Pénzt köpködött a meghekkelt bankautomata
A bankjegykiadó automaták és azok feltörési lehetőségei mindig is piszkálták a bűnözők fantáziáját. Az elmúlt években számos olyan módszer került napvilágra, amelyek valamilyen úton-módon lehetőséget adtak a támadók számára arra, hogy pénzt zsákmányoljanak. Ezek között a meglehetősen feltűnő, falból kirántós technikától elkezdve a kifinomultabb, PIN-kódok kikémlelésére alkalmas módszerekig sok minden előfordult. Már tavasszal lehetett tudni, hogy a mostani Black Hat hekkerkonferencián egy biztonsági előadó demonstrálni fog olyan újabb lehetőségeket, amelyek az eddigieknél kifinomultabb módon képesek rávenni az automatákat pénz kiadására. Ez az előadás nem is maradt el.
Az Egyesült Államokban a Tranax egyik banki automatája kapcsán már 2006-ban is felmerültek biztonsági problémák. Akkor egy bűnöző a beépített billentyűzet segítségével úgy programozta át e készülékeket, hogy azok speciális hitelkártyák behelyezésekor 5 dolláros bankjegyek helyett 20 dollárosokat adtak ki.
Barnaby Jack, az IOActive kutatója korábban úgy határozott, hogy elkezd foglalkozni az ATM-ek biztonságának felmérésével. Annak érdekében, hogy a vizsgálatait a lehető legkényelmesebb módon tudja elvégezni, vásárolt magának két banki automatát. Egy Triton és egy Tranax márkájút. Mivel az Amerikában sem éppen megszokott jelenség, hogy valaki otthonra ATM-eket vásárol, ezért a szakember el is újságolta, hogy amikor kiszállították számára a készülékeket, akkor a futár megkérdezte tőle, hogy miért van szüksége automatákra otthon. Jack erre annyit mondott: "Én csak nem csípem a tranzakciós díjakat…".
A konferencián a közönség érdeklődve nézte, hogy a kutató miként tud pénzt kinyerni az automatákból. Mint kiderült, ehhez nem volt szüksége különösebben bonyolult eszközökre, és pár perc alatt mindkét, Windows CE alapú berendezést térdre kényszerítette. A Tranax gyártmányú automata esetében sikeresen megkerült egy távoli hozzáférést szabályozó authentikációs folyamatot, majd a készülékre egy saját készítésű, Scrooge nevű rootkitet másolt fel. Emellett egy online menedzsment programot is kifejlesztett, amelynek segítségével tárolni tudta az ATM-en megadott adatokat. Az előadó egy látványos kísérlettel is előállt, amelynek keretében arra bírta rá az automatát, hogy az szó szerint kiszórja magából az összes pénzt, miközben a monitoron megjelenített egy "Jackpot" feliratot.
A Triton ATM a hónapokig tartó, Barnaby Jack féle ostromot jobban állta, legalábbis, ami a távoli hozzáféréses támadásokat illeti. Ez azonban nem szegte kedvét a kutatónak, hiszen rájött, hogy vásárolható olyan univerzális kulcs, amelynek segítségével minden nehézség nélkül lehet hozzáférni az automata legfontosabb hardvereit tartalmazó rekeszéhez. A bemutató során a szakember odasétált az ATM-hez, kinyitotta azt, majd feltöltötte a saját firmware kódját. Ezt követően már szabad volt előtte az út.
Fontos megjegyezni, hogy Barnaby Jack a sérülékenységeket már korábban jelezte a gyártóknak, és a fejlesztők mindkét készülék esetében orvosolták a biztonsági hibákat.
7 hozzászólás
Taníts mester!! :D
lol :D ehte magyar vagy barátom! ott a pont.
Tyűűű . . . . Azért azt de megnéztem volna, ahogy a bankautomata az össze bankó kihányja egy nagy nejlonszatyorba ! ! ! Brrrr. . . Még belegondolni is gyönyörűség ! ;-)
OTP-s automatához nincs ötlet? :D
Ezt én is szívesen megcsinálnám. Milyen poén lenne már megyek vásárolni bőröndökkel a bankautomatákhoz. :D Az biztos hogy jó ideig nem szűkölködnék anyagilag. :D Jackpotom lenne :D
Hát igen Gammadeus megnézted volna de csak akkor ha éppen az a te nejlonszatyrod lenne. :D Jó ötlet lenne dugig tömni magam pénzel nem bánnám ha eme technológiát és is tudnám és meg is valósíthatnám. :D
@Bicska ! . . . . . . Na még jó hogy csak akkor ! :-D . . . Pontosan azért néztem volna meg ! ;-)