Эви Рубин: Любое устройство можно взломать

Я — профессор информатики, специализирующийся в области компьютеров и информационной безопасности. Когда я учился в аспирантуре, я случайно подслушал, как моя бабушка рассказывала одной из знакомых пенсионерок, чем я зарабатываю себе на жизнь. Выходило, что я был ответственным за то, чтобы никто не воровал компьютеры из университета. И знаете, нет ничего странного в том, что она так считала, ведь я сказал ей, что работаю в сфере компьютерной безопасности. Было интересно узнать ее мнение по этому вопросу.

Но это не самое смешное из того, что я слышал о своей работе. Самое смешное я услышал как-то на званом ужине. Одна женщина, услышав, что я занимаюсь компьютерной безопасностью, задала мне вопрос. Она сказала, что ее компьютер был заражен вирусом, и она очень беспокоилась, что тоже может заболеть, заразившись этим вирусом. Я, конечно, не врач, но я заверил ее, что такой исход маловероятен, но если ее это так беспокоит, то она может надевать резиновые перчатки, работая за компьютером, и тогда точно никто не пострадает.

Но сейчас я хочу подойти к вопросу о заражении вирусом от компьютера со всей серьезностью. Сегодня я хочу рассказать вам о нескольких взломах, реальных кибератаках, осуществленных людьми в научно-исследовательских кругах, и о которых, я думаю, большинство людей не знают. Думаю, это будет и страшно, и интересно. Мое сегодняшнее выступление — это своеобразный хит-парад взломов, осуществленных научным сообществом по компьютерной безопасности. Все это не мои работы, а работы моих коллег. Я даже попросил их предоставить слайды, включенные здесь в мою презентацию.

Первое, о чем я хочу сегодня рассказать, это медицинские электронные импланты. Эти устройства прошли долгий путь технологического развития. Как видите, первый кардиостимулятор был разработан в 1926 году. В 1960 году кардиостимулятор был впервые имплантирован. К счастью, он был меньше, чем изображенный здесь, но технология на этом не остановилась. В 2006 году мы достигли важной вехи в области компьютерной безопасности. Почему я так считаю? Потому что именно тогда имплантируемые устройства получили возможность сетевого соединения. Чтобы лучше понять, о чем идет речь, взгляните на устройство Дика Чейни, которое качает кровь из аорты в другой отдел сердца. Как показано вот здесь внизу, оно управлялось компьютерным контроллером. И если вы хоть раз задумывались о том, как важна надежность программного обеспечения, то попробуйте вживить себе подобное устройство.

Затем в руки исследовательской группы попал так называемый ICD. Это — дефибриллятор, такое устройство, которое вживляется с целью контролировать сердечный ритм. Оно спасло много жизней. Вместо того, чтобы оперировать пациента каждый раз, когда нужно перепрограммировать устройство или провести его диагностику, устройство снабдили возможностью беспроводной связи. Исследовательская группа изучила протокол беспроводной связи, создав устройство, изображенное на слайде, с небольшой антенной, передающей сигналы на устройство, чтобы управлять им. Для проведения опыта в реальных условиях добровольцев не нашлось, так что им пришлось купить немного говяжьего фарша и свинины, завернуть все это наподобие внутренностей человека, куда вживляется устройство, и поместить устройство внутрь, чтобы эксперимент хоть как-то походил на реальность. Они совершили много успешных атак. Одна из них, которую я выделил, — изменение имени пациента. Не знаю, кому могло бы такое понадобиться, но я бы не хотел, чтобы это произошло со мной. Они смогли изменить программу лечения вплоть до отключения устройства — и все это на настоящем, имеющемся в продаже устройстве — просто переделав протокол и посылая на устройство беспроводные сигналы.

По радио как-то была передача о том, что некоторые подобные устройства могут дать сбой, если к ним просто поднести пару наушников.

Безусловно, беспроводная передача данных и интернет обладают огромным потенциалом для улучшения здравоохранения. Вы видите на экране всего несколько примеров использования врачами электронных имплантов. На сегодняшний день работа всех этих устройств основана на беспроводной передаче данных. И это замечательно. Но без всесторонней оценки надежности компьютерных технологий и понимания того, на что способны хакеры, и какие меры безопасности нужны для предотвращения риска, использование таких устройств сопряжено со множеством опасностей.

