Hacker fik pengeautomat til at sprøjte sedler ud
Møder du en pengeautomat, som umotiveret står og sprøjter sedler ud på gaden, er det nok bare en hacker, som muntrer sig hjemme fra kontoret.
At det er muligt at få en pengeautomat til at gå amok, selv på afstand, blev demonstreret onsdag aften på sikkerhedskonferencen Black Hat i Las Vegas, skriver Cnet.com.
Her fik pengeautomat-hackeren Barnaby Jack fra firmaet IOactive lov til at vise sin kunnen, efter han fik forbud mod at gå på scenen fra sin daværende arbejdsgiver, Juniper Networks, sidste år, på grund af klager fra producenterne af hæveautomater.
Forberedelserne har taget flere år og begyndte, da han via internettet indkøbte fire forskellige pengeautomater af den type, der står i butikscentre og altså ikke er muret ind i muren ved en bankfilial. Alle fire fik han efter nøje studier knækket i en grad, så der var nærmest frit spil.
Maskinerne kører typisk med Windows CE på en ARM-processorer og er tilsluttet internettet, og ved at afbryde boot-forløbet kunne han få fuld adgang til alle data i maskinen og finde svaghederne.
Resultatet var blandt andet, at han kan kontakte en hæveautomat via internettet og uden at kende eller knække kodeordet få fuld kontrol over den. En mere praktisk mulighed var at inficere software i maskinen, så et bestemt hævekort ville få automaten til at vælte penge ud som en enarmet tyveknægt.
For at understrege, hvad han kunne, fik Barnaby Jack også de to automater, han havde på scenen, til at vise ordet 'jackpot' på skærmen og spille musik, mens det væltede ud med dollar-sedler.
Den ene type pengeautomat var dog ikke modtagelig for angreb på afstand, men til gengæld var det nemt at komme ind og rode med computeren rent fysisk, selvom den var i et aflåst og godt beskyttet rum i automaten. Nøglen derind til var nemlig en standard-model, der kunne købes via internettet for 60 kroner, og så var det en smal sag at opgradere softwaren på maskinen til en inficeret version.
Hackeren har sørget for at give producenterne besked om de sikkerhedshuller, han har fundet, så de er alle lappet nu. Men da disse isolerede hæveautomater bestyres af butiksejere og andre ikke-bankfolk, er der en risiko for, at mange af dem ikke er fuldt opdaterede.
De små programmer, han har udviklet til at få magt over hæveautomaterne, vil han i øvrigt heller ikke offentliggøre eller dele ud af. Formålet med demonstrationen var først og fremmest at få producenterne af automaterne til at stramme op på sikkerheden.
Kommentarer (5)
Det han netop har gjort, er det ikke Whitehat?
Ja, det kan du egentlig have ret i... Det gøres jo åbenlyst som PoC, ikke i det skjulte med kriminalitet for øje
-
0 -
0
Konferencen som denne demonstration blev udført ved, kaldes for Black Hat og det er som regel créme de la créme aka det nyeste af det nyeste (eller det bedste af det bedste) der bliver fremvist, demonstreret og præsenteret på den konference.
Black Hat har formentlig altid fundet sted i Las Vegas hvert år siden 1997, men også ved andre lokationer senere hen i løbet af årene: http://blackhat.com/
Jeg giver dog ret I, at eftersom han ikke har frigivet alle detaljerne er det langt fra Grayhat/Greyhat eller Blackhat.
Selve "blackhat" betegnelsen dækker dog oftest over illegale aktiviteter som foregår på Internettet af ondsindede hackere, der oftest men ikke altid arbejder i kriminelle grupper herunder større enheder.
-
0
-
0
Så er det jo godt at hæveautomaterne i Danmark er koblet op på lukkede netværk og ikke på den måde er hooket på internettet, således at de først lige skal finde en svaghed på en maskine der rent faktisk har muligheden for at hooke på begge, for at kunne lave det her stunt.
-
0
-
0
Så er det måske lidt lettere i Rusland. Du aner ikke hvor mange af den slags automater jeg har set med en lille wifi antenne på taget.
-
0
-
0
