巴納比·傑克

巴納比·傑克

巴納比·傑克(Barnaby Michael Douglas Jack),1977年12月22日-2013年7月25日)是一位紐西蘭的黑客、程式設計師和計算機安全專家。他因在2010年計算機安全業界知名的黑帽子大會上演示了入侵ATM取款機並當場讓ATM取款機吐出錢而引起廣泛關注。

人物簡介

傑克是西雅圖安全評估公司IOActive的嵌入式設備安全主管。在黑客世界中,有三頂帽子的說法:白的、灰的和黑的,根據他們做事的法律後果來界定。帶著黑帽子的是不計法律後果的犯罪行為,灰帽子遊走在法律的邊界,而戴著白帽子的則是為了信息安全而出手。傑克是個戴著白帽子的好黑客。傑克一直致力於發現公司產品的安全漏洞,以幫助公司改進產品的安全性。

個人經歷

巴納比·傑克 巴納比·傑克

2009年傑克任職於一家ATM取款機生產商。本要在當年的黑帽子大會上演示入侵ATM取款機的技術,但迫於壓力推遲到了2010年7月28日的黑帽子大會。在此次會議上,他成功地演示入侵安裝有兩種不同系統的ATM取款機並當場讓ATM取款機吐出錢,他稱之為“jackpotting”。在現場,他用了兩種方法令ATM機吐鈔票。一種是做出一台任何人可以解鎖的ATM機,插入特製的隨身碟,然後控制網路並命令機器吐錢;另一種方法是通過查詢信用卡使用者的歷史記錄和PIN號碼,然後把他們送發給黑客。他的表演讓所有在場的同行無不驚詫地表示:“智慧型真的不可靠。”其實在黑掉ATM機之前,他已經頗有建樹除了上述的硬體黑客攻擊外,Barnaby Jack在軟體安全也是頗有建樹。

比如,他於1999年在著名的《phrack》雜誌(搞安全研究的必讀的參考資料之一)發表的文章《Win32 Buffer Overflows(Location, Exploitation and Prevention)》以及發表文章《Remote Windows Kernel Exploitation Stepinto the Ring 0》(搞windows核心漏洞研究必讀的)。這兩篇文章均在2010年他在黑帽大會演示攻擊ATM取款機前發表,光是這兩文章就足以讓他聞名於世了。這也是我為什麼說他在2010年黑帽大會演示攻擊ATM取款機後成為世界頂級白帽黑客有點不妥的原因。

意義:他的研究本可以讓他在黑市上賺得讓人想都不敢想的金錢,不過他沒有把這些安全研究運用於黑產中,而是積極地與相關廠商溝通協調,保衛了廣大用戶的利益,促進了安全行業的發展。這也是他受到全世界黑客尊重的原因之一。

2013年,他還計畫在8月份舉行的黑帽子大會上演示如何入侵心臟除顫器和心臟起搏器。他已經研究出一種方法,可以在距離目標50英尺的範圍內侵入心臟起搏器,並讓起搏器釋放出足以致人死亡的830V電壓。但是他在7月25日被發現死於舊金山Nob Hill的公寓中。正在進行屍檢,已排除謀殺的可能性。

傑克原來是黑客,後任職於世界資深電腦安全公司IOActive公司,做著最核心的工作:專門探尋各類新出現的網路威脅,並且不斷推動和為公司尋找新的研究方向。

這個前電腦黑客曾經花了2年時間在黑客破解上,從簡單的程式到普通獨立的ATM機。傑克說,他總是非常喜歡終結者2裡面的一幕場景:年輕的約翰偷偷地用一張假的信用卡塞入ATM機,在自己的電腦上敲打幾個字元,然後就能支取出幾百美元。而在現實中,傑克說,做一名黑客實際上要容易許多,有的時候只需要一個USB盤直接插入電腦網路系統。
他說:“你可以走上去,在2秒內,令所有的錢都吐在地上,”傑克說,“你完全不需要觸碰ATM機。”他開玩笑地說,“在我眼裡,每台ATM機都是一樣的。你有這么多ATM機放在家裡,以至即使你女朋友發瘋了,將它跟其他家具一樣被扔掉了,我依舊能將它找回來。”
在他的研究中,他必須要找到ATM機主機板上的漏洞。而購買這些研究用的道具他居然是通過網上線上購買,“就像任何東西一樣,你只需要點擊‘放入購物車’即可。” 就跟任何一個黑帽子大會上厲害的黑客一樣,傑克說,他的攻擊是為了幫助他的目標客戶獲得一個長期的安全。他說,我不是為了發明本“烹飪教材書”教會大家怎么不斷去攻擊。“我的目標是讓大家增強這種保護的意識。不是讓每個孩子都出門,都開始耍弄ATM機。”

傑剋死前,正在準備「黑帽子大會」上的發言,展示醫用心臟起搏器的漏洞,可以讓黑客在距離受害者30英尺(9.14米)的地方殺死對方。這位紐西蘭黑客的演講題目為《入侵人體》。以下是這次演講的概述:

在2006年,在美國,大約有350,000個心臟起搏器和123,000 IDC(植入式心臟除顫器)被植入患者體內。2006年是個特別重要的年份,因為在這年,FDA批准了全基於無線連線控制的醫療設備的臨床套用。如今已有300萬具心臟起搏器和170萬個心臟除顫器處於使用狀態。

這次演講,將關注於無線植入醫療設備的安全性。我將討論這些設備的操作和通訊原理,以及通訊協定上的安全漏洞。我們的研究,將揭示如何通過一個普通的數據收發機,來搜尋和入侵附近的醫療裝置。

我也將討論如何改進這些設計,以增強它們的安全性

傑克是從電視劇《國家安全局》里獲得這個靈感的,劇情里,恐怖分子計畫通過入侵心臟起搏器來暗殺大使。他把這寫在了自己的部落格里他寫道:

……

人物評價

觀眾對這部劇挺當真的,而且有人寫文章,質疑這種事情的可能性。當內科醫生被問及此事,他們表示這在現實世界中是不可能做到的。

但從我的專業角度看,這並不太難。

……

我們研究的目標,並不是要打擊人們對這些救命儀器的信心。這些儀器真地在捍衛生命,我們在研究的同時,也非常小心地不讓技術細節外泄,以防有人在現實中實施攻擊。

雖然生活中,對於任何人來說,受到非法攻擊的可能性很小,但我們認為無論這種風險多小,我們都必須予以充分關注和處理。我們正積極與這些醫療設備的製造商聯繫,與他們分享我們的研究成果。

……

相關詞條

熱門詞條

聯絡我們