Ile realizmu jest w Watch_Dogs?

Na ten temat oraz na wiele innych związanych z bezpieczeństwem w rzeczywistości i w sieci porozmawialiśmy z Piotrem Koniecznym (Niebezpiecznik.pl)

Piotr Konieczny

Piotr Konieczny,
fot. Ola Anzel

Piotr Konieczny od 9 lat pomaga największym polskim i zagranicznym firmom w zabezpieczaniu sieci oraz serwisów internetowych. Jest absolwentem Glasgow Caledonian University, a pracę w branży IT rozpoczął w brytyjskim oddziale Philips Semiconductors. Ponadto założył serwis Niebezpiecznik.pl, największy w Polsce portal poświęcony tematyce IT security, który każdego miesiąca jest czytany przez miliony Polaków.

Niebezpiecznik.pl to jednak nie tylko popularny serwis internetowy, to także firma doradcza, konsultująca projekty informatyczne pod kątem bezpieczeństwa. Piotr zarządza zespołem wykonującym audyty i testy penetracyjne systemów teleinformatycznych oraz prowadzi szkolenia dla administratorów i programistów w zakresie ochrony sieci komputerowych oraz bezpiecznego tworzenia aplikacji sieciowych.

Mikołaj Dusiński: W nadchodzącej grze Watch_Dogs całe miasto Chicago, wszystkie jego służby, monitoring, sygnalizacja świetlna, bankomaty i tak dalej działają w ramach zintegrowanego systemu CTOS (Central Operating System). Jak to wygląda aktualnie w prawdziwym świecie?

Piotr Konieczny: Na chwilę obecną, na szczęście, są to systemy oddzielne, chociaż wszystkie łączy jedno: do działania potrzebują prądu i w coraz większym stopniu wykorzystują Internet do komunikacji oraz zarządzania. Pojawia się więc coś, co nazywamy w bezpieczeństwie mianem single point of failure – jest to jednak problem globalny, a nie typowo polski. Pomału musimy się zacząć przyzwyczajać do tego, że wizja tzw. Internet of Things staje się coraz wyraźniejsza i na horyzoncie pojawia się nowa klasa ryzyka.

20090504, Job #29118, United Water.  Haworth Treatment Plant. Plant Control Room

Nowoczesne centrum monitoringu

M.D.: A jak to wygląda w Polsce? Jesteśmy daleko za Europą Zachodnią jeśli chodzi o tego typu technologie?

P.K.:  Nie demonizowałbym Polski jako kraju trzeciego świata. Niektóre technologie są u nas wręcz lepiej rozwinięte niż za oceanem. Na przykład sieć telefonii GSM czy kart płatniczych. Wynika to z tego, że co prawda startowaliśmy później, ale dzięki temu mieliśmy sprzęt nowszej generacji i już sprawdzone “w boju” oraz unowocześnione technologie.

W USA często przy drodze można spotkać elektroniczne tablice informacyjne w formie przyczep, którym komunikaty wstukuje się “ręcznie” poprzez wbudowaną i zamkniętą na kluczyk klawiaturę. U nas, w większości miast tablice informacyjne są zamontowane na stałe przy głównych trasach i skrzyżowaniach, a dane do nich przesyła się przez Internet. Nowocześniejsze i wygodniejsze? Na pewno. Ale czy bezpieczniejsze?

tablica

Jedna z polskich tablic informacyjnych z “nieautoryzowanym” napisem 😉

M.D.: Od czasu do czasu czyta się w mediach o monitoringu w miastach i związanych z tym kontrowersjach (ludzie nie chcą być nagrywani, podsłuchiwani etc.). Jak skuteczne są w ogóle takie systemy?

P.K.: Aby system monitoringu miejskiego był skuteczny, musi być na dzień dzisiejszy obsługiwany przez człowieka — a ten popełnia błędy. Powstają co prawda projekty, których celem jest automatyzacja wykrywania incydentów na podstawie analizy obrazu rejestrowanego przez system kamer i dodatkowych czujników, ale prawda jest taka, że na chwilę obecną są to jednie projekty badawcze. Zainteresowanym tą tematyką polecam nasz artykuł będący obszernym opisem systemu INDECT, który jest realizowany na polskich uczelniach i był szeroko krytykowany podczas protestów związanych z ACTA, głównie dlatego, że obrósł mitami i nie do końca było wiadomo jak działa.

