barnaby jack

Hacker, programador y profesional de seguridad informática de Nueva Zelanda

Barnaby Michael Douglas Jack (22 de noviembre de 1977 - 25 de julio de 2013) fue un hacker , programador y experto en seguridad informática de Nueva Zelanda. ^[1] Era conocido por su presentación en la conferencia de seguridad informática Black Hat en 2010, durante la cual explotó dos cajeros automáticos y les hizo dispensar papel moneda falso en el escenario. ^[2] Entre sus otros trabajos más notables se encuentran la explotación de diversos dispositivos médicos , incluidos marcapasos y bombas de insulina . ^[3]

Jack era conocido entre los expertos de la industria por su influencia en los campos de la seguridad médica y financiera. ^[4] En 2012, su testimonio llevó a la Administración de Alimentos y Medicamentos de los Estados Unidos a cambiar las regulaciones relativas a los dispositivos médicos inalámbricos. ^[4] En el momento de su muerte, Jack era Director de Seguridad de Dispositivos Integrados en IOActive . ^{[5] [6]}

Cajeros automáticos "jackpotting"

En una conferencia de Black Hat en 2010, Jack hizo una presentación sobre el "jackpotting", o hacer que los cajeros automáticos entreguen efectivo sin retirarlo de una cuenta bancaria utilizando una tarjeta bancaria . ^{[7] [8]} El escenario se describió por primera vez en la ficción en la película de culto Hackers de 1995 . Jack hizo demostraciones de diferentes tipos de ataques que implicaban tanto acceso físico a las máquinas como ataques remotos completamente automatizados. En ambos casos, se inyectó malware en el sistema operativo de las máquinas, lo que provocó que dispensaran dinero de forma fraudulenta por orden del atacante. Durante el ataque físico a un cajero automático (ATM), como lo demostró Jack, el atacante aprovecha su acceso físico a la máquina objetivo y utiliza una unidad flash cargada con malware para obtener acceso no autorizado a las máquinas, lo que permite controlar su dispensación de moneda. mecanismo. ^[9] Durante el ataque remoto, se instala malware en el sistema de destino a través de vulnerabilidades explotadas en el sistema de administración remota , en particular el uso de contraseñas predeterminadas y puertos TCP de administración remota . Luego, el atacante ejecuta el malware, lo que hace que el cajero automático objetivo entregue dinero.

bombas de insulina

En la conferencia McAfee FOCUS 11 en octubre de 2011 en Las Vegas, mientras trabajaba para McAfee Security, Jack demostró por primera vez el pirateo inalámbrico de bombas de insulina, una usada por un amigo diabético y otra del mismo modelo en un banco preparado para la demostración. Al interactuar con las bombas con una antena de alta ganancia, obtuvo el control total de las bombas sin ningún conocimiento previo de sus números de serie, hasta poder hacer que la bomba de demostración entregara repetidamente su dosis máxima de 25 unidades hasta llenar todo el depósito de Se agotaron 300 unidades, lo que representa muchas veces una dosis letal si se administra a un paciente típico. ^[10]

En la Conferencia de Seguridad RSA en San Francisco en febrero de 2012, utilizando un maniquí transparente demostró que podía piratear de forma inalámbrica la bomba de insulina desde una distancia de hasta 90 metros utilizando la antena de alta ganancia. ^[11]

Marcapasos

En 2012, Jack demostró la capacidad de asesinar a una víctima pirateando su marcapasos. Jack demostró cómo aplicar una descarga eléctrica tan mortal en vivo en la conferencia de seguridad BreakPoint 2012 en Melbourne. ^[4]

Implantes de corazón

Jack murió una semana antes de dar una presentación sobre cómo piratear implantes cardíacos en la conferencia Black Hat 2013 programada para celebrarse en Las Vegas . En una entrevista de junio de 2013 con Vice, Jack describió su presentación: ^[3]

Barnaby Jack, director de seguridad de dispositivos integrados de la empresa de seguridad informática IOActive, desarrolló un software que le permitió enviar de forma remota una descarga eléctrica a cualquier persona que llevara un marcapasos dentro de un radio de 50 pies. También ideó un sistema que busca bombas de insulina que se comuniquen de forma inalámbrica a una distancia de 300 pies, le permite piratearlas sin necesidad de conocer los números de identificación y luego las configura para que administren más o menos insulina de la necesaria, enviando a los pacientes a shock hipoglucémico rápido si se administró demasiada insulina o cetoacidosis si no se administró suficiente insulina durante un período de tiempo. ^[3]

En su presentación, Jack debía describir las vulnerabilidades de varios dispositivos médicos , así como hacer demostraciones seguras de ataques que "ciertamente suponen un riesgo potencial para la salud". ^[3]

