második részében további meghekkelhető eszközökről, ill. extrém módszerekről olvashatunk majd.