Sliši se kot scenarij hollywoodske uspešnice. Heker vdre v tiskalnik v omrežju pomembnega podjetja, nanj, ne da bi kdor koli kaj posumil, namesti škodljivo kodo, ki vse telefone spremeni v prisluškovalne naprave. Pred več kot dvema letoma je vdor v tiskalnik demonstriral heker belega klobuka Ang Cui, sicer podiplomski študent Univerze Columbia, in dokazal, da se lahko na pogled nenevarna naprava spremeni v vlomilsko orodje. Postane sredstvo vdora v sistem podjetja, ne da bi moral heker okužiti en osebni računalnik ali pametni telefon. Škodljivo kodo heker po elektronski pošti pošlje zaposlenemu v podjetju, zamaskirano kot dokument, ki naj ga ta pošlje tiskalniku za izpis. Računa na radovednost uporabnika in na njegovo malomarnost, kadar gre za odpiranje priponk. Vendar dokument ni le to, kar mislimo, da je, na primer življenjepis kandidata, ki prosi za službo, temveč v sebi skriva še škodljivo kodo. Ta pa okuži operacijski sistem tiskalnika. Napad je znan, izdelovalci tiskalnikov so ranljivost do neke mere s popravki firmwara odpravili, vprašanje pa je, koliko uporabnikov je svoje tiskalnike nadgradilo. Čisto verjetno je na svetu veliko tiskalnikov, ki so dovolj zmogljivi, da jih škodljiva koda sploh lahko napade, tiskalniki za nekaj deset evrov nimajo elektronike in operacijskega sistema ter so tozadevno popolnoma varni in niso nadgrajeni.
Tiskalnik prevzame telefon
Izkazalo se je, da je škodljiva koda za napad na tiskalnike lahko zelo robustna, preživi lahko več nadgradenj tiskalnika, ta pa ostaja okužen. Programska koda, ki skrbi za nadgradnje, postane po okužbi del spremenjenega firmwara naprave, torej škodljiva koda nadzira tudi ta del delovanja operacijskega sistema tiskalnika.
Ko je škodljiva koda aktivirana, odpre »varen« kanal do nadzornega strežnika in čaka na ukaze. Ker imajo zmogljivi tiskalniki polnopravni operacijski sistem, lahko napadalec nadzira podatkovni promet v lokalnem omrežju in išče potrebne podatke za naslednji korak napada. Ker so telefoni IP vse bolj prisotni, je možno, da ga najde. Tudi telefon je v bistvu računalnik, ki ga napadalec okuži s škodljivo kodo in prevzame nadzor nad njim. S »pritiskom na gumb« telefon spremeni v prisluškovalno napravo, ki prisluškuje pogovoru v prostoru in telefonskim pogovorom. Posnetke pogovorov škodljiva koda prek »kanala« pošilja napadalcu. Podatkovnih paketov z zvočnim posnetkom je veliko (porabijo veliko pasovne širine oziroma gre za prenos velike količine podatkov), zato jih administrator omrežja lahko odkrije in posumi, da je nekaj narobe. Da se to ne zgodi, lahko škodljiva koda posnetek govora spremeni v besedilo. Paketki z njim pa so zelo majhni, se enostavno skrijejo med običajnim prometom v lokalnem omrežju in jih je težje zaznati.
Še bolj neverjeten je naslednji trik. Da bi se izognili možnosti zaznave »nepričakovanega« podatkovnega prometa v lokalnem omrežju, napadalci izkoristijo zmogljivost telefona in ga spremenijo v brezžično prisluškovalno postajo. V namene demonstracije so to storili, ni pa znano, ali možnost izkoriščajo tudi napadalci. Imenuje se funtenna in spremeni telefon v oddajnik radijskih valov – radijski oddajnik, za anteno pa služi kos žice, ki povezuje matično ploščo telefona z gumbom na ohišju, ki je tam za detekcijo, ali je slušalka v ležišču. Kar telefon zazna, pošlje v obliki radijskih valov, ki jih sprejme sprejemnik, oddaljen nekaj metrov.
