正确的提示信息

扫码打开虎嗅APP

从思考到创造
打开APP
搜索历史
删除
完成
全部删除
热搜词
2016-04-11 11:14

曾让ATM机自动吐钞,曾让心脏起搏器自动挂掉,这个黑客死得早,但并不糟~

本文来自微信公众号:差评(chaping321),作者:差评君


在黑客世界中,有三顶帽子的说法:黑的、灰的和白的,如何戴上合适的帽子,是根据他们做事的法律后果来界定。



带着黑帽子的是不计法律后果的犯罪行为,灰帽子游走在法律的边界,而戴着白帽子的则是为了信息安全而出手。


今天差评君要说的 Barnaby Jack (巴纳拜·杰克,下文称杰克)就是个一直致力于发现一些公司产品的安全漏洞,以帮助公司改进产品安全性的白帽黑客。


(老实说,蛮帅的)


生于 1978 年的杰克来自新西兰,生前是西雅图信息安全评估公司IOAcitve的嵌入式设备安全主管。。。



呃,为什么说是生前呢,因为 2013年7月25日,他在美国旧金山神秘死亡。


其实早在 2000 年前,杰克就是业内著名的白帽黑客了,他在《 Phrack 》杂志( 搞安全研究的必读的参考资料之一 )发表的《 Win 32 Buffer Overflows (Location, Exploitation and Prevention) 》以及《 Remote Windows Kernel Exploitation Stepinto the Ring 0 》几乎是搞 Windows 内核漏洞研究必读的两篇文章了。。。



(就算翻译了文章名称好像也没什么用。。。)


但是,让他成为真正的明星黑客,却是在 2010 年的 Black Hat 大会(黑帽技术大会 )上。



杰克利用自己的黑客技术让两台不同系统的 ATM 机,自动喷出了钱。。。


(要是差评君掌握了这套方法,特么早就去浪了。。。)


这真的不是什么魔术,当时下面坐的也是各种黑客技术大牛,杰克这套魔法一般的演示真的是惊呆了他们。。。


杰克将这种攻击方式称作 “ Jackpotting ”,你们这些 “ 眼开 ” 的差友,也别妄想让正直的差评君(好吧,其实是愚钝)解释什么原理了。。。


比起其他各种对付 ATM 取款机的手段,杰克的方式简直上天。。。


(用火烧。。。)


英国居然还有用挖掘机的。。。


(某翔不服。。)


但杰克也只是实现了他儿时看电影 《终结者2》 的一个场景:John Connor走到一台 ATM 取款机前掏出一张卡刷过之后,ATM机源源不断地吐钱。


其实他早在 2009 年就想要演示这一技术,但迫于一些 ATM 取款机厂家的压力而推迟了演示。(嗯,可见他们坚信不会出现像杰克这么聪明的人吧。)


如果他只有这点聪明。。。说不定现在也还健在吧。。。


2012年,他在 McAfee 的工作期间,对,就是在那个答应 “ 破解不了 iPhone 就要吃鞋 ” 的 John McAfee 手底下工作的时候。。。



杰克又黑掉了美敦力 ( Medtronic ) 的胰岛素注射机,他可以远程控制数种这家公司生产的胰岛素注射机,甚至可以控制其中一些设备,忽略安全警告并操纵注射剂量。


那些不怀好意的黑客们就可以利用这个缺陷在 300 英尺 ( 90 米)外控制这些设备,甚至将胰岛素提高到一个致命的水平。


他用一个透明的人体模型、红色的液体和一个手持天线演示了这个过程。



就跟早前展示入侵 ATM 取款机一样,杰克并没有拿这个技术漏洞换取什么经济利益,他再三提醒胰岛素注射机的厂商去修改其产品设计。


当然,跟大多数人的反应一样,这些厂商在被人指出漏洞、错误时,为了不加大更多的经济成本,一开始也是否认、拒绝的。。。


杰克在接受 BBC 的采访时表示:


我并不想伤害任何人,或是得到什么好处,因为这项技术并不是很难重现。所以希望能够促使这些公司采取一些设备安全的措施。


嗯,如果杰克对公众利益安全考虑的心思,到这里就消失了,说不定还可以见到他更神奇的技术展示。。。。


2013年,他成功黑掉了多家厂商生产的心脏起搏器,只需在十二米之内配合一台笔记本电脑,就能让它放出830V的电压,直接致人死地。



Jack表示,问题在于心脏起搏器和心脏除颤器都是有无线接收装置的,可以调节它们的工作模式,正是这个无线遥控渠道里面存在漏洞。


自 2006 年,美国食品和药物管理局批准了基于 WIFI 植入设备的大规模使用后,目前有超过 300 万心脏起搏器和 170 万的除颤器使用者。


而厂商其实完全忽视了这些无线设备在系统层级的安全性。。。


就像 《 国土安全 》里面的剧情,一个罪犯利用类似的技术刺杀了体内装有心脏起搏器的副总统。。。



而且杰克的方法甚至还可以无视起搏器的序列号和型号。。。


所以想想,原本自己身体里的心脏起搏器是用来维持生命的,但现在却是个炸药包。。。


杰克及时的将这个漏洞告知了多家厂商,并希望这些厂商及时改善提高安全措施。


(图里啃别人头的就是杰克)


并且他原定,在2013 年7月31日的黑帽大会上,为大家带来一场关于心脏起搏器和植入型心脏复律除颤器安全研究的议题。但是,杰克自己却在 2013年7月25日,嗯,就在大会召开的一周前,在美国旧金山的一间公寓里,死亡。


官方封锁了消息,死因未知。


而且几乎业内所有的人都没反应过来,以为是假的,直到杰克的妹妹发出一条推特。。。



感谢有这么多网友对杰克的喜爱,感谢你们美好的话语。


然后所有人都知道,杰克死了,真的死了。


黑客圈子里的人都纷纷表达了惋惜。。。



天啊,这消息!没有人能像他一样制造如此有趣的麻烦。你们这些幸灾乐祸的熊孩子应该好好学学什么叫牛逼。



安息吧,杰克你这个臭混蛋。我昨天晚上还在聊你的传说,我们会想你的,哥们儿。



安息吧,杰克,我们会想你的。



无需多言,杰克是个好人,而且是我最喜欢的研究者。



无法忘却,我被杰克黑掉的胰岛素泵射了一脸,安息吧,你曾让我笑的如此快乐。


嗯,就这样一个为普通人的安全四处捅娄子的 35 岁白帽黑客,匆匆地过世了。。。


不知道那些厂商是否只是为了自己的利益而选择性无视了消费者的安全,但是假如真的有一例由于杰克所发现的漏洞而出的意外,你们是否也还能够坦荡荡呢。


至于差评君。。。


真是宁愿被他操控的胰岛素射上几脸也希望知道那个让 ATM 取款机喷钞手段啊。。。


转载请联系公众号:差评(chaping321)获得授权。差评唯一非官方微博:@差评君来了,不一定回复的邮箱:chaping321@163.com。差评君的新业务创业公司探访与报道即将展开...

本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系 hezuo@huxiu.com
如对本稿件有异议或投诉,请联系tougao@huxiu.com
打开虎嗅APP,查看全文
频道:

支持一下

赞赏

0人已赞赏

大 家 都 在 看

大 家 都 在 搜

好的内容,值得赞赏

您的赞赏金额会直接进入作者的虎嗅账号

    自定义
    支付: