Barnaby Michael Douglas Jack (22 de noviembre de 1977 - 25 de julio de 2013) fue un hacker , programador y experto en seguridad informática de Nueva Zelanda . [1] Era conocido por su presentación en la conferencia de seguridad informática Black Hat en 2010, durante la cual explotó dos cajeros automáticos y les hizo distribuir billetes falsos en el escenario. [2] Entre sus otros trabajos más notables se encuentran la explotación de varios dispositivos médicos , incluidos marcapasos y bombas de insulina . [3]
Jack era conocido entre los expertos de la industria por su influencia en los campos de la seguridad médica y financiera. [4] En 2012, su testimonio llevó a la Administración de Drogas y Alimentos de los Estados Unidos a cambiar las regulaciones con respecto a los dispositivos médicos inalámbricos. [4] En el momento de su muerte, Jack era el director de seguridad de dispositivos integrados en IOActive . [5] [6]
En una conferencia de Black Hat en 2010, Jack hizo una presentación sobre el "premio gordo" o cómo hacer que los cajeros automáticos distribuyeran efectivo sin retirarlo de una cuenta bancaria con una tarjeta bancaria . [7] [8] El escenario se describió por primera vez en la ficción en la película cyberpunk de 1995 Hackers . Jack dio demostraciones de diferentes tipos de ataques que involucraron tanto acceso físicoa las máquinas y ataques remotos completamente automatizados. En ambos casos, se inyectó malware en el sistema operativo de las máquinas, lo que provocó que distribuyeran moneda de manera fraudulenta por orden del atacante. Durante el ataque físico a un cajero automático (ATM) como lo demostró Jack, el atacante aprovecha su acceso físico a la máquina objetivo y usa una unidad flash cargada con malware para obtener acceso no autorizado a las máquinas, lo que permite controlar su dispensación de moneda. mecanismo. [9] Durante el ataque remoto, el malware se instala en el sistema de destino a través de vulnerabilidades explotadas en el sistema de administración remota , más notablemente el uso de contraseñas predeterminadas y administración remota.Puertos TCP . Luego, el atacante ejecuta el malware, lo que hace que el cajero automático objetivo distribuya dinero.
En la conferencia McAfee FOCUS 11 en octubre de 2011 en Las Vegas, mientras trabajaba para McAfee Security, Jack demostró por primera vez el pirateo inalámbrico de bombas de insulina, una usada por un amigo diabético y otra del mismo modelo en un banco preparado para demostración. Interactuando con las bombas con una antena de alta ganancia, obtuvo el control completo de las bombas sin ningún conocimiento previo de sus números de serie, hasta poder hacer que la bomba de demostración entregue repetidamente su dosis máxima de 25 unidades hasta su depósito completo de Se agotaron 300 unidades, lo que equivale a muchas veces una dosis letal si se administra a un paciente típico. [10]
En la Conferencia de Seguridad RSA en San Francisco en febrero de 2012, utilizando un maniquí transparente, demostró que podía piratear de forma inalámbrica la bomba de insulina desde una distancia de hasta 90 metros utilizando la antena de alta ganancia. [11]
En 2012, Jack demostró la capacidad de asesinar a una víctima pirateando su marcapasos. Este escenario se exploró por primera vez en la ficción en la serie de televisión Homeland . En su publicación de blog "Corazones rotos", Jack escribió que el truco fue incluso más fácil de lo que se describe: "¡La televisión es tan ridícula! ¡No necesitas un número de serie!" [12] Jack hizo una demostración en vivo de la aplicación de una descarga eléctrica tan letal en la conferencia de seguridad BreakPoint de 2012 en Melbourne. [4]