ATM Hack daje novac na zahtjev

Barnaby Jack pogodio je jackpot u Black Hatu u srijedu. Dvaput.

Iskoristivši bugove na dva različita bankomata, istraživač iz IOAtta uspio ih je natjerati da plati novac na zahtjev i zapisuje osjetljive podatke s kartica ljudi koji su ih koristili.

Pokazao je napada na dva sustavi koje je sam kupio - vrstu generičkih ATM strojeva koji se obično nalaze u barovima i trgovinama. Kriminalci već godinama udaraju ovu vrstu stroja, koristeći ATM sklekere za snimanje podataka o karticama i PIN brojevima, ili u nekim slučajevima jednostavno povlačenje kamiona i odvlačenje strojeva.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver iz vašeg Windows računalo]

No, prema Jacku postoji lakši, mnogo alarmantniji način da se novac dobije. Kriminalci se mogu spojiti na strojeve tako što će ih nazvati - Jack vjeruje da veliki broj njih ima alate za daljinsko upravljanje kojima se može pristupiti preko telefona - a potom pokreće napad.

Nakon eksperimentiranja sa svojim strojevima, Jack je razvio način zaobilazeći sustav daljinskog provjere autentičnosti i instaliranje domaćeg rootkit-a, nazvanog Scrooge, koji mu omogućuje nadjačavanje firmvera stroja. Razvio je i on-line alat za upravljanje koji se zove Dillinger koji može pratiti kompromitirane strojeve i pohraniti podatke ukradene od ljudi koji ih koriste.

Kriminalci mogli su pronaći ranjive bankomate pomoću softvera "ratno biranje" otvorenog izvora za pozivanje stotina od tisuća brojeva, tražeći one koji reagiraju rekavši da imaju ugroženi softver za upravljanje. Kriminalci već koriste sličnu tehniku ​​putem Interneta kako bi se probjeli u ranjive sustave prodajnih mjesta.

Jackovi alati su samo softver za dokazivanje koncepta koji je osmišljen kako bi pokazao koliko su ranjivi u stvari strojevi, kazao je. "Cilj razgovora je da potakne raspravu o najboljim načinima za sanaciju", rekao je. "Vrijeme je da se ti uređaji prepravljaju", rekao je Jack. "Tvrtke koje proizvode uređaje nisu Microsoft, nisu imali 10 godina neprestanih napada na njih."

Strojevi Jackovi hakeri bili su, međutim, zasnovani na Microsoftovom operacijskom sustavu Windows CE.

U dramatičnom na pozornici u Black Hatu, povezao se s daljinskim putem na bankomat i vodio program pod nazivom Jackpot koji je uzrokovalo da bankomatima ispljune novac, dok igrate melodiju i prskaju riječ "Jackpot" preko ekrana stroja.

U drugom demo, hodao je do stroja, otvorio ga ključem koji je dobio na internetu i instalirao vlastiti firmver. Jedan standardni ključ može otvoriti različite tipove strojeva, rekao je, predstavivši još jedan ozbiljan sigurnosni problem.

Jack je planirao isporučiti razgovor na prošlogodišnjoj konferenciji, ali je izvukao nakon što su dobavljači ATM-a zatražili više vremena za zakrpu pitanja koja je otkrio.

Robert McMillan pokriva informativnu sigurnost i opću tehnološku vijest za

IDG News Service. Slijedite Roberta na Twitteru @ bobmcmillan. Robertova adresa e-pošte je [email protected]