Berta Sándor
Kiadják a pénzt a feltört bankautomaták
Barnaby Jack az idei Black-Hat Konferencia egyik legnagyobb szenzációját okozta, amikor életre keltett két ATM-et.
Az IOActive Labs kutatásvezetőjeként dolgozó szakember Jackpotting Automated Teller Machines Redux című előadásában azt mutatta be, hogy - a Terminátor 2 című filmben látható jelenethez hasonlóan - miként vehetők rá a feltört bankautomaták arra, hogy pénzt kezdjenek kiadni. A két áldozat a Tranax és a Triton amerikai gyártók egy-egy készüléke volt. A nézők megdöbbentek, amikor Jack megnyitotta a Dillinger nevű saját fejlesztésű szoftverét, majd egyetlen klikkelésre az első berendezés elkezdte kiadni a bankjegyeket.
A szakember a Tranax ATM-jeinek esetében az aktivált távoli karbantartási funkció biztonsági rését használta ki, amely lehetővé tette a számára, hogy - jelszó megadása nélkül - egy módosított firmware-t juttasson a távolból az eszköz rendszerébe. Jack ezenkívül kifejlesztett egy Scrooge nevű rootkitet, amely egészen addig észrevehetetlen, amíg a működtető be nem ad egy speciális billentyűkombinációt vagy egy meghatározott mágneskártyát nem tesz az ATM-be. A bankjegyek kiadása közben egyébként folyamatosan a Jackpot szó volt látható.
A Triton bankautomatájánál más volt a helyzet, abba ugyanis a biztonsági tesztelő nem tudott kívülről bejutni. Ehelyett felfedezte, hogy ugyan a trezoregységet jól védik, de a hardverrészek egy főkód segítségével elérhetők. Ezért a kódért 10,78 dollárt fizetett a világhálón, majd egy pendrive segítségével és a kód felhasználásával sikerült egy módosított firmware-t bejuttatnia a rendszerbe.
Jack közölte, hogy elvileg más gyártók termékeit is fel lehet törni ilyen módszerrel, mivel sok ATM-ben Windows CE-t használnak operációs rendszerként. A Tranax és a Triton azonnal befoltozta a biztonsági réseket. Utóbbi cég vezérigazgatója a CNET-nek úgy nyilatkozott, hogy a hasonló helyzetek elkerülésére egyedi cserekódokat fognak kínálni ügyfeleiknek. Az IOActive Labs kutatásvezetője ugyanakkor reményét fejezte ki, hogy sikerül megváltoztatnia az emberek és a cégek szemléletmódját, s rámutatnia, hogy az ATM-k nem csak kívülről, hanem belülről is feltörhetők.
Az IOActive Labs kutatásvezetőjeként dolgozó szakember Jackpotting Automated Teller Machines Redux című előadásában azt mutatta be, hogy - a Terminátor 2 című filmben látható jelenethez hasonlóan - miként vehetők rá a feltört bankautomaták arra, hogy pénzt kezdjenek kiadni. A két áldozat a Tranax és a Triton amerikai gyártók egy-egy készüléke volt. A nézők megdöbbentek, amikor Jack megnyitotta a Dillinger nevű saját fejlesztésű szoftverét, majd egyetlen klikkelésre az első berendezés elkezdte kiadni a bankjegyeket.
A szakember a Tranax ATM-jeinek esetében az aktivált távoli karbantartási funkció biztonsági rését használta ki, amely lehetővé tette a számára, hogy - jelszó megadása nélkül - egy módosított firmware-t juttasson a távolból az eszköz rendszerébe. Jack ezenkívül kifejlesztett egy Scrooge nevű rootkitet, amely egészen addig észrevehetetlen, amíg a működtető be nem ad egy speciális billentyűkombinációt vagy egy meghatározott mágneskártyát nem tesz az ATM-be. A bankjegyek kiadása közben egyébként folyamatosan a Jackpot szó volt látható.
A Triton bankautomatájánál más volt a helyzet, abba ugyanis a biztonsági tesztelő nem tudott kívülről bejutni. Ehelyett felfedezte, hogy ugyan a trezoregységet jól védik, de a hardverrészek egy főkód segítségével elérhetők. Ezért a kódért 10,78 dollárt fizetett a világhálón, majd egy pendrive segítségével és a kód felhasználásával sikerült egy módosított firmware-t bejuttatnia a rendszerbe.
Jack közölte, hogy elvileg más gyártók termékeit is fel lehet törni ilyen módszerrel, mivel sok ATM-ben Windows CE-t használnak operációs rendszerként. A Tranax és a Triton azonnal befoltozta a biztonsági réseket. Utóbbi cég vezérigazgatója a CNET-nek úgy nyilatkozott, hogy a hasonló helyzetek elkerülésére egyedi cserekódokat fognak kínálni ügyfeleiknek. Az IOActive Labs kutatásvezetője ugyanakkor reményét fejezte ki, hogy sikerül megváltoztatnia az emberek és a cégek szemléletmódját, s rámutatnia, hogy az ATM-k nem csak kívülről, hanem belülről is feltörhetők.