Bezpečnost mobilních a dalších elektronických zařízení
Hacker Jack Barnaby: když nejde o život...
Barnaby Jack se narodil 22. listopadu 1977 na Novém Zélandu. Od dětství jej fascinovaly počítače. Prošel jako specialista různými firmami, své místo ale našel v etickém hackingu.
Upozornil například na to, že bankomaty jsou prachmizerně zabezpečené a že je nesmírně snadné je – s trochou hlubších programátorských znalostí – ošálit. Ovšem největší slávu získal Jack Barnaby varováními před útoky proti lékařským zařízením. V říjnu 2011 na konferenci FOCUS 11 v Las Vegas předvedl bezdrátový útok na dávkovače inzulínu. S pomocí výkonné antény dokázal Jack převzít kontrolu nad různými dávkovači, a to aniž by o nich cokoliv věděl – dokonce ani sériové číslo či výrobce. Opakovaně dokázal přimět dávkovače, aby uvolnily maximální dávku 25 jednotek. A to až do okamžiku, kdy se vyprázdnil celý zásobník na 300 jednotek. To je mimochodem pro pacienta několikanásobek smrtelné dávky.
V roce 2012 dokázal napadnout také kardiostimulátor. Ve zprávě „Zlomené srdce“ na svém blogu tvrdil, že dokázal překonfigurovat kardiostimulátor tak, aby dal svému majiteli smrtelnou ránu 830 voltů. Zároveň tvrdil, že celý útok je mnohem jednodušší, než jak bylo prezentováno v televizi. Všem nevěřícím Tomášům pak na podzim 2012 vzal vítr z plachet, když útok živě demonstroval na konferenci v Melbourne.
„Všechna tato zařízení byla navržena tak, aby je v případě nouze mohl velmi snadno ovládat jakýkoliv lékař,“ vysvětloval Jack. Doplnil pak, že si dokáže představit vytvoření červa pro určitou značku kardiostimulátoru nebo defibrilátoru, který se bude šířit přímo ze zařízení na zařízení. Představa, ze které mrazí...
„Zabýváme se tu potenciálním počítačovým virem se schopností spáchat hromadnou vraždu," prohlásil loni v Melbourne. „Podobné útoky byly jako anonymní vražda. Zabiják by nepotřeboval jinou zbraň než notebook a vražda by po sobě nenechala žádné hmatatelné stopy ani vražednou zbraň.“
Varoval zároveň, že úřady pro kontrolu léků sledují sice účinnost a kvalitu lékařských přístrojů, ale absolutně ignorují bezpečnost jejich softwarového vybavení. Doložil to i demonstracemi, během kterých dokázal například přepsat firmware inkriminovaných přístrojů.
Na konferenci Black Hat 2013 v Las Vegas se chtěl Barnaby Jack zaměřit znovu na kardiostimulátory. Sliboval skutečnou lahůdku: jejich přeprogramování na smrtelný elektrický vývoj – a to na vzdálenost padesát metrů!
Svůj slib ale už neměl šanci splnit: 25. července 2013 byl nalezený mrtvý ve svém bytě v San Franciscu.
Stroje, které mění obsah dokumentů
Kontrolovali jste někdy naskenovaný dokument, zdali obsahuje přesně to, co originál? Asi ne. A nejste sami, takže dlouhé roky zůstávala nepovšimnuta chyba, kdy software při komprimaci elektronických dat měnil některá čísla. Problém objevil náhodou německý výzkumník David Kriesel a týkal se podle něj dvou typů Xerox WorkCentre 7535 a 7556: jenže se záhy ukázalo, že jím trpí i nejméně typy 7530, 7328, 7346 a 7545 a Xerox ColorQube 9203, 9201 a 8700. (A podle některých informací i hardware dalších výrobců.) Problém byl sice izolovaný (jen při skenování s rozlišením 200 dpi, při písmu Ariel 7 nebo 8 bodů, při komprimaci do formátu PDF), přesto po něm pachuť zůstává. Vždyť docházelo k modifikaci záznamů při pouhém kopírování! A jak na něco podobného vůbec přijít příště? Dovedete si představit důsledky této chyby ve zdravotnictví, při digitalizaci dokumentace, v letecké dopravě, technických výkresech, smlouvách, při řešení soudních sporů?
