Den italienske hackeren Roberto Preatoni har vært på Oslo-besøk i forbindelse med Paranoia 2009, en konferanse arrangert av sikkerhetsselskapet Watchcom.
Nå advarer han mot det han mener kommer til å bli den neste store sikkerhetsutfordringen – nemlig maskinvare med innebygget spionvare.
Preatoni skulle egentlig ha deltatt på Paranoia for to år siden, men ble arrestert av italiensk politi før han gikk ombord på flyet til Norge. Preatoni ble innleid av Telecom Italy for å teste deres sikkerhet, men i forbindelse med testingen skal medlemmer av hans team ("Tiger Team") ha klart å få tilgang til kommunikasjon mellom en del innflytelsesrike personer – blant andre sjefen for Brasil Telecom. Dermed ble Preatoni beskyldt for industrispionasje. Anklagene ble senere droppet, og Preatoni frigitt.
Industrispionasje
Preatoni forteller at utgangspunktet for denne saken var rutere som ble levert til Telecom Italia fra produsenten Pirelli. Disse ruterne hadde en innebygget "bakdør" som gjorde det mulig å få tilgang utenfra. Bakdøren var laget av ingeniører "i tilfelle" man trengte tilgang på grunn av servicebehov eller lignende. Bakdøren kunne imidlertid utnyttes av cyberkriminelle, og det var denne bakdøren Preatoni og hans team brukte i det Preatoni kaller sikkerhetstesting og italienske myndigheter kalte industrispionasje.
Hackeren tror maskinvare med innebygget spionvare vil bli en stor utfordring i tiden fremover, og at dette kommer til å være et strategisk trekk fra ikke bare hackerne – og men også fra myndigheter.
Som eksempel nevner han hvordan mange fargelaserskrivere lenge har hatt en form for spionvare. Amerikanske myndigheter krever at fargelasere skal skrive ut et usynlig mønster som inneholder informasjon om skriverens serienummer. Hensikten er å kunne spore produksjon av falske pengesedler tilbake til gjerningsmannen.
Dette mener Preatoni er bare ett eksempel på hvordan myndigheter tar i bruk verktøy de ønsker at hackerne skal slutte med.
Kinesiske produsenter "eier" dine data
Elektronisk utstyr, datamaskiner – eller biler for den saks skyld – består av hundrevis av elektroniske komponenter. Små, elektroniske brikker kan være produsert på mange ulike steder i verden, og de kan inneholde "spioner", hevder Preatoni.
Amerikanske myndigheter har tidligere vært skeptiske til å kjøpe datautstyr som har vært produsert i Kina. Dette har de god grunn til, skal vi tro Preatoni.
Han forteller at kinesiske brikker befinner seg i alt fra datamaskiner til fly og våpensystemer, og at få vet hva disse brikkene gjør.
- Det er helt umulig for amerikanske myndigheter å analysere hver eneste elektroniske brikke i en pc eller en ruter for å finne ut om maskinvaren inneholder skjulte "spioner", sier Preatoni.
Artikkelen fortsetter under bildet.
Foto: Boeing
Amerikanske myndigheter oppdaget i 2008 en piratkopiert elektronisk brikke i datamaskinen i et F-15-jagerfly.
BusinessWeek kunne i fjor avsløre at forfalskede elektroniske brikker produsert i Kina hadde funnet veien inn i amerikanske krigsfly, -skip og kommunikasjonssystemer. I artikkelen bekrefter amerikanske myndigheter at disse brikkene kan ha sammenheng med krasj i kommunikasjonssystemer, og at de også kan inneholde skjulte bakdører som kan gi cyberkriminelle og spioner tilgang til sensitive data.
Preatoni mener at det i praksis er kinesiske maskinvareprodusenter som "eier" dine data. Deretter kommer internett-leverandøren din, dine ansatte, og helt til slutt du. – Og kanskje en hacker som meg, legger han til.
Putter spioner i maskinvaren
Det å plante spioner i elektronisk utstyr er enklere enn man tror, påstår Preatoni. Som eksempel viser han et bilde av et vanlig nettverkskort av den typen som sitter i stasjonære pc-er og servere. En av brikkene på dette kortet kan være modifisert for å gi hackere, industrispioner eller myndigheter tilgang til sensitive data.