W 2009 roku ujawniono, że w Londynie na jedną kamerę przypada czternastu mieszkańców. W Polsce dopiero teraz zaczyna się dyskusja związana z monitoringiem wizyjnym – czy kamery powinny tylko widzieć, a może także słuchać? Czy każda monitorowana przestrzeń powinna być oznaczona? Kto powinien mieć dostęp do nagrań z miejsc publicznych i na jakich zasadach? To wbrew pozorom bardzo trudne pytania. Zwolennicy oczywiście twierdzą, że kamera, nawet jeśli nie zapobiega incydentom, to pozwala je przeanalizować po fakcie i pomóc w schwytaniu sprawców. Przeciwnicy z kolei powołują się na setki nierozwiązanych spraw z obszarów objętych monitoringiem, gdzie albo w ogóle nie było nagrania, bo kamera się zepsuła, albo nagranie było bardzo kiepskiej jakości.

Spojrzenie Anonimowych na system INDECT

Nas jednak, jako specjalistów ds. bezpieczeństwa, interesuje przede wszystkim czy można zagłuszać działanie monitoringu lub ukryć się przed wzrokiem kamer. A jeśli tak, to czy jest to proste? Okazuje się, że przed większością kamer CCTV zabezpieczy nas dioda ze zwykłego pilota od telewizora. Co ciekawe, tego samego rodzaju technika często może nas uchronić przed mandatem z fotoradaru…

M.D.: W Watch_Dogs główny bohater będzie używał smartfona do hakowania ogromnej palety urządzeń i systemów. Jak dużo „złego” można by zrobić w realnym świecie używając mocnej komórki?

P.K.: Dzisiejsze smartphony mogą komunikować się z innymi systemami nie tylko przez Internet, ale również poprzez interfejsy BlueTooth, Wi-Fi Direct/ad-hoc, transmisję NFC czy podczerwień. Odpowiednie akcesoria podpinane pod porty rozszerzeń pozwalają też na komunikację np. z systemami kasowymi czy multimediami. Ta wszechstronność w wymianie danych pozwala na wiele.

Wyobraźmy sobie, że naszym celem jest uzyskanie dostępu do skrzynki e-mail niejakiego Jana Kowalskiego. Mamy jego rysopis i wydaje nam się, że namierzyliśmy podobną do niego osobę. Śledzimy ją i trafiamy na parking pod supermarketem, gdzie figurant zostawia swój samochód i zmierza ku wejściu do sklepu. Przy użyciu wbudowanego w telefon radia zagłuszamy komunikację pilota naszego celu z zamkiem centralnym w jego samochodzie, emitując fale na odpowiedniej częstotliwości. W efekcie auto nie zostało zamknięte. Zresztą nawet jeśli ten atak by się nie powiódł, zawsze możemy spróbować otworzyć samochód bezprzewodowo za pomocą odpowiedniego oprogramowania.

Hack

Niestety, w trakcie przeszukania samochodu nie znajdujemy w nim żadnych dokumentów, potwierdzających, że figurant to rzeczywiście nasz Kowalski. Musimy więc zastosować plan B. Jest nim zbliżenie się do celu na terenie sklepu, np. w kolejce do kasy. Czytnik NFC w naszym smartfonie pozwoli nam na poznanie tożsamości figuranta, o ile posiada on coraz powszechniejszą w użyciu kartę zbliżeniową (część ze zbliżeniowych kart płatniczych stosowanych w Polsce umożliwia odczytanie imienia i nazwiska właściciela). Udało się. To rzeczywiście jest Kowalski.

Zanim odczytaliśmy dane z karty Kowalskiego, aby “podejrzane zbliżenie” naszego telefonu do kieszeni innego klienta nie zostało dostrzeżone przez czujnych strażników, wykorzystaliśmy interfejs podczerwieni z naszego smartfona. Odtworzyliśmy kod wyłączenia ekranu telewizora, który sparaliżował sklepowe centrum monitoringu. Co z tego, że kamery CCTV działają, skoro strażnicy nic nie widzą na swoich monitorach (będącymi tak naprawdę telewizorami znanego producenta, którego kody pilota są znane)?