Příliš zvědavé brýle
„Brýle“ Google Glass slibují přinést skutečnou revoluci, protože posouvají rozšířenou realitu blíže ke každodennímu používání. Zatím je má k dispozici jen limitovaný počet výzkumníků a nadšenců. Jedním z nich je i Jay „Saurik“ Freeman, který ovšem objevil způsob, jak lze tyto brýle „hacknout“. Či přesněji: několik způsobů, protože na bezpečnost evidentně výrobce při tvorbě aplikace příliš nedbal. Google Glass se tak mohou stát silným špionážním nástrojem: mohou sledovat pohyb majitele stejně jako jeho úkony (zadávání PINů, přístupových kódů ke dveřím, počítačových hesel...), dokážou sledovat okolí nebo mohou majiteli zobrazovat podvržené informace. Dobrou zprávou budiž konstatování, že útočník potřebuje pro hacknutí Google Glass fyzický přístup. Tedy alespoň do doby, než někdo dříve či později objeví způsob, jak útok provést vzdáleně.
Příliš zvědavé aplikace pro Android
Organizace Bit9 tvrdí, že více než sto tisíc aplikací pro Android v obchodě Google Play (tedy zhruba 25 procent) představuje bezpečnostní riziko pro uživatele mobilních zařízení a firemní sítě, ke kterým se připojí. Podotýkáme, že aplikace nepředstavovaly přímé nebezpečí (např. instalací škodlivého kódu), ale že organizace Bit9 hodnotila jejich potenciální nebezpečnost: třeba to, jaká přístupová práva při instalaci vyžadovaly, jaká byla reputace vydavatele, jak často a jakým objem dat stahovaly z internetu apod. Díky tomu mělo plných 72 aplikací pro Android nejméně jedno nebezpečné nastavení. Bez zajímavosti není ani zjištění, že 42 procent aplikací využívá data lokalizace GPS: včetně spořičů obrazovky nebo tapet pozadí (!), her či nástrojů pro zvýšení výkonu hardware. Dále 31 procent aplikací přistupuje k telefonnímu adresáři nebo výpisu hovorů a 26 procent k osobním údajům jako je třeba e-mail. A plných 9 procent vyžaduje při instalaci souhlas uživatele s něčím, co by ho v konečném důsledku mohlo (dobrovolně) stát peníze. Víte, co si přesně instalujete - a co to skutečně dělá?
Internet věcí – katastrofa čekající na příležitost
Dle studie společnosti Gartner bude v roce 2020 na světě kolem třiceti miliard (!) zařízení připojených k internetu. Jen pro srovnání: v roce 2009 to bylo 2,5 miliardy připojených zařízení – zpravidla mobilů, tabletů nebo počítačů. Ovšem nyní nastupuje nová éra – éra „internetu věcí“ (Internet of Things). S masivním nástupem nových zařízení (připojeny budou měřiče energií, domácí spotřebiče, bezpečnostní hlásiče, čidla pohybu, oblékatelná elektronika apod.) se tak otevírá nový trh a zcela nová ekonomika, která by měla generovat roční obrat 309 miliard dolarů. Z toho bude osmdesát procent připadat na služby, zbytek na výrobu a prodej produktů. S tímto masovým připojením věcí k internetu se objeví zcela nové bezpečnostní výzvy: čekají nás zavirované ledničky, hacknuté televizory, obelstěná čidla... Fantazii se meze nekladou.
Nepředstavuje vaše lednička nebezpečí pro internet?
Proč vůbec útočníci napadají počítače? Nejen kvůli vandalismu, ale třeba i kvůli finančnímu prospěchu: třeba pro rozesílání spamu (nevyžádané elektronické pošty). Mohou posílat ohromné množství nabídek – a přitom nemusí platit nákup hardware nebo pronájem komunikační linky. Ale opravdu musí používat k rozesílání spamu jen počítače? Společnost Proofpoint detekovala tisíce „chytrých zařízení“, která byla připojena do podobné sítě vesele rozesílající nevyžádanou poštu. Šlo přitom o ledničky, set-top boxy, multimediální centra, televize nebo směrovače (routery)! Nebylo to poprvé: už v roce 2011 česká firma AdvaICT upozornila, že set-top boxy připojené k internetu jsou zapojené do podobných nelegálních aktivit. Výhoda jejich využití útočníky je nabíledni: u těchto zařízení se napadené jaksi nepředpokládá. A navíc nemají žádnou ochranu nebo bezpečnostní prvky.
