ATM Hack Nagbibigay ng Cash on Demand

Si Barnaby Jack ay tumama sa dyekpot sa Black Hat noong Miyerkules. Dalawang beses ang paggamit ng mga bug sa dalawang magkaibang mga makina ng ATM, ang researcher mula sa IOActive ay nakapagbigay sa kanila ng pera sa demand at nagtala ng sensitibong data mula sa mga card ng mga taong gumamit nito. mga sistema na binili niya ang kanyang sarili - ang uri ng generic na ATM machine na karaniwang matatagpuan sa mga bar at convenience store. Ang mga kriminal ay hinahampas ang ganitong uri ng makina sa loob ng maraming taon, gamit ang mga skimmers ng ATM upang mag-record ng mga data ng card at mga numero ng PIN, o sa ilang mga kaso ay nakahuli lamang ng isang trak at paghahatid ng mga machine palayo.

[Karagdagang pagbabasa: Paano alisin ang malware mula sa iyong Windows PC]

Ngunit ayon kay Jack mayroong mas madali, mas nakakatakot na paraan upang makuha ang pera. Ang mga kriminal ay maaaring kumonekta sa mga makina sa pamamagitan ng pag-dial sa kanila - Naniniwala si Jack na ang isang malaking bilang ng mga ito ay may malayuang kasangkapan sa pamamahala na maaaring ma-access sa isang telepono - at pagkatapos ay ilunsad ang isang atake.

Pagkatapos ng pag-eksperimento sa kanyang sariling machine, Jack isang paraan ng pag-bypass sa remote na sistema ng pagpapatunay at pag-install ng homemade rootkit, na pinangalanan na Scrooge, na nagpapahintulot sa kanya na i-override ang firmware ng makina. Nakagawa rin siya ng isang online na tool ng pamamahala, na tinatawag na Dillinger, na maaaring subaybayan ang mga nakompromisong machine at data ng pag-imbak na ninakaw mula sa mga taong gumagamit nito.

Maaaring makahanap ng mga kriminal ang mga mahihinang ATM sa pamamagitan ng paggamit ng open-source "war-dialing" software ng libu-libong mga numero, hinahanap ang mga tumugon sa pagsasabi na mayroon silang naka-install na software na mahina ang pamamahala. Ang mga kriminal ay gumamit na ng katulad na pamamaraan sa Internet upang masira ang mga sistemang punto ng pagbebenta.

Ang mga kasangkapan ni Jack ay isang software ng katibayan ng konsepto, na idinisenyo upang ipakita kung gaano kahinaan ang mga machine, sinabi niya. "Ang layunin ng pahayag ay ang spark discussion sa mga pinakamahusay na paraan upang magpagpatuloy," sabi niya.

"Panahon na upang bigyan ang mga device na ito ng isang overhaul," sabi ni Jack. "Ang mga kumpanya na gumagawa ng mga aparato ay hindi Microsoft, wala silang 10 taon ng patuloy na pag-atake laban sa kanila."

Gayunpaman, ang mga hack ni Jack ay batay sa operating system ng Windows CE ng Microsoft.

Sa isang dramatiko on-stage demonstration sa Black Hat, siya ay konektado sa malayo sa isang ATM at nagpatakbo ng isang programa na tinatawag na Jackpot na dulot ng mga ATM sa spit out cash, habang nagpe-play ng isang tune at splashing ang salitang "Jackpot" sa buong screen ng machine.

Sa isang pangalawang demo, lumakad siya sa makina, binuksan ito sa isang susi na nakuha niya sa Internet, at na-install ang kanyang sariling firmware. Ang isang single, standard key ay maaaring magbukas ng maraming iba't ibang mga uri ng mga makina, sinabi niya, nagpapakita ng isa pang malubhang problema sa seguridad.

Jack ay nagplano upang maihatid ang pahayag sa kumperensya noong nakaraang taon, ngunit ito ay nakuha matapos ang mga ATM vendor na humingi ng mas maraming oras sa patch ang mga isyu na natuklasan niya.

Robert McMillan ay sumasaklaw sa seguridad sa computer at pangkalahatang teknolohiya ng breaking balita para sa

Ang IDG News Service

. Sundin si Robert sa Twitter sa @bobmcmillan. Ang e-mail address ni Robert ay [email protected]