Хакер #305. Многошаговые SQL-инъекции
Компания Texas Instruments (TI) натравила своих юристов на группу
энтузиастов, которая сумела взломать цифровые подписи операционных систем,
работающих на определённых моделях калькуляторов этой фирмы. Наличие данных
кодов позволяет модифицировать ОС этих устройств, с тем чтобы калькуляторы могли
использоваться для расчётов, непредусмотренных производителем.
Речь идёт о калькуляторах, выпущенных преимущественно в 1990-х годах;
наиболее современные модели датируются 2004 годом. Некоторые владельцы этих
устройств, имеющие определённый склад ума, давно предпринимали попытки
"модернизировать" свои калькуляторы, создавая для них своё программное
обеспечение.
Работа многих таких программ, однако, была затруднена несовместимостью с
операционками, поэтому приходилось пускаться на различные ухищрения. Установить
на калькулятор собственную ОС тоже было непросто, поскольку в TI предусмотрели
защиту в виде цифровых подписей.
Но защита эта оказалась довольно-таки слабой: все цифровые подписи
представляли собой RSA-ключи длиной всего 512 бит. После того как один из ключей
был взломан брутфорсом при помощи обычного компьютера, работающего в течение
трёх месяцев, стало понятно, что остальным ключам уготовлена та же участь.
Любители TI-калькуляторов соорудили сеть распределённых вычислений BOINC, в
которую объединились около 500 компьютеров, и за какой-то месяц
подобрали ещё 13 ключей (правда, один из них пришлось "добивать" вручную).
Разумеется, все эти цифровые последовательности были тут же опубликованы на ряде
онлайн-сообществ и в блогах энтузиастов.
Но радость энтузиастов-калькуляторщиков была недолгой. В TI, прознав о
взломе, дали команду "фас" своим юристам, которые принялись связываться с
владельцами соответствующих сайтов с требованиями убрать ключи из общего
доступа. При этом они прикрывались пресловутым Законом США о защите авторских
прав в цифровую эпоху DMCA.
Многие хакеры, испугавшись судебного преследования, тут же подчинились этим
требованиям. Однако некоторые юристы, в частности, представители организации
Electronic Frontier Foundation (EFF), полагают, что DMCA неприменим в данном
случае.
Более того, в 2006 году Библиотека Конгресса утвердила исключение к этому
закону, которое позволяет разблокировать мобильные телефоны, с тем чтобы они
могли работать с разными сотовыми операторами (действие этого исключения
заканчивается в 2009 году, но запрос на его продление EFF уже подала). Очевидно,
что изменение прошивки калькуляторов по сути мало отличается от изменения
прошивки телефонов.
Сама же компания TI утверждает, что калькуляторный софт защищён авторским
правом, и говорит, что она просто отстаивает свою интеллектуальную
собственность. Никаких более конкретных высказываний здесь не делают.