BTC
$0.00
0.00%
Я ніколи не думав, що звичайний вечір може перетворитися на шпигунську історію, що згодом стануть відомі по всьому світу. Історію, дуже дивну, але, водночас, дуже просту, яку мені довелося розповісти спочатку працівникам служби безпеки компанії, а тепер і вам.
До того ж, не важко уявити, щоб було, якби моє програмне забезпечення, проходячи аутентифікацію, несподівано отримало б доступ до ключів криптогаманців по усьому світу – так само як до роботів-пилососів. Я б зміг не просто бачити дані, а керувати чужими коштами, які належали незнайомцям по всьому світу. Але розповім вам все по порядку.
Я сидів у своїй кімнаті та пробував опанувати керування моїм новим пилососом DJI Romo, що поєднує технології дронів (LiDAR, бінокулярний зір) та функцію відеоспостереження. Простіше кажучи: мені хотілося трошки погратися, а не займатися прибиранням. І коли я запустив свій пилосос, переді мною з’явилися дані ще одного пристрою. А потім ще і ще. А через декілька хвилин я вже бачив 6700 роботів з усього світу, кожен зі своїм серійним номером, IP-адресою, станом батареї та навіть картою приміщень. Тобто, водночас, я мав доступ до тисячі чужих домівок та їхніх камер.
В один прекрасний момент, я став невидимим спостерігачем у сотнях квартир у Азії, Європі, Північній Америці, тощо.
Хоча я й не зламував цих роботів спеціально – просто мій ключ аутентифікації сприймався сервером DJI як універсальний ключ. А тепер уявіть, що замість роботів-пилососів у цій системі були рахунки та криптогаманці – кожен із сотнями чи сотнями тисяч доларів у різній цифровій валюті!
Я жахнувся коли уявив, як мало часу потрібно, щоб вивести сотні мільйонів в невідомому напрямку – адже, зловмисники могли б швидко пересилати ефір, біткоїни чи інші токени на сторонні адреси. Проте на щастя, це був лише гіпотетичний сценарій розвитку подій. Реально ж я зіштовхнувся з мільйонами зображень домашніх інтер’єрів і шляхами переміщення пилососів, а не з ключами від криптовалютних рахунків.
Я негайно відключив свій додаток, повернув доступи DJI назад і написав компанії про вразливість. Мене ледве не назвали злочинцем, хоча, насправді, я просто намагався за допомогою пристрою прибирати в приміщенні.
Проте, схоже цей урок був засвоєний компанією – адже, коли мова йде про приватні дані чи цифрові активи, одна помилка може коштувати набагато більше, ніж ти можеш уявити собі!
Після історії з Romo я думав, що поставив в цій дивній історії жирну крапку. Так, це саме та гучна історія, коли я намагався опанувати керування моїм новим роботом DJI Romo, що поєднує технології дронів та функцію відеоспостереження, а зламав роботизовані пристрої по всьому світу. Але справжня інтрига почалася пізніше, коли мені зателефонував мій знайомий аналітик з Chainalysis та поцікавився чи впевнений я, що мій випадок – випадковість? Зазначу, що раніше ми перетиналися з ним на конференціях з цифрової безпеки в Сан-Франциско та Лас-Вегасі, де говорили про фішинг, способи і методи зламу, та вже зламані криптогаманці.
Він розповів, що їхні системи зафіксували дивну активність: синхронні спроби доступу до кількох тисяч криптогаманців, які об’єднувала одна річ — використання сторонніх сервісів із централізованою автентифікацією. Причому, ніяких видимих слідів прямого злому не було. Лише слабка ланка між користувачем і сервером. Я погодився розповісти усе, що знаю з цього приводу та, вже відому історію про те, як я випадково зламав 6700 пристроїв.
Ми зустрілися офлайн. На столі стояв ноутбук, у якому були списки транзакцій, часові мітки, IP-кластери. Частина маршрутів вела до інфраструктури, яку раніше пов’язували з Lazarus Group – угрупованням, що відоме атаками на криптобіржі та DeFi-проєкти. Прямих доказів не було. Але збіги були надто цікаві.
Я зрозумів, що якби вразливість Romo стосувалася не роботів-пилососів, а криптогаманців, сценарій був би катастрофічним: система б зафіксувала рух коштів. При тому, що приватні ключі було б втрачено безповоротно. Примітно, що користувачі звинуватили б біржі, виробників та розробників програмного забезпечення. Але справжня причина – помилки в архітектурі доступу.
Ми не надавали нашим подальшим діям розголосу. Замість цього я передав технічні висновки команді безпеки і вже за кілька днів з’явився патч. Мені повідомили листом, що спеціалісти вже тестують наступну безпекову систему, щоб унеможливити появу феномена, який називають «універсальний ключ».
У цифровому світі злочин рідко починається зі злому. Найчастіше він починається з одного зручного рішення, яке працює «надто добре для всіх замків». А іноді все може початися з включення контролера звичайного пилососа. Саме так, нещодавно відбулося й у мене.