Usmerjevalnik pod tujim nadzorom
Varnostni strokovnjaki so v začetku leta zaznali, da je bilo napadenih veliko omrežnih usmerjevalnikov evropskih uporabnikov interneta. Ranljive so bile naprave različnih izdelovalcev, nanj pa napadalci niso naložili škodljive kode, temveč so izkoristili različne napake v operacijskih sistemih. Napake, ki so napadalcem omogočile vstop v uporabniški vmesnik usmerjevalnika in spreminjanje nastavitev domenskih strežnikov (DNS).
Spremenili so jih do te mere, da so napadalci nadzirali, katera spletna stran se je odprla v brskalniku uporabnika, ne glede na spletni naslov (URL), ki ga je ta napisal v naslovno vrstico. Dober način, kako uporabnika pretentati, da namesto prave obišče dobro kopijo strani spletne banke, trgovine ali družabnega omrežja in tam razkrije svoje uporabniško ime in geslo. Geslo pridobi spletni napadalec, ki ga hitro izkoristi za krajo denarja ali nakup stvari, ki jih na koncu plača nič hudega sluteči uporabnik. Ste kdaj pomislili, da bi nadgradili programsko opremo usmerjevalnika? Verjetno ne, saj ga ne vidite kot potencialne varnostne grožnje.
Bankomat preda denar
Bankomati so zgodba zase. Na večini še vedno teče različica sistema Windows XP, Microsoft pa je zanj ukinil podporo. Vdor vanj, ki ga bomo opisali v nadaljevanju, je redek, saj mora imeti napadalec fizični dostop do računalnika v bankomatu. Malo verjeten gor ali dol, obstaja škodljiva koda, trojanski konj Ploutus, ki je napisan, da okuži te naprave. Okužen bankomat bo »izpljunil« denar, ko je prek njegove »tipkovnice« vnesena prava 16-mestna koda.
Največja težava, pred katero je napadalec, je, kako okužiti bankomat. Priti mora do računalnika v njem, do USB-vmesnika, v katerega priključi okužen zagonski USB-ključ. Mora imeti na neki način možnost, da spremeni nastavitve, tako da se avtomat zažene z USB-ključka, nato steče okužba sistema in ponovni zagon, to pot z diska bankomata. Ni popolnoma nemogoče, je pa težko, saj so bankomati varovani vsaj z nadzorno kamero. Tako je delovala zgodnja različica škodljive kode. Z novo različico napadalec bankomat nadzira s svojega mobilnega telefona. Potrebuje pa še enega. Tega priključi na USB-vrata računalnika v bankomatu. Ker prek vmesnika telefon dobi tudi električno energijo, lahko svoje delo opravlja v nedogled. Če se vzdrževalcem ne zdi čudno, ko znotraj bankomata najdejo telefon. Napadalec telefonu pošlje natančno kratko sporočilo, tega spremeni v podatkovni paket in ga prek vmesnika USB pošlje okuženemu bankomatu. Ploutus v njem spremlja promet, in če zazna 16-bitno kodo, zahteva, da bankomat izplača denar. Razlog za novo različico je v možnosti, da se skrije. Pri prvi različici je moral vtipkati kodo na tipkovnici bankomata, kar zahteva kar nekaj časa. Pri novi sproži izplačilo z oddaljenega mesta, denar pa pobere nekdo, ki, če ga ulovijo, napadalca ne more izdati.
Stari znanec
Glavne tarče spletnih napadalcev so še vedno uporabniški računi v spletnih bankah. Bančni trojanec Zeus obstaja v veliko različicah, z njim pa so okuženi milijoni računalnikov po vsem svetu. Njegova značilnost je manipulacija prikaza prave strani v spletnem brskalniku, v katero na primer doda okno, ki ga uporabnik vidi, kot da je del na primer strani spletne banke, ki ga prek njega poziva, naj vpiše telefonsko številko za zagotavljanje dodatne varnosti. Trojanci iz družine Zeus po novem ne napadajo le bančnih strani, temveč tudi strani za iskanje dela. Od uporabnika zahtevajo, da odgovori na vprašanje, spet pod pretvezo dodatne varnosti, podobno kot so varnostna vprašanja za ponastavitev gesel spletnih storitev. »V katerem mestu ste dobili prvo službo?« Z odgovori nato napadalec vstopi v uporabnikove spletne storitve.