Tak na marginesie, to chyba najbardziej drastycznym sposobem na wykorzystanie podczerwieni w telefonie jest niespodziewane przestawianie tramwajowych zwrotnic tak, aby wykoleić dwuwagonowe składy (kiedy za zwrotnicą znajdzie się jeden z wagonów). Tego zresztą próbował już 14-latek z Łodzi. Można też oczywiście po prostu “trolować” w sklepach RTV, przełączając wszystkie telewizory na inny kanał, ale szkodliwość takiego działania jest zdecydowanie mniejsza.

Wracając do Kowalskiego, ruszamy za nim naszym samochodem. Kowalski wjeżdża na autostradę. Przyszła pora na wykorzystanie interfejsu BlueTooth w naszym telefonie. Moglibyśmy przejąć kontrolę nad systemem głośnomówiącym Kowalskiego i nakazać mu zatrzymanie się – ale jest na to ciekawszy sposób. W skrajnych przypadkach przy pomocy BlueTooth możemy bowiem przejąć kontrolę nad komputerem pokładowym nowszych samochodów!

Hack2

Decydujemy się na podrobienie sygnału z czujnika w oponie (“brak ciśnienia”). Samochód Kowalskiego reaguje zgodnie z instrukcją obsługi, komputer automatycznie przechodzi w tryb serwisowy, tzn. opuszcza do połowy szyby, włącza wycieraczki i nie pozwala przekroczyć prędkości 10km/h, wyświetlając jednocześnie komunikat błędu i nakazując natychmiastowy postój. Kowalski zjeżdża do pierwszej możliwej zatoczki – my za nim…

Kiedy Kowalski na przemian przeczesuje instrukcję obsługi i zdenerwowany wykonuje telefony do serwisu, my udając że zatrzymaliśmy się na drzemkę, przy pomocy naszego interfejsu Wi-Fi stawiamy fałszywego Access Pointa. Telefony już tak mają, co jakiś czas próbują szukać w pobliżu dostępnych sieci Wi-Fi i zazwyczaj łączą się ze znanymi sieciami automatycznie. Nasz smartfon najpierw podsłuchuje jakich sieci szuka telefon Kowalskiego, a następnie dla każdej z wyszukiwanych sieci uruchamia fałszywego Access Pointa, które w uproszczeniu mówi telefonowi Kowalskiego “tak, jestem tutaj, możesz się ze mną połączyć”.

Hack3

Kiedy telefon Kowalskiego jest już automatycznie podłączony do Internetu przez nasze urządzenie, możemy nie tylko podsłuchiwać nieszyfrowaną transmisję, ale także wykonywać bardziej zaawansowane ataki (tzw. man in the middle) na szyfrowane protokoły. Udało się, klient poczty na telefonie Kowalskiego, jak zawsze kiedy jest podłączany do Internetu, punktualnie po 5 minutach sprawdził, czy na serwerze jest nowa wiadomość. Niestety na skutek popularnego błędu programistycznego nie wyświetlił komunikatu ostrzegającego o fałszywym certyfikacie SSL i co gorsza automatycznie go zaakceptował, co w rezultacie pozwoliło przekazać login i hasło do skrzynki pocztowej Kowalskiego naszemu podstawionemu serwerowi. Teraz mamy dostęp do wiadomości Kowalskiego. Misja zakończona. Wykorzystaliśmy wbudowane w komórkę radio, czytnik NFC, interfejs podczerwieni oraz BlueTooth i Wi-Fi.

Na koniec, złośliwie, możemy pokazać Kowalskiemu naszą wyższość, wyświetlając jego hasło na najbliższym ekranie informacyjnym stojącym przy drodze. Jak? Wykorzystamy do tego kluczową funkcję telefonu – możliwość wykonywania rozmów. Przy pomocy socjotechniki, przekonujemy operatora systemu tablic interaktywnych do wykonania testu tablicy i umieszczenia na niej testowego ciągu znaków, którym będzie hasło Kowalskiego do skrzynki pocztowej. Numer kontaktowy do operatora tablicy znaleźliśmy na stronie producenta tablic, którego nazwę, nota bene, odczytaliśmy z tabliczki znamionowej przyczepionej do słupka podtrzymującego ekran.

