Car-tech

ATM Hack gir kontanter på forespørsel

Watch these hackers crack an ATM in seconds

Watch these hackers crack an ATM in seconds
Anonim

Barnaby Jack slo på jackpot på Black Hat onsdag. To ganger.

Utnyttelse av feil i to forskjellige ATM-maskiner, var forskeren fra IOActive i stand til å få dem til å spytte ut penger på etterspørsel og registrere sensitive data fra kortene til folk som brukte dem.

Han viste angrepene på to systemer han hadde kjøpt seg - typen generiske minibanker som vanligvis finnes i barer og nærbutikker. Kriminelle har slått denne typen maskin i årevis ved å bruke ATM-skimmere til å registrere kortdata og PIN-nummer, eller i noen tilfeller bare å trekke opp en lastebil og hente maskinen unna.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows PC]

Men ifølge Jack er det en enklere, mye mer alarmerende måte å få pengene på. Kriminelle kan koble seg til maskinene ved å ringe dem opp - Jack mener at mange av dem har fjernstyringsverktøy som kan nås via en telefon - og deretter starte et angrep.

Etter å ha eksperimentert med egne maskiner utviklet Jack en måte å omgå det eksterne godkjenningssystemet og installere en hjemmelaget rotkit, kalt Scrooge, som lar ham overstyre maskinens firmware. Han utviklet også et nettverksadministrasjonsverktøy, kalt Dillinger, som kan holde styr på kompromitterte maskiner og lagre data som er stjålet fra personer som bruker dem.

Kriminelle kan finne sårbare minibanker ved å bruke åpen kildekodekryssing-programvare for å ringe hundrevis tusenvis av tall, ser etter de som svarer ved å si at de har den sårbare administrasjonsprogramvaren installert. Kriminelle har allerede brukt en lignende teknikk over Internett for å bryte inn i sårbare salgssystemer.

Jacks verktøy er bare programvare for bevissthet, designet for å vise hvor utsatt maskinene egentlig er, sa han. «Målet med samtalet er å gnide diskusjon om de beste måtene å rette opp,» sa han. «Det er på tide å gi disse enhetene en overhaling,» sa Jack. "Bedrifter som produserer enhetene, er ikke Microsoft. De har ikke hatt 10 års kontinuerlige angrep mot dem."

Maskinene Jack hacked var imidlertid basert på Microsofts Windows CE-operativsystem.

I en dramatisk demonstrasjon på scenen på Black Hat, koblet han eksternt til en minibank og kjørte et program kalt Jackpot som førte til at minibankene spyttet ut penger, mens de spilte og spatte ordet "Jackpot" over maskinens skjerm.

I en andre demonstrasjon gikk han opp til maskinen, åpnet den med en nøkkel han hadde fått på internett, og installerte sin egen firmware. En enkelt standardnøkkel kan åpne mange forskjellige typer maskiner, sa han, og presenterte et annet alvorlig sikkerhetsproblem. Jack hadde planlagt å levere samtalen på fjorårets konferanse, men det ble trukket etter at minibankleverandører ba om mer tid til å lappe de problemene han hadde oppdaget.

Robert McMillan dekker datasikkerhet og generell teknologi som bryter nyheter for

IDG News Service

. Følg Robert på Twitter på @bobmcmillan. Roberts e-postadresse er [email protected]