Опираясь на «хакерские» стереотипы, довольно легко идентифицировать человека, совершившего кибер-преступление. Сочетание бледности кожи, толстовки и ноутбука представляет собой яркую подсказку. Подобный заезженный образ хакера, конечно же, совершенно неверен и граничит с оскорблением. Настоящие хакеры, проникающие в бизнес-сети, достаточно благоразумны для того, чтобы избегать клише в собственной одежде и стремиться скрывать приемы своей работы.
Для тех, кто в состоянии терпеть боль, биохакинг, при котором цифровые устройства вводятся под кожу, обеспечивает новые возможности настоящих стелс-навыков, помогающих проникать сквозь физические и цифровые системы сканирования. Именно поэтому младший офицер ВМС США Сет Уэль, в настоящее время являющийся инженером APA Wireless, имплантировал электронный чип в ладонь своей левой руки – в область между расставленными большим и указательным пальцами. Чип обладает NFC-антенной (Near Field Communications), которая пингует андроид-коммуникаторы с запросом установления соединения. Как только пользователь соглашается открыть доступ и установить вредоносный файл, его коммуникатор подключается к удаленному компьютеру, владелец которого может осуществлять дальнейшие действия с данным мобильным устройством. Проще говоря, такой андроид-коммуникатор оказывается взломанным. В демонстрации для Форбс Уэль, тестируя программное обеспечение своего ноутбука, применял Metasploit-проникновение, чтобы заставить андроид-устройства сфотографировать его собственную жизнерадостную физиономию.
Как утверждает секретарь комитета мероприятий и консультант по безопасности Род Сото, Уэль будет проводить показательную скрытую атаку во время конференции по проблемам хакерства, которая состоится в мае этого года в Майами. Сото и Уэль признают, что это довольно сырая часть исследования, реализуемая при помощи уже имеющихся инструментов и известной техники атаки посредством NFC, однако они утверждают, что технологии вторжения на основе имплантантов могли бы предоставить преступникам особо эффективный метод в их «наборе инструментов для социальной инженерии».
В то время, как авиакомпании и федеральные агентства жестко преследуют любого, кому бы лишь вздумалось протестировать устойчивость и безопасность полетных систем связи, имплантируемые чипы обеспечивают хитроумный способ прокрасться сквозь электронные пункты контроля в аэропортах или других местах с зонами повышенной безопасности. Уэль говорит, что он имплантировал чип еще в период службы в армии и с тех пор его ни разу не смогли обнаружить, несмотря на то, что он проходит через сканеры каждый день. “Если они собираются обнаружить чип, им нужно отправить меня на рентген”.
“Этот вживленный чип может обойти практически любые меры безопасности из существующих на данный момент, и мы приведем тому доказательства”, — утверждает Сото.
Учитывая повсеместное внедрение NFC-технологий в бизнесе, имплантаты могут обеспечить процесс маршрутизации в различных сетях. Несколько усовершенствованный код чипа увеличит его потенциал в отношении причинения более серьезного ущерба, особенно в том случае, если «zero-day»-событие (не подлежащее исправлению, ранее неизвестное уязвимое место) было активировано посредством чипа, предупреждает Сото.
Однако имплантаты – не для щепетильных. Уэль утверждает, что игла была крупнее, чем он ожидал, когда ему за $40 имплантировал чип “не имеющий лицензии любитель”, и этого было достаточно, чтобы его стошнило. Он говорит, что ему пришлось пережить подобную «подпольную» операцию из-за законов штата Флорида, запрещающих модифицирование тела человека. Сначала Уэль должен был приобрести чип, предназначенный для введения в тела животных сельскохозяйственного предназначения производства китайской компании Freevision (см. изображения их продуктов для животных и внушительных размеров шприц, используемый Уэлем). При этом Уэль говорит, тыча цилиндрический объект в объектив своей веб-камеры во время разговора по скайпу с Форбс, что чип, который имеет всего 888 байт памяти и заключен в капсулу Schott 8625 Bio-glass, сейчас еле заметен.
Существуют некоторые явные ограничения на проведение имплант-атак, но они могут быть преодолены при помощи различных средств. Например, вредоносный андроид-файл, созданный Уэлем и Сото, теряет соединение с атакующим сервером в том случае, если телефон заблокирован или когда устройство перезагружается, однако, согласно техническому руководству Уэля по методике проведения атак, с помощью программного обеспечения, которое работает в качестве фоновой службы, запускающейся при загрузке, эту проблему можно будет решить. Поскольку мошеннический код должен быть установлен вручную, в процессе атаки также необходимы некоторые «благопристойные» приёмы социальной инженерии, хотя «легитимизация» вредоносного файла при помощи подписей GooglPlay и инициация дополнительных действий пользователя, направленных на его принудительную установку, сведут к минимуму необходимость очарования и хитрости.
Кевин Уорвик, который считает себя первым человеком с имплантированным в своем теле чипом NFC, рассказал Форбс о том, что “хорошо, что данное конкретное приложение проходит тестирование, поскольку это дает некое представление о его возможностях и выявленных опасностях”. Уорвик, в настоящее время являющийся профессором кибернетики в университете Рединга в Великобритании, также отметил неспособность систем безопасности обнаружить данную технологию. “Подобный имплантат не выявляется в аэропортах и аналогичных местах, содержание металла в нем намного-намного меньше, чем в наручных часах или обручальном кольце. Даже мой нейронный имплантат образца 2002 года с кусочком платиновой проволоки ни разу не был обнаружен. Фактически, у меня до сих пор проводки в руке и при этом я регулярно летаю.”
В Майами Уэль и Сото планируют подробно описать действия хакеров, которые им необходимо будет осуществить, чтобы добавить в свой арсенал технологию имплантатов, в том числе, каким образом можно будет приобрести требуемое оборудование и запрограммировать чип. Может ли это послужить началом вредоносного биохакинга? “Это лишь верхушка айсберга… любой в состоянии это сделать”, — добавляет Сото.