Invasion: The Real-World Technology of Watch Dogs (źródło: Polygon)

M.D.: Jednym z istotnych składników rozgrywki będzie wpływanie przez hakera na ruch uliczny poprzez zmiany sygnalizacji świetlnej i elektronicznych znaków drogowych. Czy to jest w ogóle możliwe przy dzisiejszej technologii?

P.K.: Jak najbardziej. Przykładowo systemem tablic ostrzegawczo-pogodowych zainstalowanych na autostradzie A4 można sterować z Internetu. Co do sterowania światłami drogowymi — większość skrzyżowań w Polsce nie jest jeszcze, na szczęście, podpięta do Internetu i “zarządzalna”. Chociaż coraz częściej zdarzają się “inteligentne” światła, które można przełączyć wedle preferencji, podszywając się pod sygnał, którego oczekują. Czasem będzie to np. podrobienie sygnału jaki wysyła nadjeżdżający “szybki tramwaj”, a czasem odpowiednie mrugnięcie światłami lub nadanie sygnału dźwiękowego o zdefiniowanej charakterystyce, czyli naśladowanie pojazdu uprzywilejowanego. Niektóre skrzyżowania wyposażone są w specjalne czujniki, które w miarę możliwości starają się umożliwić przejazd takiemu pojazdowi automatycznie, odpowiednio modyfikując dozwolony w danej chwili kierunek ruchu na skrzyżowaniu. Zresztą na tej samej zasadzie można otworzyć część szlabanów i bram chroniących dostępu do strzeżonych osiedli.

Gdybyśmy chcieli utorować sobie drogę przejeżdżając przez przejazd kolejowy, do którego zbliża się pociąg (albo po prostu sparaliżować pracę dworca kolejowego), to wystarczy nadać sygnał RADIO STOP rozpoznawany przez wszystkie pociągi jako nakaz natychmiastowego, automatycznego zatrzymania. Sygnał RADIO STOP jest emitowany np. przez zepsute zwrotnice. Co ciekawe, czasem do paraliżu wystarczy zwykłe rozsypanie soli na szyny w deszczowy dzień.

Zmiana

M.D.: Znowu pytanie o realność przyjętych przez programistów założeń – czy istnieją możliwości zhakowania bankomatów bez fizycznej „napaści” na maszynę?

P.K.: Wszystko zależy od tego jak rozumiemy fizyczną napaść i czy zaliczymy do niej podłączenie do bankomatu pendrive’a na USB? Jest to jeden z ciekawszych sposobów kradzieży pieniędzy z bankomatu …zaraz po metodzie na widelec oraz tzw. pułapce klejowej. Jak widać, bankomaty można okradać z finezją, a nie tylko wysadzać je w powietrze, jak to się przyjęło w Polsce.

Można też szukać słabości w implementacji tzw. logiki biznesowej systemów płatniczych albo po prostu liczyć na błąd kasjera, który zamiast banknotów 50 złotowych ładuje do kasetki banknoty 100 złotowe. Nie słyszałem jednak do tej pory o zdarzeniu, które umożliwiło komuś nieautoryzowany dostęp do sieci bankomatów przez Internet i zmuszenie ich do wypłacenia pieniędzy. Zdecydowanie częściej okrada się klientów bankomatów przy pomocy tzw. skimmerów.

cashmashine

M.D.: W grze Watch_Dogs (i wielu innych filmach czy książkach) samotny haker staje naprzeciw złym korporacjom. W rzeczywistości chyba rzadko hakerzy działają samotnie?