Nová kategorie škodlivých kódů: autoviry
Přede deseti lety se všichni jen smáli tomu, že za dveřmi je doba, kdy bude nejčastějším důvodem k návštěvě autoservisu softwarová závada. Dnes už se nikdo nesměje.
První zpráva o škodlivých kódech, které by mohly napadnout automobily, se objevila na konci roku 2004. Tvrdila, že některé modely automobilky Toyota je možné napadnout pomocí (relativně) rozšířeného kódu Cabir: stát se tak mělo díky přenosu dat pomocí Bluetooth mezi mobilním telefonem a automobilem, který některé modely umožňovaly. Přestože Toyota podobnou možnost opakovaně popírala (tvrdila mj., že nevyužívá systém Symbian OS, ale vlastní proprietární řešení, a tudíž je vůči Cabiru imunní), legenda měla tuhý kořínek.
Vyvrátila ji až firma F-Secure, která si od automobilky půjčila jeden vůz a otestovala jej ve stíněné šachtě. Technici postupně zkoušeli několik modelů šíření Cabiru: nejprve z „cizího“ mobilu umístěného vně vozidlo, potom při synchronizaci mobilu majitele auta a nakonec se pokusili palubnímu systému přímo poslat virus. Všechny pokusy skončily stejně, vůz škodlivý kód vytrvale odmítal. Jen v některých speciálních případech docházelo k zablokování palubního počítače a výzvě pro řidiče, aby neprodleně zaparkoval na rovné ploše a zatáhl ruční brzdu. Po vypnutí a opětovnému zapnutí motoru ale bylo vše v pořádku. Mohli bychom tedy maximálně hovořit o útoku DoS (Denial of Service, odepření služby), ale ne o zavirování.
Předloni přinesla BBC reportáž o snadném otevření a nastartování automobilů BMW bez vlastnictví originálního elektronického klíče. Jen technické detaily vynechala. Americká organizace CAESS (Center for Automotive Embedded Systems Security, Centrum pro bezpečnost systémů integrovaných v automobilech) pak loni na jaře oznámila, že vytvořila kód CarShark, který se do vozidla dostává skrze CAN sběrnice (přes ně se typicky napojují diagnostické aparatury). A že kód dokáže modifikovat elektronické systémy velmi nepříjemným způsobem: brzdy nereagují, čidla nerozeznávají sílu působící na pedály, kdykoliv se dá vypnout motor... Jediný háček je v potřebě fyzického přístupu k CAN sběrnici.
CAESS ale tvrdí, že už má vypracované teoretické koncepty na ovládnutí vozidla skrze Bluetooth a mobilní telefon nebo přes CD se škodlivým kódem vložené do autorádia. A do budoucna nevylučuje i masové viry šířené z vozidla na vozidlo nebo otevření automobilu na dálku či odposlouchávání posádky.
Zdá se, že aplikace Car Total Security už klepe na dveře...
Mobilních hrozeb je víc a jsou komplexnější
Dle společnost Webroot došlo loni k výraznému nárůstu množství stejně jako komplexnosti mobilních hrozeb. A dodává to hned na konkrétních číslech, podle nichž jen pro platformu Android došlo k růstu hrozeb o 384 procent! Dále pak je dle ní nutné plných 42 procent aplikací pro Android považovat za škodlivé, nechtěné nebo přinejmenším podezřelé. A plných 29,3 procenta SMS zpráv je pak posláno z herních aplikací (pokud se Vám toto číslo zdá nebetyčně vysoké, pak vězte, že SMSky třeba v USA zdaleka nedosahují takové popularity jako v našich končinách). Webroot k těmto číslům oznámil analýzou 5,9 miliónu aplikací, 31 tisíc infekcí či 125 tisíc aktivací systému LDP (Lost Device Protection) na blíže neupřesněném množství mobilů. Jeho specialisté doporučují – pokud je to jen trochu možné – využívat oficiální stránky jako Google Play a iTunes, protože ostatní zdroje zpravidla nemají tak striktní pravidla týkající se bezpečnosti. Ovšem pozor, ani zde neexistuje stoprocentní záruka absolutní bezpečnosti!
