A Las Vegasban zajló Black Hat hackerkonferencia legnagyobb figyelmet felkeltő előadása zajlott tegnap, amikor Barnaby Jack, az IOActive Labs kutatási igazgatója bemutatta, hogy egy laptop segítségével hogyan lehet rábírni egy pénzkiadó automata (ATM) számítógépét, hogy pénzt adjon ki egy illetéktelennek. A demonstráción két önmagában álló ATM-et használtak, ám a módszer állításuk szerint minden élesben működő banki készüléknél használható.
Az ATM-ek elleni támadások nem számítanak újdonságnak, a csalók már nagyon régóta alkalmaznak különféle szoftveres és hardveres módszereket egyaránt a célból, hogy jogtalanul jussanak készpénzhez. A mostani eljárás is ezek sorába illeszkedik annyiban, hogy két fontos sebezhetőségre hívja fel a figyelmet.
Hirdetés
Barnaby Jack közel két évet töltött azzal szilícium-völgyi lakásában, hogy az általa online módon a gyártóktól megvásárolt ATM-eket bütykölje, vizsgálja. Ezek olyan, magukban álló gépek voltak, melyeket kis üzletek használnak, nem pedig a bankok számára gyártott, hálózatba kötött ATM-ek. Ez idő alatt támadási felületeket keresett, hogy miképp lehet átvenni az irányítást az automaták szoftverei fölött, s ennek eredményét mutatta be a Black Hat konferencián.
A nem kevéssé teátrális előadás igyekezett nagy hatást kelteni. A hacker egyrészt talált az interneten olyan, 10,78 dollárért megvásárolható kulcsokat, melyek több gyártó gépeihez is használhatóak, ezekkel a szabvány USB-portokat használó, Windows CE operációs rendszert használó ATM-ek rendszerébe be tudott lépni, hogy az általa írt (a híres bankrablóról, Dillingerről elnevezett) programot futtatni tudja rajtuk; gyakorlatilag a mesterkulcsok használatával felülírta a gépek firmware-ét, majd egy kártya segítségével vett fel pénzt.
Jack egy másik (és a fizikai kontaktust nem igényelő eljárás miatt veszélyesebb) módszerről is említést tett, amikor a gyártók és a gépek közötti internetes kommunikációba ékelődött be, de erről nagyon kevés részletet árult el, csak azt mutatta meg, hogy távirányítással annyi pénzt vesz fel, amennyit akar arról a számláról, melynek tulajdonosától vírusa segítségével a kártyahasználat után lementette az összes szükséges adatot: „Nem vagyok olyan naiv, hogy úgy higgyem, csak én tudom ezt megcsinálni” – summázta a bemutatót Jack.
Az előadáson igyekeztek titkolni a gyártókat, ám ez végül is kiderült, de állítólag a hibákat a cégek azóta már kijavították.