05/08/2013

Hakowanie wszystkiego na konferencji Black Hat

Zagrożenia

Las Vegas – ostatniego dnia lipca i pierwszego dnia sierpnia, hotel i kasyno urządzone w stylu rzymskiego imperium na Pustyni Mojave odegrało rolę gospodarza konferencji, które dyrektor Narodowej Agencji Bezpieczeństwa (NSA) – generał Keith Alexander – pobłażliwie scharakteryzował jako największą koncentrację talentów technicznych na naszej planecie. Co najmniej dwóch członków z tłumu udowodniło generałowi jego niesubletalne wywyższanie się podczas napiętego, środowego poranka ośmieszając go i nazywając kłamcą – nie dlatego, że wygłaszane przez niego opinie nie były prawdziwe, ale dlatego, że nadzoruje on agencję, która może (lub nie) bezkarnie monitorować dane wymieniane przez amerykańskich obywateli. Co ciekawe, dyrektor NSA wydaje się twierdzić, że jego agencja posiada możliwości, a nie uprawnienia do przeprowadzenia takiego kuluarowego kolekcjonowania danych. Jak na ironię, w przeszłości urzędnicy wysokiego szczebla stanowczo zaprzeczyli przed Amerykanami i Kongresem, jakoby ktokolwiek dobrowolnie nadał NSA taki przywilej.

70_black_hat_hacking_in_the_real_world

Na konferencji bezpieczeństwa Black Hat ścierają się ze sobą dwa światy: z jednej strony wydarzenie jest niezaprzeczalnie związane z korporacjami. Jest wypełnione najbłyskotliwszymi, najlepiej opłacanymi i najbardziej poważanymi informatykami i specjalistami do spraw zabezpieczeń IT na świecie. Zdecydowana większość prezentacji była ukierunkowana na przedsiębiorstwa, choć, na szczęście dla nas, w tym roku prowadzono również wiele rozmów dotyczących zwykłych użytkowników.

 

Z drugiej strony, zdarzeniu towarzyszył ogromy tłum amatorów. Jeżeli posiadasz komputer, smartfona lub cokolwiek o jakiejkolwiek wartości, podczas konferencji Black Hat, w Las Vegas, Nevada – a w szczególności w Pałacu Cezara – znajdujesz się w jednym z najbardziej nieprzyjaznych środowisk w świecie zachodu (są to nieco przesadzone, choć na topie, słowa e-maila, który otrzymałem od firmy obsługującej zdarzenie). Sieci bezprzewodowe, bankomaty i wszyscy, których wcześniej nie spotkałeś nie są godni zaufania. Dodatkową frajdę na konferencji Black Hat dla hakerskiej klienteli stanowi możliwość upokorzenia i okradzenia Cię. Jedynym bezpiecznym miejscem, aby uzyskać dostęp online jest pokój prasowy usiany labiryntem kabli ethernetowych. Aż dziwny wydaje się fakt, że spędzamy większość dnia z dala od enklawy połączenia internetowego w pokoju prasowym siedząc offline podczas prezentacji na jednej z najsłynniejszych konferencji technicznych na świeci.

 

Jeszcze dziwniejszy jest, wciąż obecny, podział na amatorów bez żadnego formalnego wykształcenia oraz naukowców posiadających tytuł doktora w dziedzinie matematyki. Granica pomiędzy cyberprzestępcami i ubranych po cywilnemu przedstawicieli rządu bardzo się rozmywa – zwłaszcza, gdy uświadomisz sobie, że obie te grupy, chcą dowiedzieć się wszystkiego o tych samych technikach ataku. Nie ma wątpliwości, że prawie wszyscy tutaj są hakerami i haking jest jedyną rzeczą, o której się tu mówi.

 

Hakowanie ludzi

 

Niestety, Barnaby Jack zmarł zaledwie tydzień przed wygłoszeniem swojej zaplanowanej prezentacji „Wyroby medyczne do implantacji: Hakowanie ludzi”. Był to genialny specjalista w dziedzinie bezpieczeństwa kierujący badaniami nad medycznymi urządzeniami do implantacji (urządzenia medyczne do implantacji, jak pompy insulinowe i rozruszniki serca, są wszczepiane w ciało pacjenta), temat ten zamierzamy rozwinąć wkrótce. Wiele z tych urządzeń transmituje sygnały i ma możliwość komunikowania się bezprzewodowo z urządzeniami znajdującymi się poza ciałem pacjenta. Można je zatem coraz łatwiej zhakować, dlatego śmierć Barnaby Jacka jest szczególnie nieodżałowana. Był to bardzo lubiany haker z Nowej Zelandii znany z dostarczenia dwóch bankomatów na prezentacje podczas konferencji Black Hat kilka lat temu. Podczas prezentacji usiadł przy swoim laptopie i przełamał zabezpieczenia bankomatów w każdy możliwy sposób. Manipulował treścią wyświetlaną na ich ekranach. Sprawił, że jeden z nich interpretował banknoty 20$ jako 5$. A na koniec swojej prezentacji wymusił, aby drugi bankomat wypłacił całą swoją zawartość na scenę.

