Czarne kapelusze kontra federalni, czyli smaczki konferencji dla hakerów

Czarne kapelusze kontra federalni, czyli smaczki konferencji dla hakerów

Konferencje specjalistów od bezpieczeństwa informatycznego, potocznie zwane konferencjami hackerów zawsze powodują wysyp informacji na temat problemów z zabezpieczeniami. Można to zauważyć szczególnie podczas organizowanych latem DEF CON oraz Black Hat Briefings – trochę mniej podczas europejskiego Chaos Computer Congress (organizowanego niegdyś w Berlinie, a ostatnio w Hamburgu).

Czarne kapelusze kontra federalni

Takie nagromadzenie specyficznego rodzaju ludzi jakimi są hackerzy w jednym miejscu musi prowadzić do ciekawych wydarzeń, jak i do zainteresowania służb specjalnych. W szczególności w trakcie DEF CON pomiędzy „federalnymi” a hackerami możemy obserwować rodzaj z trudem wypracowanego kompromisu. A bywało gorąco! Na przykład w 2001 roku, dzień po swojej prezentacji aresztowany został rosyjski programista Dmitry Sklyarov – pokazywał on metodę złamania zabezpieczeń ebooków od Adobe. Podobnie w 2005 roku problemy prawne spotkały Mike’a Lynna za pokazanie błędów w routerach Cisco.

Później było trochę lepiej – w 2012 roku własną prezentacje miał okazję przedstawić dyrektor NSA (National Security Agency), choć nie poszło mu gładko – musiał odpowiadać na pytania o podsłuchiwanie własnych obywateli.

W 2013 roku organizatorzy DEF CON-u publicznie ogłosili: „Federalni, odpocznijmy trochę od siebie!”, prosząc agentów rządowych służb o nie przybywanie na konferencję.

Co przyniosły nam tegoroczne konferencje? (W każdym razie DEF CON i Black Hat Briefings, jako że Chaos Computer Congress odbędzie się dopiero w grudniu.) Oto niektóre z informacji, które uzyskaliśmy właśnie dzięki prezentacjom na tych konferencjach:

Rootkity w procesorach

Christopher Domas pracujący dla Batelle Memorial Institute pokazał błędy w procesorach Intela umożliwiające instalowanie na nich rootkitów. Była to luka, która istniała w architekturze Intelowskich chipów od 1997 roku. Na szczęście błąd nie obejmuje najnowszych generacji procesorów.

Błąd w Androidzie – atak przez MMS

Głośny błąd w Androidzie, narażający na atak ponad 90% urządzeń z tym systemem operacyjnym, był opisywany szeroko również w Spider’s Web. Sprawa ujrzała światło dzienne właśnie dzięki prezentacji podczas tegorocznej konferencji Black Hat Briefings. Co ciekawe, w trakcie tej samej konferencji swoją prezentację miał również… główny inżynier bezpieczeństwa Androida, Adrian Ludwig.

shutterstock_180687500

Hackowalne samochody

Obie konferencje przyniosły doniesienia o problemach z bezpieczeństwem naszych coraz bardziej skomputeryzowanych samochodów.

W trakcie DEF CON słynny niezależny badacz bezpieczeństwa Samy Kamkar (ten, który kiedyś przerobił zabawkę z serii Barbie w uniwersalnego pilota do drzwi garażowych), pokazał urządzenie przechwytujące kod z kluczyków samochodowych. Samochód się nie otworzył, wciskamy więc ponownie, tym razem z sukcesem – nie zdajemy sobie jednak sprawy że złodziej może już otworzyć samochód naszym wygenerowanym, ale nie użytym kodem.

Samy to ciekawa postać, nie tylko dlatego, że swoją stronę ma w domenie pl (samy.pl). Warto poczytać o jego innych dokonaniach.

Informacji o samochodowych lukach w bezpieczeństwie nie zabrakło również podczas Black Hat Briefings. To właśnie tam zaprezentowano szeroko dyskutowaną w mediach możliwość przejęcia kontroli nad samochodem (m.in. Jeep Cherokee oraz Chrysler) poprzez system audio zainstalowany w samochodzie. Hackerzy zaprezentowali m.in. kontrolę nad hamulcami i wspomaganiem kierownicy – co prawdopodobnie wystarczyłoby do spowodowania wypadku.

Producenci, nie spoczywajcie na laurach

Nic tak nie motywuje producentów sprzętu i oprogramowania jak publicznie ogłoszona luka w ich produktach. Choć etyczni hackerzy (a tacy prezentują swoje odkrycia publicznie na takich konferencjach) informują lojalnie najpierw głównych zainteresowanych, czyli firmy odpowiedzialne za lukę, i tak jest to niezły prztyczek w nos. Dzięki tegorocznym konferencjom mamy więc patche Intela, Androida jak i wycofanie 1,4 mln samochodów Chryslera.

Pamiętajmy że w erze Internet Of Things coraz więcej urządzeń wokół nas stanie się podatnych na luki bezpieczeństwa – i, mówiąc potocznie – hackowalnych. To właśnie ludzie tacy jak uczestniczy konferencji dotyczących bezpieczeństwa wzięli na siebie ciekawe, ale i czasem niebezpieczne zadanie znajdywania takich luk.

*Grafiki pochodzą z serwisu ShutterStock.

Advertisement

Dołącz do dyskusji

Advertisement
Advertisement