P.K.: Na pewno, co dwie głowy to nie jedna, ale nie bagatelizowałbym siły tzw. indywidualnych badaczy bezpieczeństwa. Bardzo często najciekawsze prelekcje na branżowych konferencjach to wynik pracy jednej tylko osoby, chociaż nie zawsze motywacją jest chęć “walki ze złą korporacją”. Faktem jest  natomiast, że jeśli któraś firma podpadnie osobom z branży bezpieczeństwa, to nie ma łatwo. Przykładowo, jeden z “bezpieczników” Google, który poczuł się zdenerwowany ignorancją firmy Sophos, postanowił bliżej przyjrzeć się tworzonym przez nią produktom i znalazł w nich kilkaset błędów.

camera

„Wielki Brat” patrzy…

M.D.: Skoro już rozmawiamy o hakerach to czym się oni różnią od crackerów i innych speców od łamania zabezpieczeń?

P.K.: Przyjęło się w mediach mainstreamowych nazywanie włamywaczy hackerami, chociaż nie jest to poprawny termin. Historycznie, hacker to osoba, którą cechuje niecodzienne, kreatywne podejście do danego problemu informatycznego, rozłożenie go na czynniki pierwsze i znalezienie innowacyjnego rozwiązania problemu. Jak widać, nie ma tu ani słowa o przełamywaniu zabezpieczeń czy wykradaniu danych.

Podobnie cracker, nie jest w kontekście włamywaczy i przestępców internetowych dobrym określeniem — jest bowiem grupa osób powiązana ze światkiem gier, która ulepsza gry (“crackuje gry”) w kontekście dalekim od włamań czy przestępstw i nie do końca podoba się im utożsamianie z komputerowymi złodziejami.

donatello_hacking

Popkulturalna wizja hakerów 😉

Funkcjonują także terminy white-hat hacker i black-hat hacker, które mają za zadanie doprecyzować jak etyczna jest dana osoba. Ale najprościej chyba włamywaczy komputerowych nazywać po prostu włamywaczami, złodziejami lub przestępcami. Czym bowiem różni się kradzież czyichś pieniędzy przez Internet od kradzież jego fizycznego portfela?

M.D.: W czasach początków Internetu mówiło się, że jednym z najlepszych sposobów na znalezienie pracy w przemyśle IT jest właśnie zhakowanie oprogramowania lub strony jakiejś firmy i udowodnienie w ten sposób jej właścicielom, że posiada się odpowiednie umiejętności. Mit czy jest w tym jakaś cząstka prawdy?

P.K.: Oczywiście, kilka osób może pochwalić się takim życiorysem, ale nie sądzę, że jakakolwiek poważna instytucja zatrudni osobę, która pomimo dużych zdolności nie ma szacunku dla prawa i zachowuje się nieetycznie. W przypadku naszej firmy jest to wykluczone — pracujemy głównie z dużymi firmami z sektora finansowego, które powierzają nam swoje najcenniejsze dane i jednocześnie wymagają poufności oraz zobowiązują do wypłaty odszkodowania, jeśli dane te wpadną w niepowołane ręce. Musimy mieć więc 100% zaufanie do naszych pracowników. I choć nie jest to niemożliwe, to ciężko zaufać osobie, której jeszcze do niedawna znaczną część czasu zajmowało przeprowadzanie ataków i sprzedaż nielegalnie pozyskanych danych. Warto też wspomnieć, że większość zleceń dla poważnych klientów wymaga posiadania w zespole osób niekaranych.

Kevin Mitnick computer hacker

Kevin Mitnick, jeden z najbardziej znanych komputerowych włamywaczy

M.D.: Aiden Pearce z Watch_Dogs będzie czerpał liczne informacje osobiste o mieszkańcach Chicago dzięki włamywaniu się do ich smartfonów i komputerów. To już jak najbardziej realne zagrożenie. Jakie najgorsze błędy popełniamy, ułatwiając robotę potencjalnym hakerom, chcącym pozyskać prywatne informacje?

P.K.: Jest tego tak dużo, że nie starczy nam stron, aby to opisać – dlatego odsyłam czytelników do poradnika naszego autorstwa, zawierającego 10 rad, które znacząco podnoszą bezpieczeństwo naszego komputera. W dużym skrócie, głównym przewinieniem jakie popełniamy jest praca na nieaktualnym oprogramowaniu. Stare programy zawierają znane i wykorzystywane przez atakujących dziury. Aktualizujmy więc wszystko co możliwe, najczęściej jak się da. Drugim problemem jest coś, czego nigdy nie będziemy w stanie „załatać” – ludzka naiwność i ignorancja. To jak łatwo oszukać człowieka, nawet takiego, który ma aktualne oprogramowanie, pięknie widać na przykładzie ostatnich ataków, które zebraliśmy w jednym miejscu na naszym portalu.

