Hack na banknoty daje pieniądze na żądanie

Barnaby Jack trafił w dziesiątkę w Black Hat. Dwa razy.

Wykorzystując błędy w dwóch różnych bankomatach, badacz z IOActive był w stanie zmusić ich do wypluwania pieniędzy na żądanie i rejestrowania wrażliwych danych z kart osób, które ich używały.

Pokazał ataki na dwóch systemy, które kupił sam - typ typowych bankomatów zwykle spotykanych w barach i sklepach wielobranżowych. Przestępcy od lat atakują maszyny tego typu, wykorzystując skimmery ATM do rejestrowania danych kart i numerów PIN, lub w niektórych przypadkach po prostu ciągnąc ciężarówkę i odciągając maszyny.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie ze swojego komputera Komputer z systemem Windows]

Ale według Jacka jest łatwiejszy, znacznie bardziej alarmujący sposób na wyciągnięcie pieniędzy. Przestępcy mogą łączyć się z maszynami, wybierając je - Jack uważa, że ​​wiele z nich ma narzędzia zdalnego zarządzania, do których można uzyskać dostęp przez telefon - a następnie rozpoczyna atak.

Po eksperymentowaniu z własnymi maszynami, Jack opracował sposób obejścia zdalnego systemu uwierzytelniania i zainstalowania domowego rootkita o nazwie Scrooge, który pozwala mu zastąpić oprogramowanie układowe komputera. Opracował także narzędzie do zarządzania online o nazwie Dillinger, które może śledzić zainfekowane maszyny i przechowywać dane skradzione od osób, które ich używają.

Przestępcy mogą znaleźć bankomaty podatne na zagrożenia za pomocą oprogramowania typu "war-dialing" o otwartym kodzie źródłowym, aby połączyć setki tysięcy liczb, szukając tych, którzy odpowiadają, mówiąc, że mają zainstalowane podatne oprogramowanie do zarządzania. Przestępcy wykorzystali już podobną technikę w Internecie, aby włamać się do podatnych na ataki systemów punktów sprzedaży.

Narzędzia Jacka to tylko oprogramowanie typu proof-of-concept, zaprojektowane tak, aby pokazać, jak wrażliwe są maszyny, powiedział. "Celem rozmowy jest zainicjowanie dyskusji na temat najlepszych sposobów na remediację", powiedział.

"Nadszedł czas, aby poddać te urządzenia remontowi" - powiedział Jack. "Firmy, które produkują te urządzenia, to nie są firmy Microsoft, które nie miały 10 lat ciągłych ataków na nie".

Zhakowana maszyna została jednak oparta na systemie operacyjnym Windows CE firmy Microsoft.

W dramatycznych okolicznościach podczas demonstracji w Black Hat, połączył się zdalnie z bankomatem i uruchomił program o nazwie Jackpot, który spowodował, że bankomaty wypluły pieniądze, grając melodię i rozpryskując słowo "Jackpot" na ekranie urządzenia.

W drugim demie podszedł do maszyny, otworzył ją kluczem, który zdobył w Internecie, i zainstalował własne oprogramowanie. Pojedynczy, standardowy klucz może otwierać wiele różnych typów maszyn, powiedział, przedstawiając kolejny poważny problem z bezpieczeństwem.

Jack planował wygłoszenie przemówienia na zeszłorocznej konferencji, ale został wycofany po tym, jak sprzedawcy ATM poprosili o więcej czasu na poprawki problemy, które odkrył.

Robert McMillan zajmuje się bezpieczeństwem komputerowym i nowinkami technologicznymi dla News Service IDG. Obserwuj Roberta na Twitterze na @bobmcmillan. Adres e-mail Roberta to [email protected]