Давайте теперь сменим тему, и я покажу вам другой объект. В этом выступлении я покажу вам несколько разных объектов взлома. Давайте рассмотрим автомобили.

Вот перед вами машина, напичканная электроникой. Сегодняшние авто без электроники никуда. Внутри у нее спрятано много различного рода компьютеров. В ней больше процессоров Pentium, чем в моей институтской лаборатории во времена моей учебы. И все они соединены в сеть. Но есть внутри этой машины еще и беспроводная сеть, в которую можно войти множеством разных способов. Тут вам и Bluetooth, и радио FM и XM, есть беспроводная сеть Wi-Fi, сенсорные датчики на колесах, регистрирующие и передающие данные о давлении в шинах на бортовой компьютер. Современный автомобиль — это сложное многопроцессорное устройство.

И что будет, если кто-нибудь захочет его взломать? Вот как раз это и решила узнать группа исследователей, о которой я вам сейчас расскажу. Они посадили одного хакера на проводную сеть, а другого — на беспроводную. У них есть два возможных пути вторжения. Первый — с использованием коротковолнового беспроводного сигнала, когда с устройством можно связаться, находясь неподалеку используя Bluetooth или Wi-Fi а также издалека, как в случае контроля автомобиля с помощью сотовой связи или одной из радиостанций. Задумайтесь. Как только автомобиль получает сигнал, его обрабатывает определенная программа. Эта программа получает и преобразовывает радио-сигнал и затем понимает, что с ним делать, даже если это просто музыка, которую нужно проиграть по радио. Так вот, если программа, которая выполняет преобразование, имеет какие-либо дефекты, то это может сделать систему уязвимой, и кто-нибудь сможет взломать машину.

Исследователи подошли к этой проблеме так: считывая программу с компьютерных чипов, которые были в машине, они использовали сложные средства обратного декодирования, чтобы выяснить, что делала эта программа, а потом они нашли в ней уязвимости, для которых они создали вредоносные коды. Так они осуществили нападение в реальной жизни. Они купили два автомобиля и, скорее всего, их финансы получше моих. Первое моделирование угроз было проведено за тем, чтобы выяснить, на что был бы способен злоумышленник, если бы он получил доступ к внутренней сети автомобиля. Представьте ситуацию: кто-то забирается к вам в машину, что-то там меняет, насколько это серьезно? Другая модель угрозы — это когда с вами устанавливают связь в реальном времени, используя одну из беспроводных сетей, похожую на сотовую, при этом не имея физического доступа к вашей машине.

Примерно так выглядят их устройства в первом случае, когда необходим доступ к машине. С помощью ноутбука они подключаются к узлу диагностики внутри сети автомобиля и делают всякие глупости, как, например, на этом фото со спидометром, показывающим скорость 225 км в час в то время как машина запаркована. После получения доступа к автомобильным устройствам можно сделать все, что угодно. Возможно, вы скажете: «Это же глупо». А что, если бы спидометр показывал на 32 км в час меньше, чем на самом деле? Это могло бы вылиться во множество штрафных талонов.

Итак, они поехали на заброшенную взлетную полосу на двух машинах — машина-жертва и машина-злоумышленник и провели множество других нападений. Одной из возможностей машины-злоумышленника стало использование тормозов второй машины, просто взломав компьютер. Они были способны вывести тормоза из строя. Они также смогли установить вредоносные программы, которые не срабатывали, пока машина не набирала скорость 32 км в час или вроде того. Результаты были ошеломительны, и когда они выступили, а выступали они на конференции с кучей специалистов в области компьютерной безопасности, все ахнули от удивления. Они смогли проникнуть в важнейшие устройства внутри машины: устройства тормоза и освещения, двигатель, щиток, радио, и т.д., а также смогли продемонстрировать это на настоящих автомобилях, находящихся в продаже, используя радиосигнал. Они смогли взломать каждый элемент программы, контролирующей все беспроводные процессы автомобиля. И все это было успешно осуществлено.

