Znajdź zawartość

Podczas konferencji Black Hat przeprowadzono pokaz cyberataku, który może... zabić człowieka. Jay Radcliffe, specjalista ds. bezpieczeństwa, który od kilkunastu lat cierpi na cukrzycę typu 1 i korzysta z pompy insulinowej, zademonstrował, w jaki sposób można zaatakować urządzenie. Atak można przeprowadzić z odległości 45 metrów, a napastnik potrzebuje jedynie odpowiedniego sprzętu, oprogramowania oraz znajomości numeru seryjnego pompy. Taki zestaw pozwala na połączenie się z pompą i wydawanie jej poleceń. Można ją wyłączyć lub, co gorsza, zmienić podawane przez nią dawki insuliny. To z kolei może doprowadzić do śmierci właściciela pompy. To jak mieć dostęp do urządzenia, a to oznacza posiadanie dostępu do chemii organizmu - mówi Radcliffe. Nie chciał on zdradzić, jakiego producenta pomp dotyczy problem. Z jednej strony mogłoby to wywołać panikę posiadaczy takich urządzeń, a z drugiej - zachęcić cyberprzestępców do szukania w nim luk. Radcliffe nie badał innych modeli pomp i innych producentów. Nie wiadomo zatem, ile tego typu urządzeń można zaatakować. Jego zdaniem należy wprowadzić mechanizmy bezpieczeństwa, polegające np. na tym, że wszelkie zmiany w działaniu pompy muszą zostać zatwierdzone przez jej użytkownika.

Podczas konferencji Black Hat przedstawiciele Microsoftu ogłosili, że ich firma wypłaci 250 000 dolarów za zaprojektowanie najlepszej metody zabezpieczenia pamięci przed błędami. Główna nagroda za opracowanie nowatorskiej technologii ochrony podsystemu pamięci wynosi 200 000 USD. Konkurs Blue Hat ma w intencji Microsoftu nie tylko doprowadzić do stworzenia mechanizmów ochrony pamięci - takich jak np. DEP (Data Execution Prevention) - ale również skupić uwagę specjalistów zgromadzonych na Black Hat na szerszym problemie, a nie tylko na indywidualnych błędach w sprzęcie i oprogramowaniu. Ze szczegółowymi warunkami konkursu można zapoznać się na witrynie BlueHat Prize Contest. Zainteresowani mają czas na zaprezentowanie swoich osiągnięć do 1 kwietnia przyszłego roku. Zwycięzca konkursu zostanie ogłoszony podczas przyszłorocznej konferencji Black Hat. Zgłoszone technologie będą oceniane przez inżynierów Microsoftu. Za wpływ na bezpieczeństwo będzie można uzyskać do 40% punktów, kolejne 30% zostanie przyznane za funkcjonalność, a ostatnie 30% za odporność nowej technologii na ataki.

Przed rokiem pracodawca skutecznie uniemożliwił Barnaby Jackowi wygłoszenie wykładu dotyczącego luki w zabezpieczeniach bankomatów. Tym razem, podczas konferencji Black Hat, która odbędzie się w Los Angeles w dniach 28-29 lipca, ekspert opowie o sposobach ataku na bankomaty i zaprezentuje wieloplatformowego rootkita ułatwiającego atak. Jack zaprezentuje kilka rodzajów ataku, w tym atak zdalny za pomocą sieci. Zwykle bankomaty atakowane są poprzez zainstalowanie w nich fałszywych czytników kart, które kradną dane z karty, oraz kamer lub fałszywych klawiatur, umożliwiających poznanie numeru PIN. Barnaby Jack skupił się jednak na szukaniu dziur w oprogramowaniu bankomatów. Znalazł je już przed rokiem, jednak jego pracodawca - firma Juniper - nie pozwoliła mu na udział w konferencji. Specjalista wykorzystał ten rok do dalszych badań, a przed miesiącem zmienił pracodawcę zostając dyrektorem ds. badań bezpieczeństwa firmy IOActive. Jack zapowiada, że o ile w ubiegłym roku znał sposób na zaatakowanie jednego modelu bankomatu, teraz może zaatakować dwa modele, pochodzące od dwóch różnych, dużych producentów takich urządzeń.

Podczas konferecji Black Hat, która odbywa się właśnie w Los Angeles, David Thiel, specjalista z firmy iSEC pokazał, w jaki sposób można zawrzeć szkodliwy kod w plikach audio i wideo umieszczanych w serwisach takich jak YouTube czy MySpace. Specjaliści przestrzegają, że rośnie niebezpieczeństwo związane z wymianą tego typu plików. Przekaz strumieniowy to wymarzona droga do infekowania komputerów. Jest on bardzo rozpowszechniony i używany przez młodych ludzi – mówi Thiel. Popularność Web 2.0 i witryn oferujących użytkownikom możliwość wstawiania własnych treści jest wyjątkowo niebezpieczna. Web 2.0 opiera się na zaufaniu do innych użytkowników. Tworzone są olbrzymie sieci znajomych. Musisz ufać osobom, których nie znasz i wierzyć że są tymi, za kogo się podają oraz że umieszczane przez nich treści są bezpieczne. Tego zaufania można nadużyć – stwierdził Stephan Chenette z Websense. Programy, które mogą zostać zaatakowane dzięki strumieniowemu przekazowi danych multimedialnych są dosłownie wszędzie. To oprogramowanie do odtwarzania muzyki, oglądania filmów, to komunikatory internetowe, syntezator mowy w usłudze Xbox Live, oprogramowanie smartfonów. Cyberprzestępcy mogą je wykorzystać do uczynienia z zaatakowanego komputera maszyny-zombie i włączenia jej do kontrolowanego przez siebie botnetu. Web 2.0 to coś, na co powinniśmy bardzo uważać – mówi Chenette.