Novica, da nekomu uspe nov način napada na pametne naprave, običajno hitro pride v javnost, dostikrat pa se pri tem izgubi, da gre za prikaz napadov, ki jih ni najbolj preprosto ponoviti. Vseeno pa so takšni primeri izrednega pomena, kajti, ko pokažejo na teoretične ranljivosti in pripomorejo, da jih odstranijo, morda najdejo še kakšno bolj nevarno. V konkretnem primeru gre natanko za to. Googlov digitalni pomočnik, Siri in Alexa so ranljive za laserske in v primeru infrardeče svetlobe nevidne napade, v katerih jim napadalci pošljejo ukaze, s katerim nato naredijo, kar jim je pač zaukazano. Odprejo vhodna vrata, zaženejo vozilo in tako naprej. Napasti naj bi bilo mogoče na razdalji tudi več kot 110 metrov, pod pogojem, da je vmes prazen prostor brez ovir, ki bi drugače zaustavile laserski žarek.

Z žarkom sicer majhne moči pa morajo natančno zadeti določen del mikrofona oziroma mikro elektronsko mehaničnega sistema (MEMS), ki ga zaradi večje natančnosti uporabljajo sodobne naprave. Zaradi nekega naključja ti namreč svetlobno valovanje prepoznajo kot zvok. Napad je mogoč tudi zato, ker večina sistemom za glasovno upravljanje ne zahteva avtorizacije, pa tudi če že, potem gre za preprosta gesla PIN, ki jih je mogoče ugotoviti z ugibanjem. Večina naprav v tem primeru namreč ne omejujejo števila poskusov. V laboratorijskih primerih so se igrali le z omenjenimi pomočnicami in omejenim seznamom naprav, ocenjujejo pa, da so na tako imenovani napad s svetlobo občutljive vse z omenjenim tipom mikrofona.

Pravzaprav je zanimivo, da raziskovalcem ni popolnoma jasna »fizika«, ki omogoča napad. Mikrofoni so narejeni, da pretvorijo zvočne valove, ki imajo moč, da fizično vplivajo na stvari v električni signal. Mikrofoni MEMS pa enako naredijo tudi, če so obsevani s svetlobo, ki kajpada ni sposobna fizično premikati ničesar. S spreminjanjem valovne dolžine laserske svetlobe pa so ga pretentali, da je iz sebe spravil popolnoma enak električni ukaz, kot ga sproži določen glasovni ukaz: »alexa, open door« na primer. Pri tem so uporabili preproste laserske oddajnike, ki oddajo svetlobo moči 5 W, do bolj zmogljivih moči 60 W. Sicer pa tudi druga elektronika ni stala veliko in ko lahko kupi vsak. Kajpada pa niso povedali ničesar o prilagajanju svetlobe, ki je kot ost svetlobnega napada.

Če že na kaj, potem preizkus kaže na pomanjkljivost pametnih zvočnikov, saj mu lahko ukazuje vsak, ki je dovolj blizu, da ga sliši. Oziroma na pomen, da tudi pri teh napravah nastavimo gesla, ki jih je treba vnesti, pred uporabo, pa čeprav zaradi tega trpi udobje. Vemo pa, kako je s sodobnimi pametnimi napravami. Naredijo jih hitro in kot menijo, da je najbolje za uporabnika (in izdelovalca), o varnosti pa razmišljajo kasneje. Ko in če je potrebno!

Naslovna fotografija: DepositPhotos

The post Pretentali Siri, Alexo in Googlovega pomočnika z laserskim žarkom appeared first on Tehnozvezdje.