Det er mange måter å plante "ondsinnet maskinvare" i elektronisk utstyr. En metode kan være å hacke pc-ene produsenten bruker for å produsere tegningene til de elektroniske brikkene, og så bytte ut tegningene med modifiserte versjoner. Eller man kan bytte ut tegningene rett før brikkene går i produksjon. En annen metode er å produsere forfalskede brikker som selges via uoffisielle kanaler. Forfalskede brikker er et stort problem i Kina.
Det er også mulig å få tilgang til maskinvaren når den er på reparasjon eller til oppgradering, eller man kan bytte ut komponenter underveis i transporten.
Her i Norge har vi et ferskt eksempel på at komponenter er blitt byttet ut på den måten Preatoni beskriver. Kriminelle klarte nå i høst å bytte ut deler av innmaten i betalingsterminalene i flere butikker i Oslo-området, med det resultatet at flere tusen brukere fikk kontoene sin tappet.
Preatoni forteller at alle i dag snakker om åpen kildekode (open source), og at man bør ha mulighet til innsyn i programvaren – blant annet for å kunne kontrollere at programvaren ikke gjør noe den ikke skal gjøre. Nå mener han det er på tide at vi også får "open source maskinvare".
- Alle snakker om open source programvare, men man aner ikke hva som skjer på maskinvarenivå, sier Preatoni.
Lekeroboter kan drepe
Noe så uskyldig som lekeroboter som alltid er tilkoblet internett kan også være en trussel og kunne brukes til spionasje, hevder Preatoni.
- En robot som for eksempel Sony Aibo kan hackes, og det betyr at jeg kan se alt den ser og høre alt den hører, sier Preatoni.
Han viser til en artikkel i Network World, hvor forskere ved University of Washington nå advarer mot at roboter kan brukes til å spionere på oss. Mange av lekerobotene er overraskende lette å hacke, ifølge forskerne.
De mest avanserte robotene kan brukes til å drepe.
- Sonys Qrio-robot har en fullt funksjonell hånd. En hacker som klarer å fjernstyre denne kan skru på gassen på komfyren når du ligger og sover, sier Preatoni.
Sannsynlig? Kanskje ikke.
Men det er kanskje oppskriften på det perfekte mord?
Les også: Gratis pc - fra kjeltringer
Lekeroboter som dreper
Elektronikk med innebygget spionvare er den neste store
sikkerhetsutfordringen, sier verdensberømt hacker. Han mener uskyldig
leketøy kan brukes til det perfekte mord.
Link til hele artikkelen
Nok er nok
Dette her er bare tull og selvsagt fra open source-bevegelsen igjen. Vi har null behov for å vite hva datamaskinene og programmene gjør. Vi må, bør og kan stole blindt på Microsoft og alle maskinvareleverandørene, fordi hvis det noengang skulle bli kjent at Windows kunne bli hacket, så ville alle automatisk se etter andre alternativer. Da ville Microsoft automatisk miste alle kundene sine. Ergo har Microsoft alltid sørget for at Windows er trygt mot hacking og virus. De som sier noe annet, vet ikke hva de snakker om! Dette er kjernen av markedsliberalismen; markedet regulerer seg selv. Det er på tide at hysteriet rundt Microsoft, virus, identitetstyveri og overvåking avtar. Det har aldri vært rapportert ett eneste reelt tilfelle hvor noen har tapt penger eller uskyldig fengslet pga datamaskiner.
Re: Nok er nok
"Vi har null behov for å vite hva datamaskinene og programmene gjør."
[...]
"De som sier noe annet, vet ikke hva de snakker om!"
http://trommelyd.no/
Re: Nok er nok
Del *.*
Jeg antar at dette er ironi fra din side? :-)
I såfall har du min støtte!
Re: Nok er nok
Jeg håper dette var ironisk ment... Men det er ikke spesielt god ironi.
Re: Nok er nok
"Ergo har Microsoft alltid sørget for at Windows er trygt mot hacking og virus."
