Atak na bankomaty

Barnaby Jack z IOActive Labs, pokaza艂 na konferencji Black Hat w jaki spos贸b mo偶na zmusi膰 bankomaty do wyp艂acenia nieuprawnionej osobie dowolnej ilo艣ci got贸wki. Ekspert zademonstrowa艂 dwa typy ataku na zakupione przez siebie przez internet dwa bankomaty. Jeden atak wymaga艂 fizycznego dost臋pu do maszyny, drugi zosta艂 przeprowadzony zdalnie. "Ka偶dy bankomat, kt贸ry bada艂em, zawiera艂 b艂膮d pozwalaj膮cy na wyp艂acenie pieni臋dzy" - stwierdzi艂 Barnaby Jack po swoim pokazie.

M臋偶czyzna poinformowa艂, 偶e przeanalizowa艂 bankomaty czterech producent贸w. Dwa z nich zabra艂 ze sob膮 na Black Hat. Oba korzysta艂y z systemu Windows CE.

Podczas pierwszego z pokaz贸w Jack wykorzysta艂... klucz, kt贸ry kupi艂 w Internecie za 10 dolar贸w. Klucz ten otwiera bankomat, a dzi臋ki temu mo偶liwe by艂o pod艂膮czenie do p艂yty g艂贸wnej urz膮dzenia klipsu USB z odpowiednio spreparowanym oprogramowaniem.

Drugi atak zosta艂 przeprowadzi艂 za pomoc膮 stworzonego przez siebie oprogramowania "Dilinger", kt贸re wykorzystuje b艂膮d w oprogramowaniu odpowiedzialnym za monitorowanie procesu uwierzytelniania si臋. Dzi臋ki niemu zainstalowa艂 rootkita o nazwie "Scrooge".

Zaatakowane maszyny wyprodukowa艂y firmy Triton i Tranax. Pierwsza z nich zastosowa艂a ju偶 dodatkowe zabezpieczenia, uniemo偶liwiaj膮ce instalowanie w bankomacie oprogramowania bez cyfrowego podpisu.

殴r贸d艂o:
ArcaBit