Czarne kapelusze kontra federalni, czyli smaczki konferencji dla hakerów

Takie nagromadzenie specyficznego rodzaju ludzi jakimi są hackerzy w jednym miejscu musi prowadzić do ciekawych wydarzeń, jak i do zainteresowania służb specjalnych. W szczególności w trakcie DEF CON pomiędzy "federalnymi" a hackerami możemy obserwować rodzaj z trudem wypracowanego kompromisu. A bywało gorąco! Na przykład w 2001 roku, dzień po swojej prezentacji aresztowany został rosyjski programista Dmitry Sklyarov - pokazywał on metodę złamania zabezpieczeń ebooków od Adobe. Podobnie w 2005 roku problemy prawne spotkały Mike'a Lynna za pokazanie błędów w routerach Cisco.

Później było trochę lepiej - w 2012 roku własną prezentacje miał okazję przedstawić dyrektor NSA (National Security Agency), choć nie poszło mu gładko - musiał odpowiadać na pytania o podsłuchiwanie własnych obywateli.

Co przyniosły nam tegoroczne konferencje? (W każdym razie DEF CON i Black Hat Briefings, jako że Chaos Computer Congress odbędzie się dopiero w grudniu.) Oto niektóre z informacji, które uzyskaliśmy właśnie dzięki prezentacjom na tych konferencjach:

Christopher Domas pracujący dla Batelle Memorial Institute pokazał błędy w procesorach Intela umożliwiające instalowanie na nich rootkitów. Była to luka, która istniała w architekturze Intelowskich chipów od 1997 roku. Na szczęście błąd nie obejmuje najnowszych generacji procesorów.

Głośny błąd w Androidzie, narażający na atak ponad 90% urządzeń z tym systemem operacyjnym, był opisywany szeroko również w Spider's Web. Sprawa ujrzała światło dzienne właśnie dzięki prezentacji podczas tegorocznej konferencji Black Hat Briefings. Co ciekawe, w trakcie tej samej konferencji swoją prezentację miał również... główny inżynier bezpieczeństwa Androida, Adrian Ludwig.

Obie konferencje przyniosły doniesienia o problemach z bezpieczeństwem naszych coraz bardziej skomputeryzowanych samochodów.

W trakcie DEF CON słynny niezależny badacz bezpieczeństwa Samy Kamkar (ten, który kiedyś przerobił zabawkę z serii Barbie w uniwersalnego pilota do drzwi garażowych), pokazał urządzenie przechwytujące kod z kluczyków samochodowych. Samochód się nie otworzył, wciskamy więc ponownie, tym razem z sukcesem - nie zdajemy sobie jednak sprawy że złodziej może już otworzyć samochód naszym wygenerowanym, ale nie użytym kodem.

Informacji o samochodowych lukach w bezpieczeństwie nie zabrakło również podczas Black Hat Briefings. To właśnie tam zaprezentowano szeroko dyskutowaną w mediach możliwość przejęcia kontroli nad samochodem (m.in. Jeep Cherokee oraz Chrysler) poprzez system audio zainstalowany w samochodzie. Hackerzy zaprezentowali m.in. kontrolę nad hamulcami i wspomaganiem kierownicy - co prawdopodobnie wystarczyłoby do spowodowania wypadku.

Nic tak nie motywuje producentów sprzętu i oprogramowania jak publicznie ogłoszona luka w ich produktach. Choć etyczni hackerzy (a tacy prezentują swoje odkrycia publicznie na takich konferencjach) informują lojalnie najpierw głównych zainteresowanych, czyli firmy odpowiedzialne za lukę, i tak jest to niezły prztyczek w nos. Dzięki tegorocznym konferencjom mamy więc patche Intela, Androida jak i wycofanie 1,4 mln samochodów Chryslera.

Pamiętajmy że w erze Internet Of Things coraz więcej urządzeń wokół nas stanie się podatnych na luki bezpieczeństwa - i, mówiąc potocznie - hackowalnych. To właśnie ludzie tacy jak uczestniczy konferencji dotyczących bezpieczeństwa wzięli na siebie ciekawe, ale i czasem niebezpieczne zadanie znajdywania takich luk.

*Grafiki pochodzą z serwisu ShutterStock.