Основываясь на этой модели, как можно угнать машину? Можно перегрузить автомобиль переполнением буфера уязвимости программы, что-то вроде того. Чтобы ее обнаружить, используется GPS. Можно удаленно отпереть двери с помощью компьютера, который это контролирует, запустить двигатель, обойти противоугонное устройство, и автомобиль ваш.

Было очень интересно наблюдать за этим. У авторов этого проекта есть видео, где показывается, как они захватывают машину, включают микрофон внутри и прослушивают автомобиль, отслеживая его по GPS на карте. Об этом водитель автомобиля может даже и не подозревать.

Вам уже страшно? У меня еще много чего интересного. О следующих случаях я узнал на конференции, был потрясен и сказал: «Я должен поделиться этим с другими».

Это была лаборатория Фабиана Монроса в университете Северной Каролины, и они занимались кое-чем, что хоть и выглядело интуитивно понятно, но все равно было удивительно. Они снимали на камеру людей в автобусе, а потом обрабатывали видео. То, что вы видите на первом, это отражение в чьих-то очках смартфона и текст, который был напечатан. Они написали программу для стабилизации — даже при том, что люди были в автобусе, и, возможно, кто-то держал свой телефон под углом — для стабилизации и обработки, и, как вы уже знаете, когда человек вводит пароль, символы ненадолго появляются, и они использовали это, чтобы воссоздать набранный текст с использованием языкового модуля для распознавания текста. Что интересно, путем записывания на камеру в автобусе они были в состоянии получить точный текст с чужих смартфонов, что дало удивительные результаты, потому что не только люди, на которых была нацелена программа, но и те, кто случайно оказался в кадре, попали в область действия программы, позволив ей считывать все, что они печатали, при том, что это свойство программы было открыто совершенно случайно.

Я покажу еще два. Один из них — радио устройства П25. П25 используется правоохранительными органами, всяческими государственными организациями и военными для коммуникации, и на таких устройствах есть функция кодирования. Вот так он выглядит. Это не совсем телефон, это больше двухсторонняя радиоустановка. Motorola изготавливает самые широко используемые из них, и, как видите, они используются секретными службами, а также в бою, и подпадают под единый стандарт в США и других странах. И поэтому у исследователей возникает вопрос, можно ли заблокировать такое устройство? Можно ли запустить «отказ в обслуживании», нацеленный на службы быстрого реагирования? Разве террористические группировки не захотели бы прервать коммуникацию полиции и пожарной службы в чрезвычайной ситуации? Они обнаружили устройство GirlTech, используемый для обмена сообщениями, который, как оказалось, работает на той же самой частоте, что и П25, и создали так называемую «Мою первую глушилку». Если присмотреться к этому устройству, у него есть переключатель кодирования и открытого текста. Сейчас мы просмотрим следующий слайд, а теперь вернемся. Видите разницу? Это обычный текст. Этот — зашифрованный. Этот маленький кружок, который появляется на экране, и крохотный поворот переключателя. И исследователи задаются вопросом: «Интересно, насколько часто самые важные и засекреченные разговоры ведутся на таких двухсторонних радио устройствах, когда они забывают включать кодировку и не замечают этого?»

Поэтому они купили сканер. Такие вещи вполне законны и работают на той же частоте, что и П25, и они просто перескакивали с одной частоты на другую и написали программу для прослушивания. При обнаружении закодированной связи они оставались на этом канале и записывали, что это за канал, на котором общались эти люди из правоохранительных органов, и тогда они посетили 20 городских областей и прослушали разговоры, ведущиеся на этих частотах. Было установлено, что в каждой области города они перехватили более 20 минут в день разговоров в режиме открытого текста. О чем же говорили люди? Они получили имена и данные о засекреченных информаторах. Им стало известно о данных, записанных на устройства прослушки, обсуждения множества преступлений, в общем, деликатная информация. По большому счету связанная с правопорядком и преступностью. Они анонимизировали данные и доложили об этом в правоохранительные органы и в итоге уязвимостью оказалось то, что пользовательский интерфейс был недостаточно хорош. Если обсуждается что-то действительно секретное и деликатное, то должно быть очевидно, что разговор кодируется. И это довольно легко исправить.

