Window-Eyes je tzv. screen reader (odečítač obrazovky) pro Microsoft Windows, který využívají zrakově postižení uživatelé, zejména uživatelé zcela nevidomí a těžce zrakově postižení. Takový software převádí obsah obrazovky, např. webových stránek, do podoby alternativního výstupu, nejčastěji jako hlas nebo Braillovo písmo.
V noci z 15. na 16. ledna 2015 se Windows-Eyes stal centrem útoku skrz GW Toolkit, součást potřebnou pro fungování aplikací, které běží pod Window-Eyes. Jestliže si uživatelé GW Toolkit aktualizovali na verzi 8.5.8, v minutových intervalech se jim zobrazoval text:
„Greetings on the behalf of the Islamic state. The time of repentance is near. Please contact GW-Micro for further information.“
Jak uvádí Aaron Smith z Ai Squared, GW Toolkit verze 8.5.9 akutní problém vyřešil:
From: Aaron Smith <asmith@aisquared.com>
Subject: Ai Squared Statement on Security Breach
Date: Fri, Jan 16, 2015 10:17:48 am
Dear Window-Eyes Users,
First we want to apologize for the unfortunate messages that some of you may have seen this morning. We wanted to take a minute to address what happened and explain how we plan on preventing this in the future.
We released App Central in 2008 as a central repository for Window Eyes Apps, documentation and related resources. App Central was built as a community resource, from the beginning we wanted all Window-Eyes users to be able to contribute and benefit from each others efforts. We’re proud of what we accomplished – App Central today contains over 299 apps and more are added all the time.
Sometime early this morning a user with familiarity with Window-Eyes and the App Central environment breached out security and posted an update to GW Toolkit. Users who downloaded the update were exposed to some unfortunate messages. Our analysis shows that no permanent changes were made to your Window-Eyes installation and, if you update to GW Toolkit version 8.5.9 the problems you may be experiencing should be resolved. Instructions on how to manually update your Apps is at the following KB article www.gwmicro.com/kb2062
We have changed passwords and security on our systems that run App Central and we’ve turned off developer updates to apps for the time being. In the next few days we’ll be performing an internal security audit to determine what steps we can take to prevent something like this from happening again.
Rest assured that we take security seriously and we’ll be implementing these steps in a logical, ordered fashion.
Once again, our apologies and thank you for your patience on this matter.
The Ai Squared Team
Byť se zřejmě jednalo „pouze“ o neomalený rádoby vtipný útok tzv. šedých klobouků, jak naznačuje Chris Hofstader na svém blogu, napadá mě, jestli zvláště zranitelnou skupinou společnosti nemůže být právě ta nejzranitelnější.
Zmiňme jiný případ. Během srpna 2014 útočníci na web izraelské organizace pro postižené děti a mládež zejména se zrakovým postižením Keren Or umístili fotografie zraněných dětí a džihádistické písně. Podle izraelské strany za útokem stáli příznivci Hnutí islámského odporu. Jak stránky během útoku vypadaly, můžeme vidět na videu YouTube.
Útoky se netýkají pouze zrakově postižených uživatelů. V roce 2008 útočníci do webu americké neziskové organizace Epilepsy Foundation vložili malé blikající obrázky a zdánlivě užitečné odkazy na jiné stránky. Na odkazovaných stránkách se však zobrazovaly pulsující kaleidoskopické obrazce různých barev. Cílem útoku bylo vyvolat epileptický záchvat u návštěvníků webu. Podle zjištěných informací opravdu u některých lidí, kteří web navštívili, k záchvatu došlo.
Kybernetické útoky zaměřené proti zdravotně postiženým nejsou ojedinělé, nevyjímaje Českou republiku. První zmiňovaný útok zaregistrovali i zrakově postižení uživatelé konference Fanda při Středisku pro podporu studentů se specifickými potřebami ČVUT ELSA. Další, zejména historické incidenty, se nyní snažím rozuzlit, jiné pouze eviduji.
Na závěr si ještě netroufnu říci, jestli je téma kybernetických útoků proti zdravotně postiženým více nebo méně závažné oproti kybernetickým útokům zaměřeným proti jiným skupinám. K vyřčení podobného závěru zatím nemám dostatek relevantních informací. Avšak nejen praxe mi ukazuje, že asistivní technologie v mnoha případech své, a potažmo uživatelovo, bezpečí příliš neřeší. I proto jsem, pod taktovkou vztyčeného varovného prstu, začal pravidelně monitorovat úzce zaměřené informační zdroje, mezi něž patří například různé e-konference pro zdravotně postižené, které jsou oblíbené zejména mezi zrakově postiženými. Takový monitoring by měl být základem pravidelných zpráv o kybernetických útocích proti zdravotně postiženým. Tyto zprávy by se měly každým rokem objevovat na stránkách projektu OWASP WASA (Web Application Security Accessibility Project).