22/03/2018

Małe oszustwa: darmowa kawa, szpiegujące taksówki i port lotniczy bez zabezpieczeń

Zagrożenia

Serwisy informacyjne często przytaczają historie, w których różne błędy komputerowe i luki są wykorzystywane do przeprowadzania wyrafinowanych incydentów na dużą skalę. Jednym z przykładów mogą być zeszłoroczne ataki WannaCry czy NotPetya. Jednak eksperci wiedzą, że największe oszustwa i włamania są wynikiem podstawowych błędów popełnionych przez producentów systemów lub podczas ich instalacji.

Niepoprawnie skonfigurowane systemy można spotkać wszędzie. Gdy szczęśliwym odkrywcą okaże się jakiś haker, w ciągu zaledwie kilku godzin może on sobie całkowite podporządkować daną zdobycz. Podczas wydarzenia Security Analyst Summit 2018 izraelski badacz Inbar Raz zaprezentował wiele przykładów, które to potwierdzają.

Darmowa kawa

Coraz więcej kart lojalnościowych kawiarni działa na podobnej zasadzie: klient otrzymuje kartę, doładowuje ją, a następnie płaci nią za kawę, zbierając bonusy za duże lub częste zakupy. Swoje saldo można sprawdzić na stronie sieci kawiarni, wprowadzając numer karty.

Inbar Raz miał taką kartę i zauważył, że wspomniana strona internetowa umożliwia użytkownikom sprawdzanie kart posiadających dowolny numer tyle razy, ile tylko dusza zapragnie. Korzystając z niewielkiego programu, który napisał w godzinę, Raz sprawdził wiele różnych numerów kart i zanotował te, które wydają najwięcej.

Następnie, po odczytaniu paska magnetycznego swojej karty przy użyciu niedrogiego czytnika USB Raz odkrył, że liczby zostały zapisane na karcie w postaci niezaszyfrowanej, a jedynym zabezpieczeniem był bit kontrolny, który można było stosunkowo łatwo obliczyć. W takich okolicznościach zamiana numeru znajdującego się na pasku magnetycznym karty na jeden z numerów znalezionych w poprzednim kroku oraz wykorzystanie czyich funduszy było dziecinnie proste.

Z powodów etycznych Raz udowodnił koncepcję w praktyce, kupując inną kartę, doładowując ją i przypisując jej numer do pierwszej karty. Zadziałało. Teoretycznie spostrzegawczy pracownik kawiarni mógłby dostrzec oszustwo, porównując numer nadrukowany na karcie z numerem na paragonie. Jednak w praktyce tak się nie dzieje. A zatem, haker może uzyskać w ten sposób nielimitowaną darmową kawę — a być może i ciastko.

Śledzenie w stylu Ubera

Nie tak dawno temu zrobiło się głośno o przedsiębiorstwie Uber za sprawą skandalu — jego pracownicy mieli nadużywać aplikacji mobilnej do śledzenia ważnych pasażerów.

Okazało się, że inne firmy taksówkarskie także to umożliwiają, a w dodatku nie trzeba być ich pracownikiem. Inbar Raz odkrył, że gdy zamawia się taksówkę przez internet, jej status można śledzić, korzystając z kontaktowego numeru telefonu — i podobnie jak w przypadku darmowej kawy, nie ma tu śladu zabezpieczeń przed wyszukiwaniem z wykorzystaniem metod siłowych.

Ekspert napisał niewielki program, dzięki któremu stworzył mapę wskazującą wszystkie adresy, pod które zamówione zostały taksówki danej firmy.

(Nie)bezpieczne lotnisko

Standardowe darmowe Wi-Fi czasami zawiera ukryte niespodzianki. W saloniku biznesowym jednego z lotnisk Europy Wschodniej Inbar Raz postanowił sprawdzić konfigurację lokalnego punktu dostępowego.

Okazało się, że ustawienia routera można było otworzyć w standardowym adresie internetowym bez konieczności podawania hasła administratora. Po przeanalizowaniu ustawień Raz zrozumiał, że nie był to zwykły punkt dla gości, ale główny router lotniska, z którym połączone były systemy odpowiedzialne za wydawanie dyspozycji i bezpieczeństwo. Usługi te mogła wyłączyć każda osoba posiadająca laptopa, a nawet smartfona.

Programiści i administratorzy systemu: uważajcie! Nie zakładajcie, że Wasza mała kawiarnia (czy firma z usługami taksówkarskimi, czy lotnisko) nie jest zbyt atrakcyjnym celem dla hakerów. Standardowe ustawienia, proste hasła typu „admin” czy „12345”, a także brak mechanizmu CAPTCHA lub innych środków chroniących przed zautomatyzowanymi atakami, to najczęstsze faux pas w bezpieczeństwie, a równocześnie najprostsza droga dla atakujących. Mogą wykorzystać je nawet początkujący hakerzy. A osób pokroju Inbara Raza — czyli ludzi, którzy odpowiedzialnie poinformują Was o wykrytych lukach, a nie wykorzystają ich do własnych celów — naprawdę jest niewiele.