Cilj je, da je vse dostopno prek interneta, namesto da bi bile takšne le tiste stvari, ki povezavo potrebujejo. Le redki se vprašajo, zakaj imajo možnost povezave v internet in možnost hranjenja podatkov na spletnih strežnikih tudi naprave, kjer za to ni logike. Dovolj zanje je, da so dostopne iz domačega omrežja, podatke pa lahko hranijo na lokalni pomnilnik. Pralni stroji, pametni kavomati, pečice in še cela vrsta drugih naprav je dostopnih prek interneta, podatke, ki jih pri delu »ustvarijo«, pa pošiljajo na spletne strežnike. Razlog je v podatkih. Ti so dragoceni za izdelovalce naprav, ki si obetajo dodatne zaslužke s prodajo brezosebnih podatkov uporabnikov. Verjetno ne bi bilo s tem nič narobe, če bi izdelovalci uporabniku omogočili, da se sam odloči. Ali dovoli, da je naprava dostopna prek interneta, ker mu ta možnost veliko pomeni, in da hrani podatke na strežnikih, ali pa ne, ker mu zadostuje dostop do nje iz domačega omrežja in lokalno shranjeni podatki. Enako velja za nosljive naprave, ki beležijo korake. Podatke hranijo na strežnikih, uporabnik pa nima možnosti, da bi bili shranjeni le na pametnem telefonu, ker mu ta oblika zadostuje. Še več, brez internetne povezave (denimo v hribih) se informacije o prehojeni turi sploh ne pretočijo na telefon.

Težnja je, da so elementi infrastrukture (elektrika, voda, ceste) dostopni z enega mesta, s katerega je mogoč celovit nadzor. Semaforji niso povezani v internet, temveč imajo do centrale lastno podatkovno povezavo. Enako je s števci porabe energije, ventili vodovodnega in plinskega omrežja in podobno. V centrali je omogočen nadzor iz enega ali več računalnikov. Kako pa so ti povezani? Če imajo hkrati tudi dostop v internet, obstaja možnost, da heker prevzame nadzor nad njimi, s tem pa tudi nad vsem, kar ti nadzirajo. Motenje preskrbe z energijo, vodo, izklop vseh semaforjev pa ni nekaj, zaradi česar bi preprosto skomignili z rameni, ko gre kaj narobe. Računalniki, ki nadzirajo infrastrukturo, bi morali biti fizično ločeni od omrežja računalnikov v podjetju, ki imajo dostop do interneta. Kar pomeni dve ločeni omrežji. Nekje je tako, verjetno pa ne povsod. Varčevanje je mila beseda, ki jo radi slišijo lastniki in vodstvo podjetja. Dve ločeni omrežji, morda celo dva računalnika na zaposlenega, je dražje kot eno omrežje in en računalnik. Varčevanje pa ni vedno dobrodošlo, sploh ne tedaj, ko vpliva na nižjo varnost.

Heker v službi države

Moderne vojne ne potekajo le na bojišču s tanki in letali, temveč tudi v kibernetičnem svetu. Obstoj hekerskih enot v razvitejših vojskah ni skrivnost, je pa skrivnost, kaj in kako to počnejo. V zahodnem tisku je razvpita enota 61398 kitajske ljudske armade. Poleg ukvarjanja s kibernetičnim vohunjenjem naj bi bila »zaslužna« tudi za krajo gospodarskih skrivnosti in Američani so nekaj njenih znanih članov obtožili pred sodiščem.

Državni hekerji imajo raznovrstne naloge. Napadajo infrastrukturo nasprotnika in mu poskušajo zadati boleč udarec, ki bo vplival na njegovo sposobnost vojskovanja, hkrati pa so v prvi vrsti obrambe pred njegovimi spletnimi napadi. Malo je znanega o orodjih, ki jih imajo na voljo, pa tudi o uspehih. Prizadeti neradi javno priznajo, da je bila napaka na infrastrukturi posledica hekerskih napadov.