Android & bezpečnost
Otevřený operační systém pro mobilní telefony Android se čím dál více dostává do popředí pozornosti – a to i z hlediska zajištění bezpečnosti. Jak je na tom tedy Android s bezpečností?
Vlastní Android je postavený na unixovém jádru, od čehož by se mohlo odvinout celé hodnocení. Nebylo by ale přesné: prakticky jakýkoliv z nejrozšířenějších operačních systémů lze nakonfigurovat a používat s velmi solidní bezpečnostní úrovní. Čili rozdíl budeme hledat jinde.
Ilustrovat si jej budeme na rozdílu mezi platformami iPhone či iPad a právě Android. Zatím prvně jmenované naleznete na zařízeních jediného výrobce, Android upravuje a dodává kdekdo (uvádí se počet zhruba 300 výrobců). Zatímco nahrávání aplikací do prvně jmenovaných jde přes jediný subjekt, aplikace pro Android podobnou „centrální autoritu“ nemají. Jistě, jeden dodavatele vs. několik dodavatelů rozhodně automaticky neznamená větší či menší bezpečnost, ale absence jasných pravidel a roztříštění zodpovědnosti je tou nejspolehlivější cestou k problémům.
Svědčí o tom i průzkum organizace Bit9, který tvrdí, že více než sto tisíc aplikací pro Android v obchodě Google Play (tedy zhruba 25 procent z celkového počtu) představuje bezpečnostní riziko pro uživatele mobilních zařízení a firemní sítě, k nimž se připojí. Podotýkáme, že aplikace nepředstavovaly přímé nebezpečí (např. instalací škodlivého kódu), ale že organizace Bit9 hodnotila jejich potenciální nebezpečnost: třeba to, jaká přístupová práva při instalaci vyžadovaly, jaká byla reputace vydavatele, jak často a jaký objem dat stahovaly z internetu apod. Díky tomu mělo plných 72 procent aplikací pro Android nejméně jedno nebezpečné nastavení.
Stejně tak dramaticky roste počet škodlivých kódů pro Android. Například v roce 2011 bylo škodlivými kódy celosvětově infikováno údajně až 10,8 miliónu zařízení. Což představuje meziroční nárůst úctyhodných 1880 procent! Nejčastějším způsobem, jakým se škodlivý kód do Androidu dostává, je na prvním místě jeho připojení k legitimní aplikaci, na druhém aktualizace korektního software na nekorektní (třeba skrze útok na jeho tvůrce) a na třetím místě přinucení uživatelů (podvodem, mystifikací...) k přímé instalaci škodlivého kódu.
Poněkud šalamounsky tak můžeme konstatovat, že Android může být stejně bezpečný jako nebezpečný systém – a že opravdu záleží jen na nás, do jaké roviny si ho postavíme. Takže – nic nového pod sluncem.
Čarování se Samsungem
Vývojáři operačního systému Replicant (označují jej za „zcela svobodnou verzi Androidu“) oznámili, že objevili backdoor (zadní vrátka) v mobilních telefonech řady Samsung Galaxy: tedy aplikaci, která útočníkům umožňuje vzdáleným způsobem přistupovat k telefonům a jejich obsahu. Dnešní chytré telefony jsou zpravidla vybaveny dvěma procesory: jeden je obecný aplikační (na něm běží operační systém a spouštěné programy), druhý je určený ke komunikaci (a má zpravidla svůj vlastní proprietární operační systém). Tento je přitom u řady Samsung Galaxy nastavený tak (otázka je, zdali záměrně, nebo nedopatřením), že je k němu možné vzdálené neautorizované připojení: procesor je navíc prakticky neustále připojený k operátorovi (takže i útočníkovi dostupný). Proprietární operační systém umožňuje číst, psát a mazat soubory, ovládat mikrofon, kameru nebo získávat údaje o GPS souřadnicích. Problém se týká zařízení Nexus S (I902x), Galaxy S (I9000), Galaxy S 2 (I9100), Galaxy Note (N7000), Galaxy Nexus (I9250), Galaxy Tab 2 7.0 (P31xx), Galaxy Tab 2 10.1 (P51xx), Galaxy S 3 (I9300) a Galaxy Note 2 (N7100). Řešení? Dle tvůrců systému Replicant – používat systém Replicant.
