Ako svoj mobilni telefon date u ruke Setu Vejlu (Seth Wahle), on bi vam iz njega mogao ukrasti fotografije, lozinke i šta sve ne – i to samo prostim držanjem mobilnog u šaci, ne rukujući aparatom. Rouz Evelet za BBC pokušava da dozna kako on to radi.
Set Vejl je samo jedan u nizu sve većeg broja onih koji imaju čipove ugrađene u svoje telo. Vejl je bivši podoficir u američkoj mornarici a sada inženjer u kompaniji koja se zove APA Wireless gde radi i kao biohaker – neko ko voli da se poigrava granicama ljudskog tela.
Vejl ovaj mikročip koristi kao svojevrsnu zanimljivu prezentaciju svoje kompanije, pružajuči nam dobar uvid u budućnost sajber bezbednosti. On i njegov saradnik Rod Soto koriste čip ugrađen u ruku pokazujući kako ne samo da su sposobni da provale u nečiji telefon već da to rade jednostavnim dodirom. Ovaj tandem svoje veštine pokazuje upravo danas, 16. maja, na Svetskoj konferenciji hakera u Majamiju.
Nije ovo upadanje u mobilne iz zlonamernih razloga, već da bi javnosti pokazali skrivene načine na koje naši telefoni i kompjuteri mogu da jednog dana budu hakovani, a da toga i ne budemo svesni.
Sve je počelo sretnim sticajem okolnosti u jednoj piceriji, u kojoj je pisac ovih redova, njujorška dizajnerka, producentkinja i spisateljka Rouz Evelet slučajno ušla u razgovor sa Sotoom koji radi na istraživanju bezbednosti IT i telekom sistema, a koji je ujedno i organizator događaja pod nazivom Hackmiami 2015 na Floridi. “Set je tamo, jede picu”, kaže Soto (dok Vejl pojašnjava da je u tom trenutku takođe radio i “domaći zadatak”), kada mu je Evelet odvratila nešto tipa “hej, da li ti izgledam kao neko ko voli kompjutere?” A onda je saznala da momak preko puta nje ima čip ugrađen u ruci. “Vejl je u svoju šaku implantirao RFID čip, mali uređaj koji može da primi male količine podataka i pri tom komunicira sa uređajima u neposrednoj blizini.
Soto, koji radi uglavnom na hakovanju softvera i hardvera bio je zaintrigiran, i počeo je da nagovara Vejla da naprave prezentaciju za aktuelni Hackmiami 2014. Na kraju je Vejl održao predavanje o jednoj konkretnoj ideji koju je imao za korišćenje svog čipa kao “oružje” sigurnosni mehanizam pištolj – oružje koje bi otvorilo vatru samo kada je ugrađeno u ruku.
“Nakon te prošlogodišnje prezentacije bili smo puni ideja, i mislili smo u stilu: a šta ako bismo mogli da iskoristimo nešto od toga pomoću ugrađenog čipa?”, kaže Soto. Zato su odlučili da provere da li su u stanju da “komadić” malvera u nečiji telefon prostim držanjem mobilnog u Vejlovoj šaci.
Od ove tačke, posle je sve bilo lako – skoro i previše lako. “Bilo je iznenađujuće što je tako uspešno funkcionisao”, priznaje Vejl. Bilo je potrebno samo nekoliko meseci da njih dvojica naprave čitavu stvar – a uspelo im je več u prvom pokušaju. “Generalno, ove stvari ne funkcionišu tako dobro prilikom prvog pokušaja”, kaže Vejl.
Provala u mobilni ide otprilike ovako: Vejlov RFID čip u šaci sadrži Near Field Communications (NFC) antenu – ona generiše radio frekvenciju kojom može da komunicira s uređajima koji takođe poseduju NFC, kao što je to, recimo – mobilni telefon ili računar, ili tablet. Dakle, kada mu je nečiji telefon u ruci, njegov ugrađeni čip šalje signal uređaju, a pri tom se na ekranu mobilnog pojavljuje prozor koji pita korisnika telefona da li da otvori link. Ako korisnik pritisne opciju “da”, link instalira malware tj. zloćudni fajl koji povezuje telefon sa daljinskim, bežičnim serverom kojem može pristupiti neko ko je negde drugde, na nekom drugom mestu. “Jednom kada odgovorim na ovaj link, mogu preuzeti sve podatke s uređaja zaraženog zloćudnim softverom.”
U demo to jest probnoj fazi, zloćudni link nije bio dobro maskiran – link koji se pojavljuje tako uočljivo na ekranu mobilnog verovatno bi bio dovoljan razlog da svaki korisnik posumnja. Ali, Vejl i Soto ističu da bi, uz malo više rada i truda, mogli da dizajniraju da pop-up izgleda kao bilo šta – recimo, kao apdejt sistema, ili obaveštenje o igrici Candy Crush i sl. A onda, ako – to jest kada – to postignu, više nema baš puno toga što bi ih sprečilo da jednostavno sasvim zaobiđu čak i ovaj korak, i da direktno ubace zlonamerni softver u telefon, bez klika na link.