Govorilo se je, da je bil pred leti izpad elektrike v dobršnem delu Združenih držav posledica hekerskih napadov, kar so vpleteni večkrat zanikali. Potrjena ste le dva uspešna spletna napada, katerih posledica je bilo fizično uničenje opreme. Konec leta 2007 ali v začetku leta 2008 naj bi sile združili ameriški in izraelski hekerji ter sabotirali delovanje centrifug v iranskem obratu za bogatitev urana. Ni šlo za spletni napad, saj je črv Stuxnet Siemensove industrijske krmilnike okužil prek okuženih fizičnih podatkovnih nosilcev. Zaradi okužbe krmilnikov so se centrifuge nenadzorovano vrtele in prišlo je do poškodb. Napad je bil odkrit leta 2010 in takrat smo lahko poslušali, da je le vprašanje časa do novega »uničujočega« napada. Do njega je prišlo 2014. Napadena je bila nemška jeklarna. Tudi v tem primeru so hekerji vplivali na industrijski krmilni sistem, in sicer za nadzor plavža (peči). Do danes je bilo še cel kup “incidentov”, za ene vemo, da so bili posledica napadov, za druge pa ne, čeprav so sumi ostali.

Države hekerje »zaposlujejo« tudi za namene vohunjenja. Do informacij o nasprotniku je veliko enostavneje in brez žrtev priti prek interneta. Edward Snowden je razkril, kaj počne agencija NSA, s tem pa so tudi njene dejavnosti v kibernetičnem svetu bolj znane. Napačno pa bi bilo, če bi mislili, da le NSA vohuni po svetu. To počnejo vse države sveta, v skladu s svojimi zmožnostmi. Afera NSA je toliko večja zaradi obsega vohunjenja, ki ga je razkrila, in svobode govora v demokratičnih državah. Posledica pa je, da nekatere države razmišljajo o ponovnem tipkanju občutljivih dokumentov na tipkarskih strojih. Medtem ko nekateri o tem razmišljajo, se je menda izkazalo, da v Rusiji to počnejo že ves čas. V zadnjih letih so varnostni strokovnjaki razkrili tudi več škodljivih kod oziroma omrežij okuženih računalnikov, ki so bili uporabljeni za vohunjenje v Evropi in tudi drugod po svetu. Obseg elektronskega vohunjenja je verjetno še veliko večji, kot kažejo Snowdnova razkritja.

Najemajo jih teroristi …

Na srečo hekerski napadi, ki imajo za posledico uničenje kritične infrastrukture, niso tako enostavni, kot bi si mislili. Nekaj je vdreti v sistem, nekaj drugega pa povzročiti škodo. Pisci črva Stuxnet so morali imeti v »laboratoriju« enak krmilnik in enako centrifugo, ki sta bila v iranskem obratu, da so lahko preizkusili delovanje modula za sabotiranje oziroma ugotovili, kakšno zaporedje ukazov povzroči največjo škodo. Manj je verjetno, da bi imel to opremo heker v kleti svojih staršev. Škodljive kode, ki so sposobne uničiti »opremo«, zato razvijajo hekerske skupine v službi držav, tam razvito kibernetično orožje pa bi lahko prišlo v roke teroristov, če bi se ti hekerji odločili za »zasebno« poslovno pot ali če bi jim ga prodale kar države, ki so ga razvile.

Grožnja kibernetičnega terorističnega napada ni zanemarljiva pravzaprav zaradi nas samih, ko želimo informatizirati in na internet odpreti vse, pri tem pa dostikrat pozabimo na varnost. Samo predstavljamo si lahko, kako katastrofalne bi bile posledice »izklopa« na primer sistema za nadzor zračnega prometa ali celo »uničenja« električne infrastrukture. Možnost, da bi do takšnega napada prišlo kot posledica vojne med dvema državama, je pričakovana, teroristični napad pa bi prišel kot strela iz jasnega, zato pa bi bile tudi posledice hujše.

Družba bi se morala bolj bati kibernetičnega vojskovanja, terorizma in vohunjenja, ki ga izvajajo države (ali teroristične skupine), kot posamičnih napadov na spletne uporabnike. Skrb za internetno varnost pa je večplastna. Varovati se moramo kot posamezniki, varni morajo biti tako državni sistemi kot tudi sistemi podjetij.

The post Zakaj bi metali bombe, če te lahko uničijo z “biti” appeared first on Tehnozvezdje.