Читаем ?Неуязвимость! Отчего системы дают сбой и как с этим бороться полностью

Он также создал «тайный ход» – скрытый путь доступа к машине. Когда он подошел к банкомату, вставил фальшивую карту и нажал кнопку, тот стал без разбора выдавать деньги, не привязывая выдачу наличных ни к какому банковскому счету.

Потом Джек подошел к другому банкомату и воткнул в него флеш-накопитель USB. Компьютер загрузил его программу, высветил на экране слово «ДЖЕКПОТ!» и включил веселую мелодию, как в игровых автоматах, одновременно выбрасывая банкноты на пол. Публика разразилась радостными криками.

Однако Барнаби Джек, которого коллеги считали гением, взламывал банкоматы не с целью украсть деньги. Он был хакером «в белой шляпе»[10] – проникал в системы только для того, чтобы повысить их безопасность. Прежде чем продемонстрировать свои достижения на публике, он передавал результаты своей работы производителям, чтобы они смогли устранить обнаруженные им уязвимости банкоматов.

Однако не все хакеры настроены так дружелюбно. За несколько недель до Рождества в 2013 году хакеры умудрились украсть 40 млн номеров кредитных карт{95} у покупателей розничной сети Target – одной из самых крупных в мире. Преступники использовали учетные данные, украденные у подрядчика по отоплению. Это позволило им проникнуть в компьютерную сеть ретейлера и с его сервера получить доступ к кассовым аппаратам и кардридерам почти в 1800 магазинах сети. Хакеры разослали по ним свою модифицированную программную прошивку, с помощью которой контролировали каждую операцию и собирали содержащиеся на картах клиентов данные.

Обычно мы не осознаем, что кассовые аппараты – это компьютеры. То же можно сказать и о банкоматах. Кассовые аппараты торговой сети Target были частями большой и сложной системы, поэтому, как только хакеры вскрыли ее уязвимость, они смогли воспользоваться своей находкой в каждом магазине. Когда сеть Target объявила, что стала объектом атаки хакеров, продажи резко снизились, а через несколько месяцев ее генеральный директор подал в отставку.

Это было сокрушительное фиаско, но во всяком случае взломанные хакерами кассовые аппараты не подвергают риску жизни людей. А вот взломанный хакерами автомобиль – совсем другое дело.

Что бы ни случилось, не паникуйте{96}. Энди Гринберг ехал по хайвею со скоростью 115 км/ч, как вдруг педаль газа в его Jeep Cherokee 2014 года перестала работать. Он давил на нее снова и снова, но безрезультатно. Когда Jeep замедлился в крайней правой полосе, а мимо с визгом проносились огромные трейлеры, Энди прокричал в свой мобильный телефон: «Нужно исправить эту чертову педаль газа. Серьезно, это очень опасно. Мне нужно ехать дальше!» Однако стереосистема машины Энди была включена на полную мощность, и хакеры на другом конце телефона не могли услышать его из-за гремящего хип-хопа.

Не паникуйте. Хорошей новостью было то, что Гринберг был в этом автомобиле, чтобы написать статью для журнала, а хакеры вовсе не пытались сделать ему что-то плохое. Гринберг пишет о новых технологиях и безопасности для журнала Wired. Двое хакеров, Чарли Миллер и Крис Валасек, были далеко. Они устроились в гостиной Миллера и смеялись над тем, как Гринберг бился с неполадками в машине. После нескольких лет исследований эти двое поняли, как с помощью опции подключения к интернету через мобильный телефон взломать автомобильный компьютер. Эти компьютеры управляли всем – от дворников стеклоочистителя до работы спидометра и тормозов. Гринберг стал для Миллера и Валасека объектом тестирования. Хакерская атака пришлась на трансмиссию его автомобиля.

За два года до этого хакеры пригласили Гринберга за руль другого автомобиля, который они взломали. Тогда атака проводилась с ноутбука, подсоединенного к электронной системе машины. Сидя на заднем сиденье, они активировали систему автоматической парковки, заставляли руль свободно и неконтролируемо вращаться и отключали приводы тормозов. Когда эта пара доложила о своих «успехах» на очередной конференции Black Hat, автопроизводители не придали этому особого значения. В конце концов, в то время хакерам все еще был необходим физический контакт с автомобилем.

Однако в конечном счете Миллер и Валасек додумались до того, как проникать в электронную систему машины удаленно. В двухтонном Jeep Cherokee на этот раз имелась навороченная медиасистема, которая управляла всем, начиная от радио и навигатора и заканчивая кондиционером. Система была подключена к интернету и запускала приложения, которые искали дешевые заправки или ближайшие рестораны.

Именно соединение с интернетом позволило Миллеру и Валасеку «влезть» в электронную систему автомобиля с дивана в комнате Миллера. Сначала они нашли доступ к медиасистеме через сеть мобильной связи. Хакеры использовали это достижение как точку опоры, с которой они внедрились более чем в 30 различных компьютеров машины. Они научились отключать трансмиссию при движении автомобиля на высокой скорости. На низких скоростях они смогли отключать привод тормозов и контролировать систему рулевого управления.