Viry také pro baterie
Počítač se napadnout dá. Chytrý telefon se napadnout dá. Tablet se napadnout dá. Co ještě se napadnout dá? Co třeba baterie? Věřte nebo ne, ale prokazatelně to jde nejméně u Apple MacBook. Baterie tohoto zařízení je totiž řízena vlastním procesorem s programem (firmwarem): slouží jako komunikační rozhraní mezi vlastním zařízením a baterií (kolik energie potřebuje, zdali se baterie nepřehřívá aj.). Hlavním úkolem tohoto řešení je zvýšení fyzické bezpečnosti, protože počítač sám o sobě mnohé parametry baterie neidentifikuje. Jenže testy prokázaly, že skrze úpravu firmware na procesoru u baterie lze tuto přehřát, vypnout z provozu apod. Dokonce na ní lze spustit škodlivý kód, který může přistupovat k datům nebo je krást. Slabinou je mj. heslo, které přístup k firmware brání: to je u všech baterií nastavené z výroby, a tudíž stejné (schválně: měnili jste někdy základní heslo u své baterie?). Jen upozorňujeme, že není známo, že by se nějaký škodlivý kód šířil nebo podobný útok aktivně používal – zatím jsme v teoretické rovině, kdy bylo prokázáno, že něco podobného je možné.
Ani oficiální nemusí být bezpečné
Jedno ze základních pravidel bezpečnosti mobilních zařízení je „pořizujte si aplikace pouze z oficiálních obchodů“. Jak se ale ukazuje, nemusí mít absolutní platnost. Na webech Google Play a Windows Phone Store se totiž objevily falešné bezpečnostní aplikace. Dokonce ne zadarmo, jak je v podobných případech obvyklé, ale šlo o zpoplatněné programy. Třeba falešný Virus Shield vydělal svým tvůrcům solidních 40 tisíc dolarů, než byl stažený. Jeho výhodou bylo jen to, že nefungoval. Jiné aplikace totiž fungují přesně opačným způsobem, než uživatelé očekávají: namísto bezpečnostního programu si totiž do počítače nainstalují škodlivý kód. Uživatelé by se přitom měli mít velmi na pozoru, protože podvodníci „kradou“ i jména známým a prověřeným výrobcům. Na oficiálních webech se tak objevil třeba Kaspersky Anti-Virus 2014 (za zhruba 4 dolary): známá firma přitom nabízí jen aplikaci Kaspersky Mobile Security, Kaspersky Anti-Virus 2014 pro mobilní zařízení je podvrh. Jinými slovy: kontrolní mechanismy „důvěryhodných“ webů jsou nedostatečné a absolutně se na ně spoléhat není dobré.
První cíle elektronických útočníků: telefony
Předchůdci dnešní počítačových útočníků (hackerů) se nazývali phreakeři a věnovali se phreakingu. Phreak je slangový termín vzniklý jako spojenina slovíček phone (telefon, telefonní) a freak (vrtoch). Tímto termínem je označována komunita osob, které studují, experimentují a zneužívají telefonní linky a společnosti. Ostatně, současní hackeři se vyvinuli právě z phreakerů: když ještě neexistoval internet ani v té nejprimitivnější podobě, experimentovali právě s telefonními linkami.
V padesátých letech dvacátého století společnost AT&T uvedla první plně automatické přímé dálkové volání. Phreakeři „pracovali“ tak, že se snažili zjistit, jak systémy fungují. S tím, že v nich hledali slabá místa. Z dnešního pohledu šlo o nesmírně primitivní a mnohdy úsměvné technologie, ale ve své době představovaly špičku a malých technický zázrak. Phreakeři tak záhy pochopili, že automatické ústředny spolu komunikují pomocí tónů o různých délkách a frekvencích (ostatně, tónovou volbou byla vytáčena i telefonní čísla – jedno pípnutí byla jednička, dvě po sobě dvojka, tři trojka atd.). A pak už jim stačilo jen experimentovat s různými tóny a zjišťovat, kdy a jakým způsobem ústředny zareagují.
