Un Hack Stupid a Dezvăluit o Problemă Reală Gravă
În aprilie anul trecut, un hacker a deturnat anunțurile audio de la trecerile de pietoni pentru a imita vocile lui Mark Zuckerberg și Elon Musk. Înregistrările obținute de WIRED arată cât de nepregătite erau autoritățile locale.
Într-o noapte, în aprilie, cineva s-a oprit la aproximativ 20 de intersecții din Silicon Valley și a lansat un atac cibernetic fără precedent, care s-a răspândit în mai multe state, stânjenind oficialii locali și determinându-i să-și pună la îndoială practicile de securitate. Autoritățile suspectează că infractorul necunoscut a profitat de parolele implicite slabe și disponibile public pentru a încărca fără fir înregistrări personalizate care rulau ori de câte ori un pieton apăsa butonul de la trecerea de pietoni. În loc de înregistrările normale care îi spun oamenilor să aștepte sau să traverseze strada, pietonii au auzit vocile trucate ale directorilor executivi miliardari din domeniul tehnologiei.
Un Mark Zuckerberg fals a spus la o intersecție din Menlo Park că oamenii nu vor putea opri introducerea „cu forța” a inteligenței artificiale „în fiecare fațetă a experienței tale conștiente”. La o altă intersecție, el a sărbătorit „subminarea democrației”. La o intersecție diferită, un Elon Musk modificat l-a descris pe președintele Donald Trump ca fiind „de fapt foarte dulce, tandru și iubitor”, în timp ce pe o stradă din apropiere vocea sa falsă se văicara că este „atât de singur”.
E-mailurile și mesajele text guvernamentale obținute de WIRED prin cereri de informații publice arată cum orașele Menlo Park, Redwood City, Palo Alto și mai târziu Seattle și Denver s-au chinuit să răspundă la manipularea butoanelor de la trecerile de pietoni. Comunicările, împreună cu interviurile cu experți în securitate și foști angajați ai producătorului de butoane, evidențiază modul în care guvernele și compania au trecut cu vederea vulnerabilitățile unei tehnologii răspândite.
În Redwood City, pe atunci city manager, Melissa Diaz, a chestionat personalul despre cine ar trebui să fie învinuit pentru incident. „Trebuie să înțelegem cine ar trebui să fie responsabil pentru securitatea acestor sisteme și ce putem face pentru a trage la răspundere fie personalul, fie partea externă responsabilă”, a scris ea într-un e-mail către colegi în zilele de după hack.
Nick Mathiowdis, actualul manager al orașului Redwood City, spune pentru WIRED că personalul a abordat problema pe baza „lecțiilor învățate și a celor mai bune practici în evoluție”, dar refuză să împărtășească detalii pentru a evita încurajarea unor hack-uri ulterioare.
Edward Fok, un veteran al securității cibernetice de la Federal Highway Administration care a investigat pe scurt hacking-ul înainte de a se pensiona, spune că orașele trebuie să facă o treabă mai bună în a se asigura că clauzele de securitate cibernetică sunt integrate în contractele cu furnizorii și instalatorii de tehnologie, mai ales pe măsură ce instrumentele AI și senzorii puternici sunt din ce în ce mai mult integrați în infrastructura de transport. Redwood City, de exemplu, ceruse contractual furnizorului său de instalare și întreținere a butoanelor să „folosească diligența rezonabilă și cea mai bună judecată” la momentul hack-ului, dar nu specificase nimic despre parole sau securitate digitală.
Într-o declarație nesemnată pentru WIRED, administrația autostrăzilor a declarat că a emis anterior un aviz tehnic care prezintă „măsuri de securitate pentru a se asigura că idioții ideologici nu pun în pericol siguranța americanilor atunci când utilizează trecerile noastre de pietoni”.
Investigația poliției privind butoanele piratate din Silicon Valley a intrat în impas. Autoritățile nu au putut să-și dea seama cine se află în spatele schemei, deoarece butoanele nu urmăresc cine încarcă audio, iar filmările de supraveghere din zonă nu au fost de ajutor, potrivit locotenentului de poliție din Redwood City, Jeff Clements.
Polara Enterprises, cu sediul în Greenville, Texas, este un furnizor important de butoane de apăsat pentru trecerile de pietoni de zeci de ani. Unele au capacitatea ca orașele să încarce clipuri audio personalizate prin Bluetooth pentru a oferi pietonilor, inclusiv celor nevăzători sau cu deficiențe de vedere, indicii suplimentare, cum ar fi strada și direcția în care traversează. Manualele și videoclipurile oficiale online destinate miilor de tehnicieni care întrețin butoanele din întreaga țară descriu modul în care modelele Polara activate Bluetooth sunt livrate cu o parolă implicită de „1234” și sunt configurabile printr-o aplicație disponibilă public.