Muerte

Jack fue encontrado muerto en un apartamento de San Francisco el 25 de julio de 2013 por su novia. Según el informe del forense, Jack murió de una sobredosis de heroína , cocaína , Benadryl y Xanax . Tenía 35 años. ^{[12] [13] [14]} En el momento de su muerte, debía asistir a una conferencia de piratería informática de Black Hat Briefings en Las Vegas. ^{[15] [16]} El gerente general de Black Hat, Trey Ford, dijo: "Todos estarían de acuerdo en que la vida y obra de Barnaby Jack son legendarias e irremplazables", y anunció que su lugar no sería reemplazado en la conferencia. ^[13]

En la cultura popular

La técnica "Jackpotting" de Barnaby Jack de un cajero automático y varios cajeros automáticos pirateados y obligados a escupir cualquier cantidad de efectivo provocada por una serie de eventos, todos descritos en la presentación Black Hat de Jack de 2010, se utilizó como trama el 20 de diciembre de 2015. episodio de la serie 2 del drama criminal de CBS CSI: Cyber . Además de mostrar el truco en uso y explicar cómo funciona, el episodio también incluyó otros guiños a Barnaby Jack y su trabajo, incluido el nombre del banco pirateado "Barnaby Bank". La escisión de CSI se centró en un equipo de agentes del FBI y ex hackers de sombrero negro que trabajaban para detener varias amenazas cibernéticas en todo Estados Unidos.

“Jackpotting” aparece en el episodio 1, temporada 2 del podcast “Lazarus Heist” del BBC World Service, transmitido en marzo de 2023. Esta serie describe el trabajo del Grupo Lazarus . En este episodio, la técnica del jackpotting se utiliza para extraer millones de dólares de cajeros automáticos en 28 países; en poco más de dos horas, el 11 de agosto de 2018, casi 14 millones de dólares, todos de cuentas de The Cosmos Bank en India. Se utiliza un ejército de mulas de dinero para sacar el dinero de las máquinas. ^[17]

Referencias

1. "Barnaby Jack". El Telégrafo diario . 28 de julio de 2013 . Consultado el 29 de julio de 2013 .
2. McMillan, Robert (28 de julio de 2010). "Barnaby Jack gana el premio mayor del cajero automático en Black Hat". Mundo de la informática . Archivado desde el original el 29 de septiembre de 2013 . Consultado el 7 de agosto de 2013 .
3. William, Alexander (julio de 2013). "Barnaby Jack podría piratear su marcapasos y hacer explotar su corazón". Vicio . Consultado el 7 de agosto de 2013 .
4. Zadrozny, Brandy (26 de julio de 2013). "El buen hacker: Barnaby Jack muere". La bestia diaria . Consultado el 7 de agosto de 2013 .
5. "IOActive nombra al experto de la industria Barnaby Jack como director de seguridad de dispositivos integrados". IOActivo. 8 de octubre de 2012. Archivado desde el original el 1 de agosto de 2013 . Consultado el 7 de agosto de 2013 .
6. "Acerca de IOActive". IOActivo. Archivado desde el original el 6 de agosto de 2013 . Consultado el 7 de agosto de 2013 .
7. Goodin, Dan (28 de julio de 2010). "Armado con hazañas, el pirata informático de cajeros automáticos se lleva el premio gordo". El registro . Consultado el 7 de agosto de 2013 .
8. Franzen, Carl (29 de julio de 2010). "Barnaby Jack piratea ingeniosamente cajeros automáticos en Black Hat [VIDEO]". Noticias de Aol . Archivado desde el original el 1 de agosto de 2013 . Consultado el 7 de agosto de 2013 .
9. Negro, Henry. "Sombrero negro".
10. Stilgherrian (21 de octubre de 2011). "El hackeo letal de dispositivos médicos llevado al siguiente nivel". OSC en línea (Australia) . Consultado el 2 de agosto de 2013 .
11. Parmar, Arundhati (1 de marzo de 2012). "Hacker muestra las vulnerabilidades de las bombas de insulina inalámbricas". Noticias de MedCity . Consultado el 7 de agosto de 2013 .
12. Finkle, Jim (26 de julio de 2013). "El famoso hacker Barnaby Jack muere una semana antes de la convención de piratería". Reuters . Consultado el 7 de agosto de 2013 .
13. Holpuch, Amanda. "El hacker Barnaby Jack muere en San Francisco a los 35 años". El guardián . Consultado el 7 de agosto de 2013 .
14. Robertson, Jordania (26 de julio de 2013). "Barnaby Jack, hacker informático, muerto a los 36 años". Bloomberg . Consultado el 7 de agosto de 2013 .
15. "Hacker de Nueva Zelanda encontrado muerto". Radio Nueva Zelanda . 27 de julio de 2013 . Consultado el 7 de agosto de 2013 .
16. Hillen, Bretaña (26 de julio de 2013). "Barnaby Jack, reconocido hacker, muere a los 35 años". Barra diagonal . Consultado el 7 de agosto de 2013 .
17. "BBC World Service - El atraco a Lázaro - Disponible ahora". BBC . Consultado el 1 de mayo de 2023 .