 

Hakowanie domów

 

W tym roku na konferencji Black Hat miały miejsce trzy prezentacje dotyczące bezpieczeństwa domów. Podczas prezentacji, która wydawała się poruszać najelementarniejsza tematykę podczas całej imprezy, naukowcy Drew Porter i Stephen Smith zademonstrowali w jak niesamowicie prosty sposób można obejść domowe i biurowe systemy bezpieczeństwa. W Stanach Zjednoczonych znajduje się około 36 milionów zagrożonych systemów i te, które są badane, składają się z trzech podstawowych elementów: drzwi i okna, czujniki ruchu i klawiatura. Klawiatura, jak mówiono, jest mózgiem operacji. Klawiatura uzbraja i rozbraja system przekazując stronie trzeciej informacje, jeżeli jeden z czujników został aktywowany.

 

Porter i Smith pokazali, że mogą oszukać czujniki oparte na obwodzie za pomocą bardzo tanich produktów, takich jak magnesy i paski metalu. Czujniki oparte na obwodzie to takie, które tworzą obwód z czujnikami stykającymi się po obu stronach (obwód zamknięty: wszystko w porządku). Jeżeli obwód zostanie przerwany (obwód otwarty: włamanie), być może przez otwarcie drzwi lub okna, czujnik alarmuje dźwiękiem i zgłasza do klawiatury, że doszło do włamania. Następnie klawiatura informuje stronę trzecią, że doszło do uruchomienia alarmu.

 

Alarmy czujników ruchu mogą zostać sfałszowane równie łatwo. Naukowcy nie wyjaśnili dokładnie, a moje rozumienie widma elektromagnetycznego jest nieco ograniczone, ale z jakiegoś powodu promienie podczerwone spowodowały zakłócenia czujników ruchu w alarmach. Gdy badacze oświetlili czujniki promieniami podczerwonymi, które dla wygody użytkowników są wbudowywane w powszechnie dostępne zapalniczki, czujniki nie uruchomiły alarmu. Byli również w stanie oszukać czujniki ruchu w prostszy sposób. Wystarczy osłonić się dużym kawałkiem tektury i czujniki nie zarejestrują ruchu.

 

Najbardziej niepokojące jest to, że klawiatury zawierają luki. Zasadniczo, klawiatura odbiera sygnały elektryczne z czujników. Jeśli czujniki są wyzwalane, informują klawiaturę, a ona odpowiednią stronę trzecią – w zależności od tego jak jest zaprogramowana. Albo policję, albo Twój telefon. Klawiatury komunikują się na trzy sposoby: przez telefony stacjonarne, komórkowe i transmisję danych. Można zablokować i przechwycić transmisje w przypadku każdego z nich.

 

Podczas innej dyskusji, Daniel Crowley, David Bryan i Jennifer Savage omówili ryzyko, z jakim mamy do czynienia, gdy łączymy nasze urządzenie domowe, takie jak grzejniki czy zamki do drzwi, a nawet toalety do naszych domowych sieci. Behrang Fouladi i Sahand Ghanoun omówili dokładniej ataki kierowane na luki w systemach automatyki domowej Z-Wave. Protokół Z-Wave cieszy się coraz większą popularnością i jest zdolny do sterowania systemami HVAC, zamkami do drzwi, oświetleniem, oraz dowolną liczbą innych urządzeń domowych.

 

Największym problemem z pełnymi luk urządzeniami systemu bezpieczeństwa w domu jest to, że nie mogą być uaktualnione lub poprawione jak ma to miejsce w przypadku komputera lub kawałka oprogramowania. Gdy firma Microsoft znajduje błąd, tworzy poprawkę i wysyła ją do Twojego systemu jako uaktualnienie. Większość systemów bezpieczeństwa nie ma zdolności do automatycznej aktualizacji oprogramowania, aby naprawiać błąd w produkcie. Serwisant obsługujący to urządzenie musi osobiście i na miejscu uaktualnić system, co jest zarówno kosztowne, jak i kłopotliwe. W większości przypadków nic nie stoi na przeszkodzie, aby naprawić te błędy, lecz pozostawiają luki systemowe. Ponadto, w przypadku podłączenia systemu do internetu, należy upewnić się, że ma on ochronę przed atakami zdalnymi i że proces aktualizacji jest zabezpieczony przed zdalnymi hakerami. Wielu producentów nie jest po prostu przygotowanych na rozgrywki w tej dziedzinie – jak zobaczysz na własne oczy w następnym akapicie.