Uničenje prenosnika
V demonstracijske namene so hekerji z belim klobukom fizično uničili Applov prenosnik. Tako so mu spremenili firmware, da druga rešitev kot zamenjava matične plošče ni pomagala. Podrobnosti niso razkrili, saj se bojijo, da bi jih kdo posnemal, to pot v bolj destruktivne namene. Varnostni strokovnjaki se te možnosti bojijo, saj kar kliče po sabotažah industrijskih sistemov in izsiljevanju. Uničili vam bomo računalnike, če ne plačate. V teoriji lahko napadalec uniči vsak kos strojne opreme. Tudi osebne računalnike s sistemom Windows. Le da je tu napadalec zaradi več hardverskih razlik med modeli pred težjo nalogo kot pri Applovem prenosniku. Za vsakega od njih mora napisati škodljivo kodo. Ena od možnosti fizičnega uničenja računalnika je prevzem kontrolnika upravljanja z energijo, ki skrbi tudi za delovanje ventilatorja. Dovolj je, da škodljiva koda ventilator ugasne, in računalnik se bo pregrel.
Hekerje najemajo tihotapci
Nekaj primerov je že bilo, ki kažejo, da hekerji svoje usluge nudijo organiziranim kriminalnim združbam. Na dogodku, ki ga je organiziralo varnostno podjetje Kaspersky, so govorili o primerih iz belgijskega pristanišča Antwerpen. Tihotapci mamilo skrijejo v zabojnike podjetij, ki se jim ne sanja o tem. Preden lastnik prevzame zabojnik, ga obiščejo zlikovci in iz njega vzamejo mamilo. Natančno mesto, kje zabojnik je, dostavi škodljiva koda, nameščena na računalnike logističnega podjetja, v katerega so pred tem vdrli hekerji in kodo namestili. Med tisočimi zabojniki v pristanišču bi bilo drugače pravega nemogoče najti.
Drug primer iz tega pristanišča je še bolj zanimiv. Hekerji so vdrli v sistem samodejnih žerjavov. Žerjav je zabojnik, v katerem je bila droga, natovoril na tovornjak, ki je čakal na neki drug zabojnik, ki je bil že pregledan in je imel dovoljenje, da zapusti pristanišče. Oboroženi kriminalci so tovornjak ustavili nekje na cesti, kjer ni bilo veliko prič, in pretovorili mamilo. To pot ni šlo za okužbo sistema s škodljivo kodo, temveč so vanj namestili in ustrezno skrili majhen računalnik, ki je prevzel sistem in upravljal z žerjavom. Nekdo je moral fizično vdreti v prostore, da je računalnik lahko namestil. Pa še dobro je moral vedeti, kjer ga skriti, da ga nihče ne bo našel.
Navidezni napadi, resne posledice
Čeprav se še ni zgodilo, vsaj v večjem obsegu ne, se varnostni strokovnjaki bojijo črnega scenarija. Kot je na primer napad na sistem za merjenje in nadzor industrijskih sistemov (SCADA), ki lahko povzroči izpad električnega omrežja, eksplozijo v kemičnih tovarnah, praznjenje vodnih zajetij in posledično poplavljanje dolin oziroma napade na vse sisteme, ki so avtomatizirani in imajo možnost oddaljenega nadzora. Opisani primer nadzora nad žerjavi v belgijskem pristanišču je primer natančno tega. Problem je namreč v tem, da so kritični deli sistemov oziroma industrij zelo slabo varovani. Tako vsaj trdijo varnostni strokovnjaki. Je pa tudi res, da se o teh grožnjah pogovarjamo že leta, pa do njih na srečo še ni prišlo. Varnostni strokovnjaki tudi radi malce pretiravajo.
Moj mikro, julij avgust 2014 | Jan Kosmač |
