Møder du en pengeautomat, som umotiveret står og sprøjter sedler ud på gaden, er det nok bare en hacker, som muntrer sig hjemme fra kontoret.
At det er muligt at få en pengeautomat til at gå amok, selv på afstand, blev demonstreret onsdag aften på sikkerhedskonferencen Black Hat i Las Vegas, skriver Cnet.com.
Her fik pengeautomat-hackeren Barnaby Jack fra firmaet IOactive lov til at vise sin kunnen, efter han fik forbud mod at gå på scenen fra sin daværende arbejdsgiver, Juniper Networks, sidste år, på grund af klager fra producenterne af hæveautomater.
Forberedelserne har taget flere år og begyndte, da han via internettet indkøbte fire forskellige pengeautomater af den type, der står i butikscentre og altså ikke er muret ind i muren ved en bankfilial. Alle fire fik han efter nøje studier knækket i en grad, så der var nærmest frit spil.
Maskinerne kører typisk med Windows CE på en ARM-processorer og er tilsluttet internettet, og ved at afbryde boot-forløbet kunne han få fuld adgang til alle data i maskinen og finde svaghederne.
Resultatet var blandt andet, at han kan kontakte en hæveautomat via internettet og uden at kende eller knække kodeordet få fuld kontrol over den. En mere praktisk mulighed var at inficere software i maskinen, så et bestemt hævekort ville få automaten til at vælte penge ud som en enarmet tyveknægt.
For at understrege, hvad han kunne, fik Barnaby Jack også de to automater, han havde på scenen, til at vise ordet 'jackpot' på skærmen og spille musik, mens det væltede ud med dollar-sedler.
Den ene type pengeautomat var dog ikke modtagelig for angreb på afstand, men til gengæld var det nemt at komme ind og rode med computeren rent fysisk, selvom den var i et aflåst og godt beskyttet rum i automaten. Nøglen derind til var nemlig en standard-model, der kunne købes via internettet for 60 kroner, og så var det en smal sag at opgradere softwaren på maskinen til en inficeret version.
Hackeren har sørget for at give producenterne besked om de sikkerhedshuller, han har fundet, så de er alle lappet nu. Men da disse isolerede hæveautomater bestyres af butiksejere og andre ikke-bankfolk, er der en risiko for, at mange af dem ikke er fuldt opdaterede.
De små programmer, han har udviklet til at få magt over hæveautomaterne, vil han i øvrigt heller ikke offentliggøre eller dele ud af. Formålet med demonstrationen var først og fremmest at få producenterne af automaterne til at stramme op på sikkerheden.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