Последний — по мне, так это кое-что очень-очень крутое и я просто обязан вам это показать, хотя это и не то, от чего можно потерять дар речи, как в случае с машинами и дефибрилляторами, в общем, это отслеживание нажатий на клавиши. На данный момент никто из нас не оценивает смартфоны должным образом. Каждый специалист по безопасности хочет взломать смартфон, и мы склонны думать о USB порте, о GPS для отслеживания, о камере, о микрофоне, и никто до этого момента не задумывался об акселерометре. Этот датчик определяет вертикальное положение смартфона. И имеет простую установку. Можно положить смартфон рядом с клавиатурой и, пока люди печатают, использовать колебания, созданные вводом текста, чтобы измерить изменения в показаниях датчика, и определить, что человек напечатал. После того, как это было опробовано на iPhone 3GS, появилась шкала колебаний, созданных процессом набора текста, и, как вы можете видеть, очень трудно определить, когда и что печатал человек. Но в iPhone 4 акселерометр был заметно улучшен, и те же самые измерения дали вот такие результаты. А это уже дает куда больше информации, пока человек набирает текст. Они использовали продвинутые средства искусственного интеллекта — машинное самообучение с этапом тренировки, на котором, скорее всего, привлекались аспиранты для того, чтобы напечатать множество разнообразных текстов и обучить систему, чтобы таким образом система использовала инструменты самообучения для того чтобы узнавать, что люди печатают, и соотносить все это с показаниями акселерометра. И потом на этапе нападения кто-то набирает текст и пока неясно, какой, и тогда используется модель, созданная на этапе тренировки, чтобы выяснить, что за текст. Они были успешны. Вот статья из USA Today. Они печатали: «Верховный суд штата Иллинойс постановил, что Рам Эмануэль имеет право баллотироваться на пост мэра Чикаго» — видите, я связал это с последним выступлением — «и приказал ему оставаться в списке кандидатов». Система интересна тем, что она воспроизвела «Верховный», а потом была не уверена. Модель предоставила множество вариантов, а великолепие некоторых приемов ИИ заключается в следующем: учитывая, что компьютеры хороши в одном деле, а люди в другом, используйте лучшие стороны обоих, и позвольте людям выполнить эту задачу. Машинные циклы не расходуются впустую. Человек не подумает, что это Верховный флот. Это ведь Верховный суд, верно? Итак, вместе мы смогли воспроизвести набор текста, просто считывая показания акселерометра. Почему это важно? На платформе Android, например, у разработчиков существует манифестация, согласно которой любой прибор — микрофон и т.п. должен быть зарегистрирован для использования так, чтобы хакеры не смогли его перехватить, но никто не контролирует акселерометр.

Так к чему я это? Вы могли бы положить iPhone рядом с чьей-нибудь клавиатурой и просто покинуть помещение, а потом узнать, что там происходило, даже не используя микрофон. Если кто-то в состоянии заразить ваш iPhone вирусом, тогда можно узнать, что вы набираете на клавиатуре каждый раз, когда вы кладете рядом с ней iPhone.

Есть несколько достойных внимания атак, на обсуждение которых, к несчастью, у меня нет времени, но все же есть одна, которую я мог бы выделить, и это о группе из университета штата Мичиган, которая смогла захватить автоматические средства голосования Sequoia AVC Edge DRE, которые собирались использовать на выборах в Нью-Джерси. Их оставили в холле и поставили на них Пакмана. И запустили эту игру.

Что все это значит? Я думаю, что общество осваивает технологии слишком быстро. Мне очень нравятся последние гаджеты. Но это очень важно, к тому же исследования показывают, что разработчики таких продуктов должны позаботиться о безопасности с самого начала и осознать, что хоть у них и есть модель угроз, злоумышленники могут и не ограничить себя этой моделью, и таким образом, нужно мыслить намного шире.

Нам следует знать, что во все устройства можно проникнуть, а также все, что работает по программе, всегда будет уязвимым. В программах всегда есть изъяны.

Перевод: Алла Дунаева
Редактор: Сергей Менис

Источник