"Det har aldri vært rapportert ett eneste reelt tilfelle hvor noen har tapt penger eller uskyldig fengslet pga datamaskiner."
Hvor har du vært de siste 30 årene?
Noen kløfter i liberalismeteorien din:
- Folk er trege i oppfattelsen. Microsoft har sluppet unna med store sikkerhetshull fordi folk ikke bryr seg tilstrekkelig om sikkerhet enner bruker lang tid på å skjønne farer.
- Sikkerhet er dyrt. Hvis ikke markedet tvinger bedriftene til å prioritere det, så blir det neppe prioritert.
- Mye programvare fra Microsoft og andre har hatt store sikkerhetshull. Dette burde jo ifølge deg ikke kunne skje.
- Mange har tapt data på grunn av virus.
- Mange har tapt penger på grunn av elektronisk kriminalitet.
Åpenhet (ikke bare om kildekode og eventuelt maskinvare) løser ikke disse problemene, men det kan gjøre det lettere å oppdage og løse dem.
Det kan også tenkes at åpenhet på noen måter kan gjøre det lettere å svindle, men det får bli en annen debatt. Det er ikke dette du har argumentert for.
Du sier ingen har tapt penger på grunn av datamaskiner. Hva mener du egentlig med et slikt utsagn? Er du ikke klar over at folk har tapt penger på elektronisk kriminalitet? Eller er det et sånt "det var ikke datamaskinen som gjorde det, men et menneske av kjøtt og blod" - pedantisk og høyst irrelevant utsagn?
Selvsagt er et mennesker som står bak. Kunstig intelligens er forstatt et godt stykke unna dagens virkelighet, men datamaskinen er et verktøy til kriminalitet, og det er det man må forholde seg til.
Nok er ikke nok
Del *.*, logikken din brister; "fordi programvaren er lukket så må den være sikker.... av markedsregulerende årsaker... og derfor snakker open source miljøet bare tull..... i tillegg er informasjon om sikkerhetsrisiko et oppkulp fra open source miljøet...." Risikoanalyse skal man ikke gjøre..... :S
Det er ingen som sier at open source ikke kan hackes.... det er ingen som sier at open source er sikrere.... det er heller ingen som sier at proprietær programvare er usikkert....
Problemet er hverken open source eller proprietær programvare. Problemet er hackere med kriminelle hensikter. Spørsmålet er hvordan organisasjoner skal beskytte seg mot dette. Gjøre dette best gjennom lukkede systemer eller åpne systemer? Det må være opp til den enkelt organisasjon å bedømme selv....
Forbudt å medbringe elektronikk av enhver art inn i møter/scanning
Hei.
Dette er veldig kjent i visse kretser. Selv FSK og Kripos ansatte er kjent med forbud mot å medbringe elektronisk utstyr inn i gitte møter og områder. Scanning av hele kroppen er vanlig. Det sitter i dag veldig mange selskaper i Israel og produserer ekstremt avansert overvåkingsutstyr av en klasse som overhodet ikke blir nevnt her. Hva med alle 4G routerne som Telenor har kjøpt fra KINA? Ca 30 kinesere i 20 årene jobber der i serverrommene. Kun de har adgang. PS. Disse kineserene går samlet ut av bygget og tar 31 bussen ved 19 tiden om kvelden inn mot byen. De ser ut som fjernstyrte roboter hele gjengen.
Hvem bestemmer her?
Re: Forbudt å medbringe elektronikk av enhver art inn i møter/scanning
Avlytting er vel en 8000 år gammel spionteknikk. Bare metodene som endrer seg. Gjennom Huawei vet snart Kina like mye som USA, ikke tvil på at også Cisco er fullt av avlyttingsutstyr for US myndigheter.
Redd mesteparten av det de fanger opp er ganske uinteressant, kanskje dette faktisk kan fremme dialog og verdensfred. Alle vet alt.
En mellomfase
Slapp av, snart tar maskinen SELV over, da hjelper det lite å tro at en har kontroll via en liten hw mod :)
Si din mening!
DN.no oppfordrer til å bruke fullt navn i debattene
- Tittel må fylles ut
- Ditt navn må fylles ut
- Kommentarfeltet må fylles ut
Lesernes kommentarer