2. Hírek
  3. Biztonság

Így lehet ATM-ből pénzt lopni


A Las Vegasban zajló Black Hat hackerkonferencia legnagyobb figyelmet felkeltő előadása zajlott tegnap, amikor Barnaby Jack, az IOActive Labs kutatási igazgatója bemutatta, hogy egy laptop segítségével hogyan lehet rábírni egy pénzkiadó automata (ATM) számítógépét, hogy pénzt adjon ki egy illetéktelennek. A demonstráción két önmagában álló ATM-et használtak, ám a módszer állításuk szerint minden élesben működő banki készüléknél használható.

Az ATM-ek elleni támadások nem számítanak újdonságnak, a csalók már nagyon régóta alkalmaznak különféle szoftveres és hardveres módszereket egyaránt a célból, hogy jogtalanul jussanak készpénzhez. A mostani eljárás is ezek sorába illeszkedik annyiban, hogy két fontos sebezhetőségre hívja fel a figyelmet.

Hirdetés

Barnaby Jack közel két évet töltött azzal szilícium-völgyi lakásában, hogy az általa online módon a gyártóktól megvásárolt ATM-eket bütykölje, vizsgálja. Ezek olyan, magukban álló gépek voltak, melyeket kis üzletek használnak, nem pedig a bankok számára gyártott, hálózatba kötött ATM-ek. Ez idő alatt támadási felületeket keresett, hogy miképp lehet átvenni az irányítást az automaták szoftverei fölött, s ennek eredményét mutatta be a Black Hat konferencián.

A nem kevéssé teátrális előadás igyekezett nagy hatást kelteni. A hacker egyrészt talált az interneten olyan, 10,78 dollárért megvásárolható kulcsokat, melyek több gyártó gépeihez is használhatóak, ezekkel a szabvány USB-portokat használó, Windows CE operációs rendszert használó ATM-ek rendszerébe be tudott lépni, hogy az általa írt (a híres bankrablóról, Dillingerről elnevezett) programot futtatni tudja rajtuk; gyakorlatilag a mesterkulcsok használatával felülírta a gépek firmware-ét, majd egy kártya segítségével vett fel pénzt.

Jack egy másik (és a fizikai kontaktust nem igényelő eljárás miatt veszélyesebb) módszerről is említést tett, amikor a gyártók és a gépek közötti internetes kommunikációba ékelődött be, de erről nagyon kevés részletet árult el, csak azt mutatta meg, hogy távirányítással annyi pénzt vesz fel, amennyit akar arról a számláról, melynek tulajdonosától vírusa segítségével a kártyahasználat után lementette az összes szükséges adatot: „Nem vagyok olyan naiv, hogy úgy higgyem, csak én tudom ezt megcsinálni” – summázta a bemutatót Jack.

Az előadáson igyekeztek titkolni a gyártókat, ám ez végül is kiderült, de állítólag a hibákat a cégek azóta már kijavították.

Azóta történt

  • Gyere a weboldalamra, és megmondom: hol vagy!

    A Black Haten az egyik előadó egy újszerű támadást mutatott be. Meg kell szerezni a router MAC-címét, majd meg kell kérdezni a Google-től, hol van az eszköz. Válaszolni fog.

    Tech 157

  • Árulkodnak rólunk a nyomtatók

    A mátrixnyomtatók tűi által keltett hangokból visszafejthető a nyomtatott szöveg – mondják német kutatók, akik szerint így bizalmas adatokat lehet megszerezni például orvosi rendelőkben.

    Tech 18

Előzmények