第一銀行9、10日發生疑似有ATM系統內被植入惡意程式,讓嫌犯在完全沒碰觸的機器的情況下從20間分行、34台ATM盜領新台幣共計7000多萬元的事件,警方調查後初步判定2名嫌犯為俄羅斯籍,並已在11日出境,目前仍在繼續偵查中;然而,疑似為此案使用的手法,其實已非新技術,美國傳奇駭客傑克(Barnaby Jack)6年前便在世界級的駭客大會上展現這項「神技」。
傑克是1位資訊界的傳奇「白帽駭客」(white hat)與利用技術非法進入系統、進行惡意攻擊的的黑帽駭客不同,白帽駭客是為了維護資安而努力的技術人員,大多受雇於電腦公司,基於測試目的而攻擊、測試各個系統的安全漏洞;傑克身為白帽駭客的一生可說是如流星一般燦爛。
1977年生於紐西蘭的傑克,後來來到美國,任職於西雅圖的電腦安全顧問公司IOAcitve,擔任「嵌入式設備」安全主管,早年在研究Windows系統漏洞的領域便小有名氣。
然而真正讓他一戰成名的,是2010年的黑帽電腦安全會議(Black Hat Conference),在這個世界級的駭客技術研討大會上,傑克僅藉由植入駭客程式到ATM,便可在沒有密碼的情況下,讓提款機任意吐出滿地現金,震驚各界。
傑克把這項技術稱作「Jackpotting」,並表示他不是想透過這個手法來犯罪、獲利,而是要提醒銀行經營者改善ATM系統的安全問題;值得一提的是,傑克原本在2009年便要展現這項技術,但在多家銀行業者的施壓下,直到1年後才得以發表。
2012年,轉至邁克菲(McAfee)任職的傑克展現了另一項驚世駭俗的技術,他可以透過遠端技術在90公尺距離內控制美敦力(Medtronic)公司的胰島素注射機, 輕易讓機器注射超量的胰島素進入患者體內;同樣地,傑克再次警告美敦力公司改善這項安全問題。
傑克的2項傑作讓世人紛紛好奇,下一次他又會帶來怎樣的「驚喜」?答案就在2013年的黑帽電腦安全會議,他這回可以遠距離「電死」一個人。
他表示,配有無線裝置的心律調節器存在極大的安全漏洞,只要有1台簡易的筆記型電腦,就可以在10公尺距離內遙控1台心律調整裝置,讓它釋放超過800伏特的電壓,輕易致人於死,且這項技術還能無視調整器的機型、型號,等於是在心臟內部安裝1個小型炸彈。
傑克原本預計在2013年8月1日的黑帽電腦安全會議帶來這項技術的研究與探討,然而事與願違,就在大會召開的1周前,傑克的女友發現他陳屍於舊金山的住處。據舊金山醫院的報告指出,傑克的死因是用藥過量,他在死前大量混用了包括海洛因、古柯鹼、苯海拉明(一種藥用鎮定劑)還有佳靜安定(抗焦慮症藥物)等藥物,資訊界的一顆燦星就此殞落。
作為一個白帽駭客,傑克終生致力於用自己的所學尋找各個產品的漏洞,並秉持公開、透明的精神向大眾公開技術內容,呼籲企業改善,然而遺憾的是,不管銀行還是醫藥公司,在漏洞被揭露時,都是極力否認、掩飾,也鮮少因此更新系統、修補零日漏洞(Zero-day exploit,指還沒有修補程式的安全漏洞),以致在傑克展示「Jackpotting」6年後的今天,類似案例依然持續發生。