M.D.: Kolejnym ważnym tematem są wirusy komputerowe, trojany i cała reszta tego typy zagrożeń. Co rozumiesz pod pojęciem „dobre oprogramowanie antywirusowe”? Jakie warunki musi spełniać?

P.K.: Każdy antywirus niestety da się łatwo obejść – mało tego, istnieją odpowiednie programy, które z naszego wirusa zrobią program niewidzialny dla antywirusów. Nie znaczy to jednak, że powinniśmy rezygnować z instalacji antywirusa – warto go mieć, ponieważ dobrze sprawdza się w przypadku ochrony przed starymi i doskonale znanymi zagrożeniami (a tych wciąż wiele pałęta się po sieci). Jaki wybrać? Skoro wszystkie są w zasadzie nieskuteczne – z reguły warto wybrać najtańszy. Albo przejść na tzw. whitelisting aplikacji, czyli definicję tylko tego oprogramowania, któremu ufamy i które dopuszczamy do uruchomienia na naszym systemie.

Ubi wkręcało też ludzi (w ramach kampanii promocyjnej gry), że dostali „hackerskiego” smartfona

M.D.: Często czyta się o sytuacjach (że wspomnę tylko atak grupy Anonymus na PlayStation Network, którego efektem było wyłączenie usługi na wiele tygodni), gdy z bazy danych jakiejś firmy wycieka ogromna pula loginów i haseł. Co zwykły użytkownik powinien zrobić w takiej sytuacji, aby uniknąć nieprzyjemności?

P.K.: Na wyciek danych z danego serwisu, na którym mamy konto nie mamy żadnego wpływu. Nawet jeśli serwis jest doskonale zabezpieczony, to dane może wynieść pracownik, jak to się stało kilka lat temu w przypadku Filmwebu. Możemy jednak minimalizować skutki takich wycieków. Wystarczy do każdego serwisu stosować osobne hasło — wtedy intruz, który poznał nasze hasło do serwisu X nie będzie w stanie zalogować się przy jego pomocy do naszego konta na serwisie Y.

Takie podejście oczywiście wymaga pamiętania dziesiątek, a czasem setek haseł — na szczęście nie musimy ich trzymać w głowie, do ich przechowywania najlepiej nadaje się program KeePass. Później wystarczy znajomość skrótu klawiaturowego, wciskanego na stronie logowania… i to wszystko.

WatchDogs

M.D.: Ostatnie pytanie – niegdyś wyłącznie instytucje państwowe posiadały dane na temat swoich obywateli. Teraz udostępniamy bardzo dużo różnych informacji serwisom społecznościowym, sklepom internetowym i szeregowi innych prywatnych podmiotów. Czy nie obróci się to kiedyś przeciwko nam (całym społeczeństwom, nie poszczególnym jednostkom)?

P.K.: Ktoś jeszcze wierzy w prywatność w Internecie dla mas? Już teraz prywatność mogą zachować tylko osoby, które niewspółmiernie dużo wysiłku łożą w to, aby pozostać off the grid. Ale i oni będą musieli odcisnąć swoją rękę i dać się sfotografować na przykład przy wjeździe do USA. To jednak nic w porównaniu z wysiłkiem związanym z koniecznością kontroli zachowania naszych znajomych. Niewiele spośród osób, które twierdzą, że nie ma ich na Facebooku zdaje sobie sprawę z tego, że ich dane już tam są, a wgrali je ich przyjaciele. Wystarczy, że byli wpisani do ich książki adresowej w telefonie, na którym przyjaciel zainstalował aplikację Facebooka. Dane znajomych, czyli numery telefonów, często zdjęcia oraz adres, są wysłane na serwery tego portalu, a dodatkowo owi znajomi lubią wrzucać na Facebooka zdjęcia z imprez, na których tagują wszystkich imieniem i nazwiskiem…