Kariera

Prepričajte bankomat, da vam bo denar podaril

Tony Carter

04. 08. 2010 15.30

Na konferenci o varnosti računalniških sistemov Black Hat so v okviru izobraževalnih delavnic predstavili tudi vdiranje v sisteme bankomatov, s katerimi so pokazali in dokazali ranljivost tovrstnih sistemov, saj je prirejen bankomat poslušno izplačal denar, ki ga nikakor ne bi smel.

Vsakoletna Black Hat konferenca, ki je pred dnevi potekala v Las Vegasu, sicer ni namenjena izobraževanju novih hekerjev, saj se ti načeloma izobražujejo drugače in drugje, tukaj gre za srečanja strokovnjakov, ki naj bi tovrstna dejanja preprečili, a predstavitve niso zato nič manj zanimive.

Za najbolj zanimivo in odmevno predstavitev je poskrbel Jack Barnaby, vodja raziskovalnega oddelka pri podjetju IOActive Labs, ki se ukvarja z odkrivanjem in odpravljanjem hekerskih groženj, med njihovimi uporabniki storitev so tudi veliki poslovni sistemi, multinacionalke in finančne ter bančne skupine.

Prikazali so dva napada na bankomate. Prvi pristop zahteva fizični dostop do bankomata, kar bi v teoriji zlahka uspelo oskrbniku bankomata. Prikazan je bil napad na bankomat proizvajalca Triton, ki ga je potrebno odpreti, zanimivo pa je, da prav vsi bankomati tega proizvajalca uporabljajo isti ključ.

Oglejte si gornji VIDEOPOSNETEK, v katerem so napadenemu bankomatu posredovali ukaz za izplačilo 50 bankovcev.

Vanj je potrebno le vtakniti USB ključek, ki vsebuje prirejeno in zlonamerno programsko opremo, nato pa lahko preko skritega menuja izmolzemo več denarja, kot bi ga smeli ali pa bankomat za naš dvig bremeni račun drugega uporabnika, ki je uporabil bankomat pred nami.

Podjetje Triton je sicer že izdalo popravek oziroma nadgradnjo programske opreme, ki omogoča samo poganjanje digitalno podpisane programske opreme in uporabo certifikatov, tako da tovrstni napad na tak način na posodobljenih napravah ni več mogoč.

Na drugi bankomat proizvajalca Tranax so izvedli drugačen napad, saj fizični dostop ni bil potreben, napad so izvedli kar preko omrežja. Oddaljeni način dostopa seveda zahteva poznavanje IP naslova ali klicne številke bankomata, strokovnjaki menijo da je v ZDA kar 95% bankomatov povezanih preko klicne povezave oziroma telefonskega omrežja. Klicne številke je mogoče ugotoviti s pomočjo wardialinga, torej bolj ali manj nelegalnemu poseganju v telefonski sistem.

S pomočjo oddaljenega dostopa in zlahka podtaknjenega programa za oddaljeno upravljanje bankomata je Barnaby na napaden bankomat uspel naložiti zlonamerni program z imenom Scrooge (po naše bi mu lahko rekli "Stric Skopušnik"), s pomočjo katerega si je nato izplačal poljubno vsoto denarja.

Na ukaz oziroma v primeru, ko napadalec v tak bankomat vtipka ustrezno geslo ali vanj vstavi posebej prirejeno bančno kartico, ga program Scrooge prepozna in mu veselo ponudi dodatno možnost za izplačilo v meniju.

Tovrstni napadi oziroma zlorabe bankomatov se dogajajo tudi dejansko, saj so lani v Rusiji in v Združenih državah Amerike premeteni hekerji na okoli 20 bankomatov proizvajalcev Diebold in NCR namestili podobno zlonamerno programsko opremo, programska oprema je tekla na operacijskem sistemu Windows XP. Strokovnjaki, med njimi demonstrator Jack Barnaby menijo, da je mogoče najti in tudi izkoristiti resne ranljivosti v vseh bankomatih.

Zlorabljeni bankomati lahko dvige nekoga drugega pripišejo na vaš račun!

Dodajmo še, da so omenjene slabosti znane že dolgo časa, lansko leto pa so na konferenci Black Hat predstavitev ranljivosti bankomatov odpovedali, neuradno zaradi hudih pritiskov enega izmed proizvajalcev bančnih avtomatov.

In da ne bo vse črno, oglejte si še najbolj osamljen, a popolnoma delujoč bankomat na svetu, ki se nahaja nikjer drugje kot na oddaljeni in skoraj zapuščeni Antarktiki.

UI Vsebina ustvarjena brez generativne umetne inteligence.

bankomat banka denar heker hacker računalnik napad tony