Zlomem – z hlediska hackerů k lepšímu, z hlediska telefonních operátorů k horšímu – se stal letopočet 1964. Do té doby byly před nezvanými hosty utajeny kódy využívané při vícefrekvenčním kódování (výše popsané způsoby platily na jednofrekvenční). Jejich rozlousknutí technikami „pokus omyl“ prakticky nemožné. Jenomže pak ve vnitrofiremním časopise Bell System Technical Journal vyšel článek se seznamem frekvencí používaných digitálními ústřednami.
Časopis byl primárně určený pro inženýry společnosti Bell System, kterým měl usnadnit práci. Jenomže, jak už to bývá, mnoho časopisů a jejich kopií se vzápětí ocitlo v rukách phreakerských skupin po celých Spojených státech. A tak zatímco dosud bylo napadání telefonních linek doménou jen zdatných jedinců, najednou se phreakingu mohl věnovat prakticky kdokoliv.
Studenti (protože phreakeři se rekrutovali právě z jejich řad) dokonce na základě „návodu“ v časopise Bell System Technical Journal začali vytvářet svá vlastní zařízení se schopností vydávat „rozkazovací tóny“. A tato zařízení se pak
rozšířila mezi veřejnost – získali je rodinní příslušníci, přátelé i komerční zájemci. Zařízení vešlo do historie jako „blue box“ (modrá skříňka), protože první odhalené a zabavené bylo právě v modrém plastovém obalu.
Může policie prohlížet obsah mobilu?
Od doby, kdy se objevily úžasné možnosti informačních technologií, řeší soudy na celém světě (tedy pokud řeší, pochopitelně) otázku: je přístup do informačního systému na úrovni domovní prohlídky nebo výpovědi? Na zdánlivě jednoduchou otázku vůbec není snadná odpověď. Protože domovní prohlídku lze nařídit, kdežto k výpovědi nelze nutit (alespoň v demokratickém světě). – Nyní všech devět členů amerického US Supreme Court (Svrchovaného soudu USA) svorně rozhodlo, že ke kontrole obsahu mobilního zařízení potřebuje policie svolení. Stalo se tak na základě dvou žalob zločinců (nikoliv obviněných), kteří byli usvědčeni na základě informací nalezených v jejich mobilních telefonech, a to v době kdy si odpykávali tresty za jiné zločiny. Podle soudu totiž neoprávněným zkoumáním mobilního zařízení dochází k porušení čtvrtého dodatku ústavy: jde o neoprávněné prohledání a zadržení. Soud v oficiálním zdůvodnění uvedl, že dnešní telefony jsou nositeli obrovského množství informací. Zatímco dřívější osobní prohlídky byly omezené na fyzické předměty a narušení soukromí tak bylo jen chvilkové, prohlídka mobilního zařízení je nepoměrně závažnější. Navíc zařízení shromažďuje více informací, než jen jediný záznam a data se dají dohledat roky dozadu, přičemž nemají souvislost se stávající aktivitou. „Nepopíráme, že naše rozhodnutí bude mít dopad na schopnost příslušných orgánů bojovat s kriminalitou. Ale soukromí má svoji cenu,“ uvedl soud.
Antivirové aplikace pro Android jsou pod psa
Nezávislý výzkumný institut antivirové ochrany a bezpečnosti AV-Test informoval, že plné dvě třetiny antivirových aplikací nabízených pro Android nejsou kvalitní. V provedeném testu bylo odzkoušeno 41 různých řešení, ale jen sedm (tedy jen 17 procent!) z nich se dostalo v úspěšnosti nad devadesát procent. Ovšem plných osmnáct aplikací (čili téměř polovina) detekovalo méně, než čtyřicet procent škodlivých kódů. A to je opravdu slabý, velmi slabý výsledek. Jen pro úplnost: zavedení výrobci se zpravidla umístili v horní polovině žebříčku. Mezi dvanácti antivirovými řešeními, které totálně propadly (nenašly vůbec nic), byli samí „nováčci“.
Nezapomínejte aktualizovat i žárovky!