 

Hakowanie w hollywoodzkim stylu

 

Craig Heffner, działający w Maryland specjalista w dziedzinie luk, zademonstrował jak włamać się do prywatnego i korporacyjnego systemu kamer nadzoru w iście hollywoodzkim stylu. Twierdzi, że tysiące takich kamer stosowanych w domach, firmach, hotelach, kasynach, bankach, a nawet więzieniach czy obiektach wojskowych i przemysłowych, jest dostępnych drogą internetową i narażonych na różnego rodzaju ataki, które można zobaczyć w filmach. Heffner opracował atak udowadniający jego twierdzenie, podczas którego mógł zdalnie „zamrozić” i manipulować obrazem wideo na urządzeniach.

 

Hakowanie telefonów

 

Szczególnie dwie prezentacje mogą mieć niszczący wpływ na zaufanie dla całego ekosystemu mobilnego. Pierwsza została wygłoszona przez niemieckiego naukowca z laboratorium Security Research Lab – Karstena Nohla i dotyczyła ataków na karty SIM. Druga prezentacja – „Jeden administrator do zarządzania wszystkim” – została wygłoszona przez Jeffa Forristala. Prezentacja była poświęcona powszechnie znanej tzw. kluczowej luce systemu Android. Dokładna relacja już wkrótce.

 

Zasadniczo, karta SIM jest bardzo małym, ale w pełni funkcjonalnym komputerem przeznaczonym do bezpiecznego przechowywania i przekazywania danych przez sieć komórkową. Nohl uzmysłowił uczestnikom, że karty SIM, znajdujące się w co najmniej miliardzie smartfonów, zawierają luki, ponieważ komunikują się za pomocą standardowego szyfrowania danych, powszechnie określanego jako DES. DES wykorzystywany niegdyś jako standard kryptograficzny, zatwierdzony przez Agencję Bezpieczeństwa Narodowego (NSA). Naukowiec wykazał, że DES jest często wykorzystywany, ponieważ wymaga niewiele pamięci i działa szybko. Niestety jest to dość stary i łatwo go złamać. Więc najwyraźniej karty SIM są produkowane tak, aby operatorzy sieci i dostawcy usług mogli komunikować się z nimi po sprzedaniu ich użytkownikowi końcowemu. Komunikacja ta jest konieczna podczas rozliczenia użytkownika i do wielu innych celów. Wymiana informacji między kartami SIM i dostawcami usług realizowana jest w zasadzie za pomocą wiadomości tekstowych, które nie są wyświetlane na telefonie, ale przetwarzane bezpośrednio przez samą kartę SIM. Nohl stwierdził, że prawie każdy telefon na świecie, zawiera kartę SIM z możliwością wysyłania i odbierania tego rodzaju wiadomości SMS bez wiedzy użytkownika. W ciągu trzech lat badań w Security Research Lab znaleziono tylko jeden telefon, który kompletnie ignorował komunikację over-the-air (OTA).

 

W celu zabezpieczenia tych informacji, wiadomości są zaszyfrowane lub chronione przez sygnatury kryptograficzne, albo są chronione za pomocą obu tych sposobów. Środki te nie robią zbyt wielkiej różnicy naukowcowi, ponieważ udało mu się złamać wiadomości bez względu na to, który sposób ochrony został użyty. Klucze są w dużej mierze oparte na starym algorytmie DES. Serwer OTA należący do dostawców sieci i same karty SIM korzystają z tego samego klucza – prawdopodobnie miało to na celu zaoszczędzenie miejsca na kartach SIM. Jeśli poznasz klucz, to możesz oszukać kartę SIM, że jesteś dostawcą sieci. Demonstracja Nohla zakładała dużo matematyki, której po prostu nie sposób krótko opisać, jednak najistotniejsze jest to, że po tym jak przekonał karty SIM, że jest serwerem OTA dostawcy usług, mógł wykorzystać tę sytuację na różne sposoby: wysłać wiadomości tekstowe na numery premium, kontrolować przekazywanie połączeń, uaktualnić firmware karty SIM i kraść inne dane z karty SIM, np. bezpieczne klucze do aplikacji płatniczych znajdujące się na niektórych kartach. Dobrą wiadomością jest to, że od kilku lat wielu operatorów rozpoczęło sprzedaż bardziej bezpiecznych kart SIM, stosujących szyfrowanie 3DES lub AES kart SIM.

