2016年7月13日

曾讓ATM機自動吐鈔,而後意外死亡這個黑客的一生

在黑客世界中,有三頂帽子的說法:黑的、灰的和白的,如何戴上合適的帽子,是根據他們做事的法律後果來界定。

帶著黑帽子的是不計法律後果的犯罪行為,灰帽子遊走在法律的邊界,而戴著白帽子的則是為了信息安全而出手。

今天差評君要說的Barnaby Jack (巴納拜·傑克,下文稱傑克)就是個一直致力於發現公司產品的安全漏洞,以幫助公司改進產品安全性的白帽黑客。


(帥哥一枚)

生於1978 年的傑克來自新西蘭,生前是西雅圖信息安全評估公司IOAcitve的嵌入式設備安全主管。。。

呃,為什麼說是生前呢,因為 2013年7月25日,他在美國舊金山神秘死亡。

其實早在2000 年前,傑克就是業內著名的白帽黑客了,他在《 Phrack 》雜誌( 搞安全研究的必讀的參考資料之一)發表的《 Win 32 Buffer Overflows (Location, Exploitation and Prevention) 》以及《 Remote Windows Kernel Exploitation Stepinto the Ring 0 》幾乎是搞Windows 內核漏洞研究必讀的兩篇文章了。。。


但是,讓他成為真正的明星黑客,卻是在2010 年的 Black Hat 大會(黑帽技術大會)上。

傑克利用自己的黑客技術讓兩台不同系統的ATM 機,自動噴出了錢。。。

這真的不是什麼魔術,當時下面做的也是各種黑客技術大牛,傑克這套魔法一般的演示真的是驚呆了他們。。。

傑克將這種攻擊方式稱作“ Jackpotting ”
但傑克也只是實現了他兒時看電影《終結者2》 的一個場景:John Connor走到一台ATM 取款機前掏出一張卡刷過之後,ATM機源源不斷地吐錢。

其實他早在2009 年就想要演示這一技術,但迫於一些ATM 取款機廠家的壓力而推遲了演示。(嗯,可見他們堅信不會出現像傑克這麼聰明的人吧。)

如果他只有這點聰明。。。說不定現在也還健在吧。。。

2012年,他在 McAfee 的工作期間,對,就是在那個答應“ 破解不了iPhone 就要吃鞋” 的John McAfee 手底下工作的時候。。。


傑克又黑掉了美敦力( Medtronic ) 的胰島素注射機,他可以遠程控制數種這家公司生產的胰島素注射機,甚至可以控制其中一些設備,忽略安全警告並操縱注射劑量。

那些不懷好意的黑客們就可以利用這個缺陷在300 英尺( 90 米)外控制這些設備,甚至將胰島素提高到一個致命的水平。

他用一個透明的人體模型、紅色的液體和一個手持天線演示了這個過程。

就跟早前展示入侵ATM 取款機一樣,傑克並沒有拿這個技術漏洞換取什麼經濟利益,他再三提醒胰島素注射機的廠商去修改其產品設計。

當然,跟大多數人的反應一樣,這些廠商在被人指出漏洞、錯誤時,為了不加大更多的經濟成本,一開始也是否認、拒絕的。。。

傑克在接受BBC 的採訪時表示:

我並不想傷害任何人,或是得到什麼好處,因為這項技術並不是很難重現。所以希望能夠促使這些公司採取一些設備安全的措施。”

嗯,如果傑克對公眾利益安全考慮的心思,到這裡就消失了,說不定還可以見到他更神奇的技術展示。。。。

2013年,他成功黑掉了多家廠商生產的心臟起搏器,只需在十二米之內配合一台筆記本電腦,就能讓它放出830V的電壓,直接致人死地。

Jack表示,問題在於心臟起搏器和心臟除顫器都是有無線接收裝置的,可以調節它們的工作模式,正是這個無線遙控渠道裡面存在漏洞。

自 2006 年,美國食品和藥物管理局批准了基於WIFI 植入設備的大規模使用後,目前有超過300 萬心臟起搏器和170 萬的除顫器使用者。

而廠商其實完全忽視了這些無線設備在系統層級的安全性。。。

就像《 國土安全》裡面的劇情,一個罪犯利用類似的技術刺殺了體內裝有心臟起搏器的副總統。。。



而且傑克的方法甚​​至還可以無視起搏器的序列號和型號。。。

所以想想,原本自己身體裡的心臟起搏器是用來維持生命的,但現在卻是個炸藥包。。。

傑克及時的將這個漏洞告知了多家廠商,並希望這些廠商及時改善提高安全措施。

沒有留言 :