Aktualizovat musíme kdeco v počítačích, tabletech či chytrých telefonech – ovšem nejnovější chyba a s ní spojená aktualizace je přece jen poněkud kuriózní. Objevila se totiž bezpečnostní chyba v žárovce (!) LED výrobce LIFX, kterou lze na dálku ovládat chytrým telefonem. Špatně nakonfigurované Wi-Fi připojení způsobuje, že žárovku může ovládat kdokoliv, a to bez fyzického přístupu k vypínači. Na chytrou LED žárovku získal LIFX počáteční investici v září 2012 prostřednictvím serveru Kickstarter: majiteli přitom stačí, když se připojí s mobilem k jedné žárovce, vyšle požadavek na úpravu osvětlení – a jednotlivé žárovky si pak zprávu předají mezi sebou. Výrobce se brání tím, že zneužití chyby rozhodně není triviální a že nemá zprávu o tom, že by s ní pracoval někdo jiný, než objevitelé. Což asi bude pravda, přesto už byla na internetu zveřejněna aktualizace firmware... Aneb s příchodem „internetu věcí“ (Internet of Things) se řítíme do světa aplikací jako Bulb Internet Security nebo hlášek typu „světlo provedlo neplatnou operaci a bude ukončeno“.
Prodej použitých mobilů představuje riziko
I když na prodávaných mobilech smažete veškerá data, přesto nemáte záruku, že se je někomu nepodaří obnovit. A to třeba proto, že je nesmažete správně, nebo proto, že na některé úložiště zapomenete. Společnost AVAST Software nyní zakoupila dvacet použitých chytrých telefonů a z nich dokázala „vytěžit“ přes čtyřicet tisíc (!) fotografií – z nich 750 zachycovalo ne zcela oblečené ženy a dívky. Krom toho bylo v mobilech nalezeno 1000 vyhledávání na Googlu, 750 e-mailů a SMS a také jeden předvyplněný formulář se žádostí o úvěr (potenciálnímu útočníkovi by tak stačilo jen změnit v něm číslo účtu příjemce). Přitom třeba jen v USA je denně prodáno přes 80 tisíc použitých mobilních telefonů – v ČR jde řádově o tisíce.
Příliš zvědavé gyroskopy
Bezpečnostní specialisté experimentálně dokázali, že gyroskopy v telefonech Samsung a operačním systémem Android mohou být využité – k odposlouchávání konverzace! Upozorňují, že jen vypnout mikrofon nestačí, protože gyroskop může fungovat jako
hrubá forma mikrofonu. Kamera, GPS systém nebo vlastní mikrofon jsou pochopitelná a známá bezpečnostní rizika; útok proti gyroskopu je ovšem novinkou. Což je nebezpečné, protože přístup k němu nebo k akcelerometru mobilní operační systém neřeší: vychází se z logiky, že gyroskop není nebezpečný a že ho aplikace využívají jen ke zjištění orientace přístroje, což je kritické pro hry nebo natočení obrazovky. Dnešní gyroskopy jsou ovšem citlivé tak, že mohou zaznamenávat vibrace vyvolané lidským hlasem: ten má typicky frekvenci od 85 do 255 Hz, přičemž systém Android pracuje s frekvencí do 200 Hz. (Pro úplnost: iPhone využívá jen frekvence pod 100 Hz, což neposkytuje dostatek dat pro rekonstrukci hlasu.) Získané výsledky jsou zatím nedostatečné, aby představovaly skutečnou hrozbu. Ovšem se zlepšujícími algoritmy není vyloučeno, že se to do budoucna změní. Do budoucna ovšem zřejmě bude nutné omezit přístup k tomuto hardware: pokud by aplikace požadovala přístup k vyšším frekvencím, pak bude vyžadovaný vyslovený souhlas uživatele.
Mobily půjde vypnout na dálku
Kalifornský guvernér Jerry Brown podepsal zákon, který nařizuje, aby všechny nově prodané mobily v této zemi měly od července 2015 instalovanou a aktivovanou funkci „Kill Switch“. Což by se dalo přeložit jako „Tlačítko smrti“: zkrátka funkci, která umožní mobil na dálku vypnout. Smyslem nařízení je odradit zločince od krádeží, protože na dálku vypnutý mobil se pro ně stává bezcenným. Kalifornie není v této oblasti v USA pionýrem: Minnesota už podobný zákon má. Ten sice funkci Kill Switch vyžaduje, ovšem není v něm výslovně uvedeno, že musí být zapnutá. Přes 68 procent chytrých telefonů (což je v Kalifornii podíl Apple a Samsungu) má tuto funkci v nějaké podobě implementovanou už dnes.