Bilo je zaista samo pitanje vremena kada će se biohakerska i zajednica softversko-hardverskih hakera povezati. Ipak, u Majamiju će njih dvojica ako ništa drugo a ono barem ukazati da je ovaj odnos još uvek veoma svež i potpuna novina. Na ovogodišnjem skupu će među stotinama hardverskih i softverskih stručnjaka biti tek samo šačica biohakera. “Definitivno postoje dva različita sveta”, kaže Vejl. A ovi svetovi, i po njegovom ličnom iskustvu, poseduju različite kulture i ideje. “Biohakeri smišljaju smešne, ekscentrične i nekonvencionalne stvari a zapravo retko šta urade jer većina njih ne poseduje tehničku osposobljenost da to izvede, dok je većina njihovih sugestija veoma opasna. S druge strane hakerske zajednice, ima mnogo izuzetno talentovanih ljudi koji su zaista među najpametnijima koje sam ikada upoznao, i koji bi mogli uspeti da sprovedu neke lude, neverovatne stvari.”
Eksperiment ovog tandema mogao bi biti samo početak hakerskog pokreta za ugrađivanje telesnih implantata. Mobilni telefoni nisu jedine stvari koje koriste NFC opremu za međusobnu komunikaciju. NFC je ključni deo platnog sistema kreditnih kartica, mobilnog plaćanja kao što su Apple Pay ili Google Wallet, kartičnih ključeva, pa čak i medicinskih sredstava. Prodor u NFC komunikaciju RFID čipom koji jednostavno zahteva da budete blizu nečijeg uređaja, ili novčanika, ili nečijih ulaznih vrata, ili merača krvnog pritiska, mogao otvoriti vrata svim vrstama zlonamernih aktera.
Istinski rizik?
Šanse da ćete naleteti na nekoga sa RFID čipom u šaci danas su još uvek prilično slabi. Postavljanje uređaja u vaše telo nije nešto što se čini iz čistog hira, a biohakeri još uvek nisu svuda oko vas. Vejl kaže kako je proveo dosta vremena istražujući “na terenu” različite vrste RFID tagova, testirajući ih i pazeći da čipovi u sebi nemaju olova ili drugih štetnih hemikalija koje bi naškodile organizmu. Onda je angažovao majstora za tetovažu da mu ubrizga čip u ruku, u prostor između palca i kažiprsta. “Da, baš puno boli. U tom trenutku dok je ubrizgavao čip bilo je neverovatno bolno ali na sreću to je trajalo vrlo kratko – čim je izvukao iglu bol je prestala.”
Kada je u pitanju javna demonstracija funkcionalnosti implanta, Soto i Vejl su se potrudili da ne prekrše bilo koji zakon i regulativu. Koristili su Vejlov telefon, a on je dobro znao šta će se dogoditi. Međutim, kada bi neko upotrebio ovakav implant radi hakovanja, onda stvari postaju komplikovanije kaže Andrea Matvišin (Andrea Matwyshyn), pravnica i profesorka u prinstonskom Centru za IT politike. U Sjedinjenim Američkim Državama, po njenim rečima, najvažniji i najrelevantniji je Zakon o računarskim prevarama i zloupotrebama. “Pristup zakonskim uredbama zahteva nameru prekoračenja ovlašćenog pristupa. Da li osoba koja hakerskim sredstvima želi da pristupi ovom sistemu ima saglasnost vlasnika ovog sistema za pristup informacijama? “Ako nema odobrenje vlasnika, kaže ona, onda dolazi do povrede zakona.
Po Sotou i Vejlu ne radi se toliko o krađama fotografija sa tuđih telefona koliko o razotkrivanju propusta u uređajima koje svakodnevno koristimo. “Poruka koju želimo da pošaljemo javnosti nije ‘Hej, vidite kako mogu da NFC čip ubacim u ruku i preuzmem tuđi Android telefon’ “, kaže Vejl, koji je takođe pokrenuo sajber start-up pod nazivom Caveo Security. “Poruka je da smo ovo postigli hakovanjem jedne već postojeće tehnologije, a kako NFC tehnologija napreduje iomasovljuje, tako se ona može primeniti i na mnogo drugih stvari. Čitava ideja je u tome da prikažemo mogućnosti hakovanja implantatom, pokazujući javnosti kako je lako razbiti današnju sofisticiranu tehnologiju.”
Soto se slaže s ovim. “Glavni razlog zbog kojeg želite da demonstrirate ovakve stvari je da objasnite drugima mogućnosti primene štetnih programa i NFC čipa, koji mogu lako postati cyber komplet svakog IT kriminalca i njegov modus operandi. To znači da potencijalne žrtve – svi mi – postanemo svesni toga, a sada, u trenutku dok još uvek nije do kraja razvijeno, da preventivno sprečimo razvijanje ovakvih tehnologija.”