Хакерская конференция Defcon 2013: все самое интересное
В период с 1 по 4 августа текущего года в Лас-Вегасе прошла ежегодная конференция Defcon, организаторами и участниками которой являются самые настоящие хакеры. Данное мероприятие посвящено вопросам, в той или иной степени касающимся защиты информации, только в данном случае рассказывается, как эту защиту можно обойти. Разработчики тоже присутствуют на Defcon и мотают на ус информацию о том, как совершенствовать свои системы.
В этом году на конференции Defcon было сделано множество интересных открытий и даже разоблачений, многие из которых просто повергают в шок. Но не обошлось и без приятных моментов, которые также описаны в данной статье. Итак, ниже приведено все самое интересное, показанное в рамках хакерской конференции.
1. Беспроводные роутеры оказались начисто лишены системы безопасности. Многие сейчас пользуются Wi-Fi-роутерами для распределения Интернета между несколькими компьютерами, но никто не задумывается о том, что они могут содержать в себе критические уязвимости. А они не только могут, но и содержат, причем большинство моделей от самых известных производителей.
Некоторые роутеры содержат более 50 уязвимостей, и каждая из них может быть использована хакерами в своих личных не самых хороших целях. И если обычному пользователю до этого особого дела нет, то компании, использующие роутеры, весьма обеспокоены сохранностью их корпоративных секретов — им не нужны виртуальные открытые двери с надписью «Заходите и берите что хотите». Как ни странно, производители не спешат устранять найденные уязвимости, по крайней мере, не все. Самой ленивой компанией на Defcon была признана D-Link, которая вообще никак не отреагировала на заявления хакеров. TP-Link, напротив, оперативно выпустила все необходимые патчи.
2. Современные автомобили можно угнать с помощью обычного игрового джойстика. Невероятно, но факт: даже машины с весьма навороченной системой безопасности не защищены от угона, и производителям должно быть втройне стыдно за то, что угнать автомобили можно при помощи игрового контроллера от очень старой приставки NES (известной в России под названием Dendy).
Потребуется не только сам джойстик, но и ноутбук, который надо подключить к диагностическому порту машины. Какие действия выполняются дальше, и зачем, собственно, нужен джойстик, неизвестно, но на конференции Defcon все было доказано наглядно. Подобным способом можно угнать все современные машины, кроме, наверное, самых дорогих. Автопроизводители, заметим, уже получили от хакеров подробные инструкции по устранению соответствующих уязвимостей.
3. Робот R2B2 подберет любой пинкод менее чем за сутки. Робот под названием Robotic Reconfigurable Button Basher обучен подбору цифровых паролей на мобильных устройствах — ему привили способность набирать пинкоды со скоростью 1 пинкод в минуту. Согласно подсчетам, на то, чтобы вскрыть Android-гаджет, у R2B2 уйдет всего лишь 19 часов и 24 минуты, хотя вариантов, как известно, ровно 10000. Время указано даже с учетом 30-минутного перерыва в наборе, реализованного в Android и активируемого после пяти неверных вводов заветных четырех цифр.
Себестоимость такого робота минимальна — несколько сервомоторов по 10 долларов за штуку, плата для разработчиков Arduino, веб-камера, которая стоит вдвое дешевле сервомотора и пластиковые детали, отпечатанные на 3D-принтере Makerbot. Итого при минимальных вложениях можно получить устройство, вскрывающее любой смартфон или планшет. Сложно представить, каковы будут последствия, если кто-то не очень честный соберет похожее устройство раньше, чем Google создаст более продвинутую защиту от брутфорса в своей мобильной ОС Android.
4. Взлом замков любой сложности. Объединение, известное под названием The Open Organisation Of Lockpickers или TOOOL, которое переводится как «Открытая организация взломщиков», тоже приняло участие в хакерской конференции Defcon. Специалисты посетили это мероприятие с целью обучения всех желающих взлому любых дверных замков, даже самых сложных. Для этого они используют самые разнообразные инструменты, многие из которых есть в каждой квартире и даже в женской косметичке.
Естественно, для TOOOL это не средство заработка денег, а всего лишь увлекательное хобби, даже почти спорт. Они могут вскрыть замок практически любой сложности за считанные секунды, не нарушая при этом их целостности и не выводя их из строя. Это настоящий талант. Опять же, будем надеяться, что производители замков учтут то, как быстро их продукция оказывается бесполезной в плане защиты жилья, и подумают над выпуском новых, более совершенных моделей.
5. Конференция Defcon 2013 впервые прошла без присутствия представителей властей США. Это связано с тем, что хакеры полностью утратили доверие к правительству страны в связи с недавними скандалами со слежкой за гражданами. Кроме того, на протяжении всех четырех дней, что длилось мероприятие, специалисты по взлому всего и вся активно обсуждали программу PRISM о которой рассказал Эдвард Сноуден.
Были на Defcon и нежданные гости — хакерскую конференцию посетил голливудский актер Уилл Смит, знаменитый Агент Джей из «Людей в черном». Известный актер не раскрыл целей своего визита, но было видно, что ему очень нравится находиться в хакерской тусовке.
