Хакеры не только могут украсть с карты Visa миллион, но и легко лишить человека жизни

На этой неделе в Аризоне проходит конференция по безопасности компьютерных систем и средств связи CCS 2014. Участники мероприятия представили немало интересных докладов о новых схемах мошенничества. Такая информация поможет избежать хакерских атак, направленных на банковские карты и на технику, от которой зависит жизнь и здоровье человека.

Одним из самых интересных выступлений на конференции стал доклад специалиста Центра по изучению киберпреступности и компьютерной безопасности (CCCS) Университета Ньюкасла Мартина Эммса. Он рассказал о серьезной уязвимости функции быстрого списания малых сумм без необходимости их подтверждения с новых банковских карт VISA.

Такие платежи призваны облегчить жизнь состоятельному владельцу карты. Они выполняются с помощью коммуникации ближнего поля и не требуют ввода пин-кода. Однако Эммс выяснил, что установленный лимит в двадцать фунтов не действует для других валют. С учетом функции автоматического пересчета курсов, реальная сумма перевода ограничивается только техническим пределом адресации - 999999,99 в любых денежных единицах.

Эммс сымитировал POS-терминал с помощью серийно выпускаемых мобильных устройств с поддержкой NFC (Near Field Communications) - технологии, которая позволяет обеспечивать идентификацию с использованием радиосвязи на небольших расстояниях (от 1 миллиметра до нескольких десятков сантиметров). В ходе экспериментов оказалось, что для незаметного списания с карты почти миллиона в любой валюте (кроме фунта стерлингов), похитителям не требуется даже брать ее в руки. Достаточно находиться рядом и просто махнуть смартфоном с запущенной программой-эмулятором.

Используя обычный смартфон, Эммс создал эмулятор платежного терминала, который считывает карту прямо через бумажник. Все процедуры проверки в данном случае выполняются на самой карте, поэтому к терминалу не предъявляется никаких специфических требований. Процесс списания не вызывает ни малейших подозрений. Злоумышленник просто вводит желаемую сумму для перевода и направляет смартфон на чей-то карман. Вся процедура от ввода значения до подтверждения перевода занимает несколько секунд.

Разработчики программы уже занимаются устранением уязвимости бесконтактных карт, однако на это уйдет определенное время. Поэтому владельцам таких карт VISA следует сохранять бдительность и почаще контролировать свои расходы.

Участники CCS 2014 также предупредили банки об уязвимости

.  На большинстве машин установлена Windows XP. Это делает их подверженными всем вирусам, опасным для XP, до недавнего времени самой распространенной операционной системой в мире. В начале 2014 года Microsoft прекратила поддержку Windows XP и больше не выпускает  заплатки для системы, включая критические. Поэтому банки должны перейти на более современные версии Windows, поскольку взлом XP - просто вопрос времени. В опасности владельцы любых банковских карт.

Интересная часть конференции - о возможных хакерских атаках на те гаджеты, которые обычно мошенников не интересуют. Как выяснилось, уязвимыми являются не только персональные компьютеры и смартфоны: практически любое устройство, подключенное к интернету или имеющий беспроводное подключение, может быть взломано.

Например, многие модели современных телевизоров имеют подключение к интернету, чтобы скачивать приложения и демонстрировать потоковое видео с сервисов типа Netflix. Эксперты считают, что они могут легко подвергнуться хакерским атакам: вредоносный код способен внедриться через Twitter, Skype и Facebook. Зараженный телевизор может использоваться в ботнете, а может следить за его владельцем. Кроме того, хакеры получат доступ к конфиденциальным данным, содержащимся в cookies и личным данным пользователя.

Используя проблемы, связанные со слабой криптографической защитой, можно взломать принтер. В устройство с помощью Wi-Fi внедряется вредоносное программное обеспечение и удаленно контролируются все его функции, в том числе печать текстов. А вирусы могут красть информацию из распечатываемых документов. Оборудование могут и просто уничтожить. Некоторые чипы разогреваются от больших объемов печати и, при условии, что система безопасности взломана, в итоге воспламеняются, что неизбежно приведет к пожару. Кстати, вредоносное программное обеспечение из принтера удаляется с большим трудом, обычные антивирусные программы здесь бессильны.

У многих автомобилей больше нет физических ключей - вместо них используются электронные карты, с помощью которой авто получает сигнал и отпирает двери. Хакеры заставляют автомобили принимать фальшивый ключ за подлинный разными способами. Самый простой из них - брутфорс, путем перебора паролей по критериям, заданным владельцем данной программы (по словарю, по длине, по сочетаниям цифр и т.п.). Некоторые производители используют пароль, состоящий всего из шести цифр. Новейшие способы - перехватить сигнал от оригинального ключа, сканируя радиодиапазон рядом с машиной, а также использование пустого ключа для изготовления копии подлинника.

Многие современные авто оснащены тормозами, управляемыми электрическим приводом. Исследователям из Университета Калифорнии и Университета штата Вашингтон удалось использовать проблемы в бортовых компьютерах автомобилей, чтобы получить доступ к тормозам. Они показали, что хакер может управлять тормозами автомобиля, как ему вздумается, что может реально угрожать жизни владельцу.  

Сейчас в медицине широко используются имплантаты - прежде всего, кардиостимуляторы, многие из которых контролируются пультами дистанционного управления. Хакеры могут захватывать контроль над ними, используя радиопередатчики.

После чего делать все, что угодно: например, отключить кардиостимулятор и изменять уровень инсулина, автоматически впрыскивающегося в кровь диабетикам. Эксперты предупреждают, что техника, от которой зависит здоровье и жизнь человека, должна быть гораздо лучше защищена.