作者|Thomas Fox-Brewster
憑藉人們腦海中對黑客的刻板印象,要從外表識別出一名實施數字犯罪的人是件相當容易的事。蒼白的皮膚、連帽衫和筆記本電腦,這三項特徵同時出現就是最明顯的判斷依據。當然,這種關於黑客形象的老套看法明顯是錯誤的,甚至可能有些無禮。那些侵入商業網絡的真正黑客擁有起碼的常識,他們會避免穿著這種老套的服裝,並且極力隱藏他們的工具。
對於那些能夠忍受肉體疼痛的人來說,生物黑客攻擊,即在皮下植入計算設備,提供了一種實現秘密行動的新方法,而且可以躲過身體搜查和電子掃描。正是出於這一考量,曾當過美國海軍軍士的APA無線公司(APA Wireless)工程師賽斯·瓦爾(Seth Wahle)在自己手中植入了一枚晶片,就在左手的拇指與食指之間的部位,也就是虎口處。這枚晶片附帶NFC(近場通信)天線,能夠向安卓手機發送PING(網際網路包探索器)指令,要求其打開一個連結。一旦用戶同意打開該連結,並在其引導下安裝了一個惡意文件,該用戶的手機就會自動連接到一臺遠程電腦上,而這臺電腦的使用者就能在這臺手機設備上執行進一步的侵入指令。簡言之,這臺安卓設備就被成功入侵了。在為福布斯進行的一次演示實驗中,瓦爾在自己的筆記本電腦上使用安全漏洞檢測軟體Metasploit,強制一臺安卓設備拍攝了一張他笑臉的照片。
安全專家賽斯·瓦爾通過自己手中植入的NFC晶片向一臺安卓設備發送了一個惡意連結,然後用這臺被他成功侵入的安卓設備拍攝了一張自己的照片。
在今年5月份召開的邁阿密黑客大會(Hack Miami)上,他將與本次大會理事會秘書、安全顧問羅德·索託(Rod Soto)共同展示這一隱秘入侵的全過程。他們承認,這只是一次粗糙的研究實驗,使用的都是些NFC領域的現成工具和已知的攻擊技術,但他們聲稱,這種基於植入物的黑客攻擊能夠為罪犯的「社交工程工具箱」新添一種格外有用的工具。
當下,任何心懷不軌的人,哪怕僅是有測試一下飛行通信系統安全性念頭的人,都會受到航空公司和聯邦部門的嚴厲處置。在這樣一個時期,可植入晶片提供了一種十分巧妙的方法,可以讓人們混過機場或其他安檢嚴格地點的電子檢查口。瓦爾表示,他還在軍隊服役時就植入了這枚晶片,儘管他每天都要經過掃描設備的檢測,但是這枚晶片從來都沒有被查出來過。「他們(如果想要查出這枚晶片的話)只能對我進行X光掃描了。」
「這枚植入晶片能夠繞過當下所部署的眾多安檢措施,我們將會向大家證明這一點,」索託說。
鑑於NFC技術已在各行各業中得到廣泛應用,植入物將能提供一個有效的方法來侵入不同類型的網絡。索託警告說,在晶片上置入更加複雜的代碼將會更有可能造成更為嚴重的破壞,尤其是在通過晶片針對零日漏洞(指剛剛曝光且還未打過任何補丁的安全漏洞)發起攻擊的情況下。
賽斯·瓦爾的手,左右圖示分別為他植入NFC晶片前後的樣子。
不過植入物大多並不適合那些嬌氣的人使用。瓦爾表示,他花了40美元找到一位「無執照業餘人士」幫他完成晶片植入手術,那根用於植入的針頭要比他所預想的還要粗很多,讓他感到一陣噁心想吐。他說,受佛羅裡達州嚴格的身體改造相關法規所限,他只好通過黑市來完成整個手術過程。他先得搞到要用的晶片,這枚晶片專為植入牲畜體內實現農業用途而設計,產自中國的勵識電子科技公司(下圖是他們的動物用產品和瓦爾使用的大號注射器)。但是,這枚僅配備了888位元組內存並被封在Schott 8625生物有機玻璃膠囊中的晶片,目前基本不會被安檢設備發現,瓦爾說道,在與福布斯進行Skype視訊通話時,他在攝像頭前輕輕撥動著這隻圓柱狀的物體。
牲畜專用的植入物,被黑客賽斯·瓦爾用來對安卓設備發起攻擊。
瓦爾在他花了40美元的黑市晶片植入手術中所使用的針管。
基於植入設備的攻擊行為具有一些明顯的局限性,但是這完全可以通過各種辦法來克服。比如,瓦爾和索託針對安卓系統創建的惡意文件,在手機處於鎖屏狀態或者經過重啟後,便會失去與攻擊者伺服器之間的連接。但是,只要安裝一個可在手機開機時自動啟動的軟體,並作為後臺服務保持運行,那麼這個問題就能得到解決,瓦爾闡述此類攻擊行為的白皮書中如此寫道。鑑於入侵過程中必須手動安裝一些流氓代碼,因而同樣需要一些巧妙的社交工程。雖然編寫惡意文件本身似乎屬於合法行為,但如果使用谷歌電子市場(Google Play)籤名和輸入附件的侵入指令強制完成相應安裝的話,就可以最大程度地減少為吸引受害用戶主動安裝所需的引誘手段與伎倆。
凱文·沃裡克(Kevin Warwick)自詡為在身體內植入NFC晶片的第一人,他告訴福布斯,「開始測試這種特定的應用是件好事,因為這能讓人們對可能發生的問題和一些顯而易見的危險有所了解」。此外,現為英國雷丁大學(University of Reading)研究控制論的教授的沃裡克還指出,安檢系統在識別這類技術上無能為力。「像這樣的植入物在機場等地是檢測不出來的,它當中的金屬含量遠遠低於人身上佩戴的一支手錶或一枚婚戒。2002年時我曾經接受過神經植入,那是一根很長的鉑金絲,就連它都沒有被檢測出來過。事實上,我的胳膊裡仍殘留著一些這樣的金屬絲,而照樣經常乘坐飛機出行。」
在邁阿密的黑客大會上,瓦爾和索託計劃詳細展現黑客要掌握這一攻擊工具時所需的所有步驟,包括如何獲取相關硬體和如何編寫晶片的程序。這會不會是惡意生物黑客攻擊普及的開端呢?索託表示,「這只是當中的冰山一角……任何人都能做到這些。」
譯|薄錦 校|李其奇
本文為福布斯中文網版權所有,未經允許不得轉載。如需轉載請聯繫editor@forbeschina.com
更多精彩請關注