O příliš štědrých bankomatech
Považujete bankomaty za superbezpečná zařízení, která není možné ošálit a jejichž úroveň zabezpečení je velmi vysoká? Pokud o tyto iluze nechcete přijít, pak následující řádky přeskočte.
Zvláštní metodu útoku proti bankomatu předvedl třeba Maxwell Parsons (41) z Velké Británie, který provedl úspěšný útok proti bankomatům s pomocí (sic!) MP3 přehrávače! A rozhodně nebyl neúspěšný, protože jím způsobená škoda byla vyjádřena částkou přesahující dvě stě tisíc liber. Tedy něco přes šest miliónů korun.
Způsob provedení útoku byl následující: Parsons vyhledával osamoceně stojící bankomaty (např. v nákupních centrech). Tedy takové, které nebyly „zazděné“, ale k nimž byl relativně volný přístup. MP3 přehrávač pak umístil tak, že tento byl schopen zaznamenávat tóny, jimiž bankomaty komunikovaly s bankou při zadávání a ověřování transakce.
Na základě těchto tónů byl schopen doma vyrábět klonované karty, k nimž znal veškeré údaje včetně PINu. S jejich pomocí následně chodil vybírat hotovost. K jeho odhalení přitom pomohla náhoda (i když Parsons by asi hovořil spíše o smůle): zastavila jej policejní hlídka poté kvůli dopravnímu přestupku. Policisté si pak všimli prapodivné karty ležící na sedadle vedle něj a odvezli ho na stanici. Osobní prohlídka ukázala, že jde o klonovanou kartu. Následná domovní prohlídka pak odhalila celou domácí továrnu na klonované karty.
Chtělo by se říci: Jak prosté, Watsone. Ale realita může být ještě prostší a jednodušší. Stačí, aby provozovatel bankomatu byl – ehm – lajdák, který se neobtěžuje změnou hesla defaultně nastaveného od výrobce. Že něco podobného snad není možné? Asi ne, přesto se nedávno ukázalo, že zhruba čtvrtina (!!!) bankomatů ve Spojených státech pracuje s původním heslem, které mu bylo dáno do vínku u výrobce.
Toto heslo přitom umožňuje měnit nastavení bankomatu či provádět různé jiné operace, které jsou běžnému smrtelníkovi zapovězené. Problém vyplaval na světlo poté, co dosud neznámá osoba přeprogramovala u benzínové stanice ve Virginia Beach (stát Virginia) při plném provozu bankomat ATM Tranax Mini Bank 1500 pouze s použitím klávesnice a znalosti speciálních kódů tak, že stroj považoval dvacetidolarové bankovky za pětidolarové. Při výběru jednoho sta dolarů tak místo pěti dvacetidolarových bankovek vydal rovnou dvacítku bankovek této hodnoty – tedy 400 USD.
Co přinese chytrá domácnost?
Dle analytické společnosti Gartner bude typická americká či evropská domácnost v roce 2022 obsahovat 500 chytrých zařízení. Tedy takových, která budou schopna aktivně reagovat na měnící se situaci, budou schopna komunikovat – a to vše bezdrátově, v případě lepších typů je pak bude dálkově možné i ovládat. Většina z nich pak bude připojena k internetu. Cena takovéhoto zařízení „spadne“ k jednomu dolaru. Půjde o zařízení pokrývající média a zábavu (konzole, televize, počítače…), aplikace (vařiče či pračky) až po technologie transportní, bezpečnostní nebo řízení prostředí stejně jako zdravotní systémy. Tato penetrace chytrými zařízeními představuje z makroekonomického hlediska obrovské příležitosti – ale z hlediska bezpečnostních hrozeb? Čestně si musíme přiznat, že na tuto otázku neumíme odpovědět. Ale stejně tak si čestně musíme přiznat, že budou – a mnohé z nich si dnes zřejmě ani nedovedeme představit.