Piątek 20 października 2017 Wydanie nr 3525

Bankomaty są słabo zabezpieczone

03.08.2010 / ebos/heise online Bankomaty są słabo zabezpieczone  

Po kliknięciu myszką przycisku Jackpot oprogramowaniu Dillinger jeden z automatów zaczął "wypluwać" banknoty, które chwilę potem piętrzyły się na stosie przez bankomatem.


Barnaby Jack podczas tegorocznej konferencji Black Hat przedstawił prezentację zatytułowaną "Jackpotting Automated Teller Machines", którą w ubiegłym roku jego niegdysiejszy pracodawca, firma Juniper Networks, wycofała po interwencji jednego z producentów automatów płatniczych.

Jack, który obecnie jest zatrudniony jako kierownik badań w IOActive Labs, pokazał rezultaty swoich działań na przykładzie dwóch wolno stojących bankomatów amerykańskich producentów Tranax i Triton: po kliknięciu myszką przycisku Jackpot w stworzonym przez niego oprogramowaniu Dillinger jeden z automatów zaczął "wypluwać" banknoty, które chwilę potem piętrzyły się na stosie przez bankomatem.

W automacie firmy Tranax Jack wykorzystał lukę w standardowo aktywowanych funkcjach zdalnej konserwacji, która pozwoliła mu na zdalne umieszczenie w urządzeniu zmodyfikowanego firmware'u bez odpytywania o hasło. Specjalista stworzył także rootkit o nazwie Scrooge. Jest on ukryty, dopóki nie wciśniemy na klawiaturze odpowiedniej sekwencji klawiszy albo nie wprowadzimy do automatu specjalnej karty magnetycznej.

Do maszyny firmy Triton Jackowi nie udało się włamać przez zewnętrzny interfejs. Odkrył on jednak, że chociaż kaseta z pieniędzmi jest dobrze zabezpieczona, to do sprzętu komputerowego bankomatu można uzyskać dostęp z użyciem ogólnego klucza. Za ten klucz Jack zapłacił w Internecie 10,78 dolara. Następnie wykorzystał spreparowaną pamięć USB i udało mu się zainstalować zmodyfikowany firmware.

Teoretycznie w ten sposób można zmanipulować także urządzeniami innych producentów. W wielu bankomatach stosowany jest Windows CE, który kontroluje dostęp do modułu wydawania banknotów za pomocą portu szeregowego.

Obaj producenci automatów już załatali luki w urządzeniach. Triton wzbogacił ofertę o wymienne zamki z indywidualnymi kluczami – ogłosił podczas konferencji wiceszef działu rozwoju firmy cytowany przez serwis CNET.

Inne artykuły

"Małe" Księgi Wieczyste

10.10.2017

Pracy urzędników wieczy­stoksięgowych nie można porównywać z pracą pracowni­ków wydziałów procesowych. Zgodnie z przepisami pracownicy tylko Wydziału Ksiąg Wieczystych mogą sporządzać projekty wpisów w księgach wie­czystych, czyli zajmują się...

Czy krycie suki psem, którego właściciel zapomniał zapłacić składki na ZKwP, jest wykroczeniem?

09.10.2017

Czy umowa na krycie suki psem, którego pani nie zapłaciła składek na ZKwP (Związek Kynologiczny w Polsce) jest ważna — no i czy taka sytuacja nie narusza ustawowego zakazu rozmnażania psów nierasowych? (wyrok Sądu Rejonowego w Wieluniu z 15 marca...

Gwizdanie zgodnie z duchem sportu

02.10.2017

Istotą bezstronnego rozstrzygania sporu jest równe traktowanie jego stron. Tę równość w założeniu ma zapewniać ścisłe uregulowanie procedury postępowania, czyli przepisów określających jak prowadzić należy postępowanie przed sądem. Dzięki...

Bądź na bieżąco

Subskrybuj nasz newsletter, a będziesz na bieżąco z nowymi ogłoszeniami i komunikatami;
o spadkach, zasiedzeniach nieruchomości, depozytach sądowych, terminach rozpraw, wyrokach.

Podaj swój e-mail i otrzymuj najnowsze ogłoszenia bezpośrednio na swoją skrzynkę pocztową.

Przesyłając swój adres e-mail, zgadzam się na przetwarzanie przez Fundację ProPublika - KRS 0000595424 - podanych przeze mnie danych osobowych (e-mail) w celu otrzymywania zamówionego Newslettera.
Przyjmuję do wiadomości, że podanie danych jest dobrowolne oraz że przysługuje mi prawo dostępu do ich treści oraz ich poprawiania.