Pracownicy CIA zhakowali i okradali automaty z batonikami w siedzibie agencji

dodał 5 lipca 2017 o 15:59 w kategorii Wpadki  z tagami:
Pracownicy CIA zhakowali i okradali automaty z batonikami w siedzibie agencji

Kto nigdy nie został okradziony przez automat z batonikami, niech pierwszy rzuci kamieniem. Tym razem jednak role się odwróciły i to automaty zostały okradzione przez pracowników CIA – i to w dość trywialny sposób.

Automaty z Colą i batonikami często padają ofiarami bezwzględnych ataków. Choć dominują przypadki użycia brutalnej siły (w tym wypadku rozumianej dosłownie poprzez wykorzystanie grawitacji oraz bezwładności w celu wydobycia batników bez uiszczania opłaty), to zdarzają się także sprytniejsze zagrania – takie jak w wykonaniu pracowników CIA, zatrudnionych poprzez firmy podwykonawcze.

Hack prosty i skuteczny

Ujawniony raport Biura Inspektora Generalnego, badającego różne nadużycia w instytucjach państwowych, dość szczegółowo opisuje metodę użytą do zhakowania automatów oraz sposób złapania sprawców. Niestety historia jest krótka a exploit trywialny. System automatów serwujących napoje i przekąski w siedzibie CIA obsługiwany jest przez rozwiązanie FreedomPay. Umożliwia ono dokonywanie zakupów za pomocą kart przedpłaconych. Analiza wyników działania automatów obsługujących pracowników CIA wykazała niepokojące anomalie. Towarów ubywało, a płatności nie przybywało. CIA zainstalowała zatem kamery monitorujące automaty, w których najczęściej dochodziło do anomalii, by wyjaśnić to zjawisko. Na nagraniach szybko znaleziono osoby, które przed dokonaniem płatności odłączały kabel sieciowy, zapewniający komunikację automatu z systemem płatności. Okazało się, że automat, pozbawiony łączności, nie blokuje możliwości dokonywania zakupów, nawet z użyciem całkiem pustej karty. Najwyraźniej projektant rozwiązania postawił na ciągłość obsługi klientów, zakładając, że karty może obciążyć po przywróceniu łączności. Jeden z pracowników CIA z zamiłowaniem do hackingu odkrył, że pusta karta nie zostanie w ten sposób nigdy obciążona i podzielił się swoim patentem z kolegami. Wspólnie wyjedli i wypili towaru za ponad trzy tysiące dolarów zanim zostali uwiecznieni w ukrytej kamerze. Jako bonus zostali wyprowadzeni z budynku CIA przez ochronę, a ich pracodawcy rozwiązali z nimi umowy.

Hakowanie jest fajne, ale kradzież nie. Pamiętajcie zatem, że jeśli odkryjecie jakiś błąd, to niektóre z odpowiedzi w poniższym pytaniu testowym sa lepsze od pozostałych. Warto zastanowić się, jak odpowiecie na pytanie „Gdy znajdę błąd to:”

  • wykorzystuję dla swojej osobistej korzyści,
  • sprzedaję komuś kto sprzeda go dalej,
  • zabieram ze sobą do grobu,
  • ujawniam producentowi.

O konsekwencjach niektórych z powyższych wyborów możecie między innymi dowiedzieć się na naszych szkoleniach z bezpieczeństwa aplikacji WWW oraz aplikacji mobilnych.