Cu aproximativ opt luni înainte de valul de hacking al butoanelor de anul trecut, un vlogger de securitate fizică care folosește numele Deviant Ollam a postat un videoclip pe YouTube în care arăta cât de ușor ar fi să falsifice butoanele. „Nu încurajez pe nimeni să încerce parole complet ghicibile și să-și încarce propriul conținut, deoarece, amintiți-vă, ar fi rău. Probabil că ar fi o crimă sau ceva de genul. Vorbiți cu avocații dvs.”, a spus el în videoclip.
Ollam spune pentru WIRED că nu a auzit de la poliție sau de la Polara. El laudă infractorul pentru că a păstrat funcționalitatea butoanelor – a rămas în general clar când era sigur să traversezi – deși orașele au trebuit să dezactiveze unele dintre ele până când au putut fi reasigurate. „Personal, consider că aceasta este o farsă ideală”, spune Ollam. „Nu rănesc pe nimeni. Dar atrag atenția oamenilor și fac ca publicul să vorbească despre o fațetă importantă a societății.”
Josh LittleSun, directorul de tehnologie al Synapse ITS, compania care deține acum Polara, spune că hack-urile butoanelor au fost rezultatul nu al parolelor implicite, ci mai degrabă al instalatorilor care folosesc parole simple care au fost partajate prea larg și nu au fost schimbate suficient de des.
Patru foști angajați ai Synapse tech care au vorbit cu WIRED spun că compania investește în a face produsele sale fiabile, dar nu a acordat prioritate securității atât cât ar fi putut. Butoanele se bucură de puțină concurență și de vânzări puternice, așa că Synapse a dedicat doar o echipă mică produsului. „Nu există un număr suficient de ingineri. Au termene limită strânse”, susține un fost inginer Synapse. „Iar șefii nu au viziune îndepărtată pentru a vedea toate problemele posibile care pot apărea în viitor.”
LittleSun de la Synapse contestă caracterizarea foștilor angajați, spunând că compania a extins investițiile în inginerie în produsele Polara în ultimii ani și că securitatea este un obiectiv continuu. De la hack, Synapse necesită acum parole mai puternice și a introdus pași suplimentari de verificare pentru modificările de cont și încărcările audio. Se iau în considerare parole implicite unice sau un cod PIN suplimentar pentru a bloca și mai mult butoanele. „Securitatea acestor active comunitare critice este esențială”, spune LitteSun despre butoane. „Synapse ITS rămâne ferm angajată în avansarea continuă a infrastructurii sigure și accesibile, care sprijină siguranța și independența tuturor utilizatorilor.”
La câteva zile după manipularea din Silicon Valley, Seattle a devenit următoarea victimă. Înregistrarea de acolo l-a imitat pe fondatorul Amazon, Jeff Bezos. „Vă rog, vă rog să nu impozitați bogații”, spunea. „Altfel, toți ceilalți miliardari se vor muta și ei în Florida. Nu ar fi teribil dacă toți oamenii bogați ar părăsi Seattle – sau ar fi Luigi’d – și apoi oamenii normali și-ar putea permite să locuiască din nou aici?”
Abel Pacheco, directorul diviziei de operațiuni de tranzit din Seattle, spune pentru WIRED că orașul a răspuns oferind fiecărui buton o parolă unică. De asemenea, a stabilit o listă cu Polara a angajaților orașului autorizați să primească ajutor, cu scopul de a face mai dificil ca cineva să se dea drept un oficial al orașului pentru a obține informații despre butoane.
Fok, fostul oficial al administrației autostrăzilor, spune că sperase să emită o alertă națională care să avertizeze agențiile locale cu privire la vulnerabilitățile asociate cu butoanele Polara, dar nu a reușit să facă acest lucru înainte de a se pensiona. În timp ce incidentul a făcut titluri globale, se pare că unele orașe nu au auzit despre el. Luna trecută, cineva a falsificat butoane nou instalate în Denver pentru a reda mesaje anti-Trump. Departamentul de Transport și Infrastructură al orașului a declarat că parola implicită era încă la locul ei, deoarece butoanele nu erau menite să fie operaționale încă. Un angajat i-a spus directorului executiv al departamentului într-un mesaj text obținut de WIRED: „În viitor vom schimba imediat parola implicită din fabrică cu una proprie sau ne vom asigura că nu sunt pornite până când nu suntem gata să plecăm.”