 

Hakowanie prawa

 

Marcia Hoffmann z Electronic Frontier Foundation poprowadziła prezentację ostrzegającą o prawnych pułapkach, jakie naukowcy napotykają, kiedy wskazują luki w zabezpieczeniach. Jednym z powodów, przez które tak trudno jest zapewnić bezpieczeństwo w internecie, jest to, że hakerzy mający dobre intencje często popadają w prawne kłopoty gdy informują o lukach w systemach. Znaczna część prezentacji Marcii oscylowała wokół opisu konkretnych przypadków, ale jej ogólne przesłanie było ostrzeżeniem: niejasny język prawa prowadzi do selektywnej jego interpretacji. Miała na myśli to, że wiele ustaw, które rząd wykorzystuje do ścigania rzekomych przestępstw internetowych jest szalenie przestarzałych, uchwalonych w czasie, gdy internet i komputery wyglądały zupełnie inaczej. Dlatego potrzebujemy poważnych zmian.

 

Hakowanie telewizji

 

Nic dziwnego, że tak zwane inteligentne telewizory, które z każdym dniem coraz bardziej przypominają komputery, są tak samo zagrożone. Oddzielne prezentacje prowadzone przez SeungJina ‚Beista’ Lee oraz Aarona Grattafioriego i Josha Yavora wykazały szeroki wachlarz potencjalnych ataków na te szalenie drogie urządzenia, które sprzedają się co roku w dziesiątkach milionów.

 

Wprawdzie nie byłem w stanie wziąć udziału w jednej z tych prezentacji, ale zapoznałem się z dotycząca jej notką prasową. Grattafiori i Yavor odkryli liczne luki w podstawowych systemach operacyjnych tych podłączonych do internetu telewizorów. Obaj twierdzili i wykazali to w swoim wystąpieniu – że atakujący może zdalnie szpiegować liczne aplikacje zainstalowane na platformie, aby przejąć kontrolę nad urządzeniami i ukraść przechowywane na nich informacje dotyczące kont. Może to potencjalnie dać napastnikowi możliwość przejęcia kontroli nad wbudowanymi kamerami i mikrofonami, aby wykorzystać je do różnych działań związanych z nadzorem.

 

Hakowanie pojazdów

 

Na ten opis niestety musicie poczekać, drodzy Czytelnicy. Charlie Miller i Chris Valasek, biorący udział w Black Hat, prezentowali hakowanie samochodu na DEF CON – jeszcze bardziej zaawansowanej konferencji hakerów – która rozpoczęła się w dniu zakończenia Black Hat. Nie było mnie tam, ale na pewno będę pisać o ich demonstracji, jak tylko będę miał możliwość. Tymczasem zobaczcie jak Miller i Valasek przeprowadzają atak hakerski na samochód prowadzony przez reportera bezpieczeństwa Forbesa, Andy’ego Greenberga.

 

Hakowanie internetu

 

Jednym z bardziej abstrakcyjnych, ale nadal bardzo niepokojących zagadnień zaprezentowanych na Black Hat był przegląd najnowszych postępów w dziedzinie informatyki i matematyki. Mogłyby one w ciągu dwóch do pięciu lat doprowadzić do złamania aktualnie stosowanego standardu szyfrowania i certyfikatów w infrastrukturze całego internetu. Aby temu zapobiec, prawie każda firma produkująca produkty związane z internetem, czy to przeglądarka, serwer WWW, kamera bezpieczeństwa i wiele inne rzeczy, będzie musiała już teraz rozpocząć aktualizację oprogramowania korzystającego z nowoczesnych algorytmów zabezpieczeń.

 

Bardzo łatwo jest wrócić z Black Hat i myśleć, że internet jest już całkowicie zagrożony. Jednak optymistyczna prawda jest taka, że znaczna ilość niewyobrażalnie inteligentnych mężczyzn i kobiet prowadzących prezentacje i uczestniczących w tym wydarzeniu pracuje, aby „naprawić” internet i zabezpieczyć wszystkie media, przez które się z nim łączymy. Słuchanie ich wypowiedzi to jednocześnie niszczenie własnego ego, poprzez zestawienie własnej błyskotliwości z ich geniuszem oraz wzbudzenie przekonania, że po prostu może uda się to, co tak często wydaje się niemożliwe: stworzenie środowiska internetowego, które jest bezpieczne, dobrze chronione i promuje prywatność.