A PC-k esetében a legtöbben már elfogadják, hogy a munka csak offline módban lehet viszonylag (bár nem 100 százalékosan) veszélytelen. Ahogy azonban egyre több hétköznapi használati tárgyat látnak el chipekkel, vezeték nélküli hálózati kapcsolatokkal és a működésüket irányító szoftverekkel, szembe kell néznünk azzal, hogy az autóból és a légkondícionálóból is számítógép lett. Ezeket persze ugyanúgy feltörhetik vagy megfertőzhetik, mint egy internetre kapcsolódó laptopot, így a hagyományos technikai eszközök esetében is kénytelenek leszünk átértékelni a biztonságos használat fogalmát.

A múlt héten éppen arról számoltunk be, hogy biztonsági kutatók egy óránként 100 kilométeres sebességgel haladó Jeep Cherokee rendszerében használtak ki egy sebezhetőséget, hogy egy sor gonosz trükköt követően végül árokba vezessék a két tonnás utcai terepjárót. Nem sokkal az irányított kísérletet követően, amelyben a Wired magazin újságírója is részt vett, a gyártó Fiat Chrysler összesen 1,4 millió járművét hívta vissza formálisan az Uconnect fedélzeti rendszer biztonsági frissítésére, és állítólag a hálózati szolgáltatókkal is egyeztetést kezdeményezett a hasonló támadásokat érzékelő eszközök telepítéséről.

Önök nem ezeket a céltáblákat keresik

A Wired magazin nagyon rajta van a témán, a terepjáró után egy "okos puska" szoftverének feltöréséről is beszámolt. Ahogy a terepjáró, úgy a fegyver szoftverének sebezhetőségét is a nemsokára elkezdődő Black Hat konferencián mutatják majd be a biztonsági kutatók. Ennek lényege, hogy darabokra szedték, és közel egy éven keresztül vizsgálták a TrackingPoint nevű gyártó 13 ezer dolláros mesterlövész-puskáját, hogy ezalatt egy sor olyan technikát dolgozzanak ki, amellyel félre lehet vezetni mind a fegyver működését irányító szoftvert, mind magát a lövészt, aki a fegyver digitális készségeire hagyatkozik.

A puskába integrált számítógép alapvetően a célzást segíti, például úgy, hogy a lövedék várható röppályáját olyan tényezők alapján számolja ki, mint a szélirány és -sebesség, a levegő hőmérséklete vagy a lőszer tömege. Ezek után, ha a kezelő meghúzza a ravaszt, a szoftver maga választja ki a megfelelő pillanatot, amikor működésbe lépteti az elsütőszerkezetet. Így a gyártó ígérete szerint még egy képzetlen lövész is másfél kilométerről lőheti a telitalálatokat, ez pedig a sokszorosa annak a távolságnak, amire az "analóg módszerrel" képes lehetne. Kivéve persze, ha a wifi-csatlakozáson keresztül meghekkelik a fegyverét.

_{forrás: wired.com}

A támadók azon túl, hogy a fegyvert irányító Linux rendszer feltörésével használhatatlanná tudják tenni a puskát vagy törölni tudják a teljes fájlrendszerét, arra is képesek, hogy a célzást befolyásolják. Ez kimerülhet abban, hogy különféle trükkökkel (mondjuk ezerszeresére növelve a lőszer tömegéhez rendelt értéket) elintézzék, hogy a fegyver jelentősen félrehordjon. S rendszer manipulálásával azonban akár saját célpontot is választhatnak: a Wired videóján bemutatott kísérletben az eredetileg megcélzott helyett a szomszédos lőlapon lövik ki a tízes kört.

Közvetlen veszély nincs, de még lehet

Fontos, hogy a puskát elsütni azért nem tudják, ahhoz a lövész fizikai interakciójára is szükség van, ezenkívül a célzórendszert ki is lehet kapcsolni – igaz, ebben az esetben a 13 ezer dolláros befektetésünket egy 6 ezer dolláros puska és egy 7 ezer dolláros, kikapcsolt számítógép formájában cipelhetjük magunkkal. A biztonsági szakemberek arra is felhívják a figyelmet, hogy a hack életszerű felhasználásai elég korlátozottak: nem valószínű, hogy mondjuk egy afrikai vadászaton, ahol wifi se nagyon lesz, épp a közelben lapuljon a feltételezett rosszindulatú hacker.

A kísérlet ugyanakkor sokadjára is felhívja rá a figyelmet, hogy az "okos" előtaggal reklámozott, valójában csak internetképes és szoftverek által vezérelt tárgyak a valóságban még közel sem olyan kiforrott termékek, mint ahogy azt a gyártók el akarják hitetni a vásrlókkal. Ráadásul a TrackingPoint reakciója is elég jellemző az okos termékeke fejlesztő cégekre: hasonlóan a fent említett autós sérülékenységekhez, a TrackingPoint is hónapokig válasz nélkül hagyta a biztonsági kutatók elektronikus levélben küldött figyelmeztetéseit, amelyekben pedig részletes leírást kapott a felfedezett hibákról.

A struccpolitika egyébként a Wired értesülései szerint szoros összefüggésben lehet a cég aktuális anyagi problémáival, de az okos eszközök korában mindenképpen elvárható lenne az a hozzáállás (nem beszélve a hozzáállást kikényszerítő szabályozásról), amely a sérülékenységek felfedezése után azonnali lépésekre sarkallja a gyártókat.