hacker:HUNTER "Cashing In", Episode 1: Jackpotting
Barnaby Jack slog jackpotten på Black Hat på onsdagen. Två gånger.
Utnyttjande av buggar i två olika ATM-maskiner kunde forskaren från IOActive få dem att spita ut pengar på efterfrågan och spela in känslig data från korten från de som använde dem.
Han visade attackerna på två system som han hade köpt själv - typen av generiska ATM-maskiner som vanligtvis finns i barer och närbutiker. Kriminella har slagit den här typen av maskin i flera år, med hjälp av ATM-skummare för att spela in kortdata och PIN-nummer, eller i vissa fall helt enkelt dra upp en lastbil och hämta maskinerna bort.
[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows PC]Men enligt Jack finns det ett lättare, mycket mer alarmerande sätt att få pengarna ut. Kriminella kan ansluta till maskinerna genom att ringa upp dem - Jack tror att ett stort antal av dem har fjärrstyrningsverktyg som kan nås via en telefon - och sedan starta en attack.
Efter att ha experimenterat med sina egna maskiner utvecklade Jack ett sätt att kringgå fjärrautentiseringssystemet och installera en hemlagad rootkit, med namnet Scrooge, som låter honom åsidosätta maskinens firmware. Han utvecklade också ett onlinehanteringsverktyg som heter Dillinger, som kan hålla koll på kompromisserade maskiner och lagra data som stulits från personer som använder dem.
Kriminella kan hitta sårbara bankomater genom att använda programvaran med öppen källkod för att ringa hundratals av tusentals siffror, letar efter de som svarar genom att säga att de har den sårbara hanteringsprogramvaran installerad. Kriminella har redan använt en liknande teknik över Internet för att bryta sig in i sårbara försäljningssystem.
Jacks verktyg är bara bevis på konceptprogram, avsedd att visa hur sårbara maskinerna verkligen är, sa han. "Målet med samtalet är att gnida diskussioner om de bästa sätten att avhjälpa," sa han. "Det är dags att ge dessa enheter en översyn," sa Jack. "Företag som tillverkar enheterna är inte Microsoft. De har inte haft 10 år av ständiga attacker mot dem."
Maskinen Jack hackade var dock baserad på Microsofts operativsystem Windows CE.
I en dramatisk demonstration på scenen hos Black Hat, han anslöt sig till en bankomat och körde ett program som heter Jackpot som orsakade att bankomaterna spyttrade ut pengar medan de spelade en melodi och stänkte ordet "Jackpot" över maskinens skärm.
I en andra demonstration gick han upp till maskinen, öppnade den med en nyckel som han hade fått på Internet och installerade sin egen firmware. En enda standardnyckel kan öppna många olika typer av maskiner, sade han och presenterade ett annat allvarligt säkerhetsproblem. Jack hade planerat att leverera samtalet vid förra årets konferens, men det drogs efter ATM-leverantörerna bad om mer tid att lappa de frågor han hade upptäckt.
Robert McMillan täcker datasäkerhet och allmänt tekniskt brytande nyheter för
IDG News Service
. Följ Robert på Twitter på @bobmcmillan. Roberts e-postadress är [email protected]
Sedan iPhone lanserades för 15 månader sedan har det definierat, för många, vad en smartphone-upplevelse ska vara. Men idag ger T-Mobile iPhone en körning för sina pengar med lanseringen av G1-smarttelefonen. Från de detaljer som har uppstått idag om G1 har Apple nu en anledning att se över sin axel.
Här är en titt på hur G1 och iPhone jämför sig med varandra.
Perfekt PDF-editor ger det mesta av Acrobats kraft för mindre pengar
Denna Office 2007-stil PDF-redigerare täcker alla grunderna och är mycket billigare än Acrobat.
Viktiga lektioner att lära av den svarta hatten ATM Hack Den ATM hack som visas på Black Hat är imponerande på ett sensationellt sätt, men det är också håller viktiga lektioner för datasäkerhet i allmänhet.
En säkerhetsforskare som heter Barnaby Jack förvånad deltagare vid Black Hats säkerhetskonferens genom att hackat ATM-maskiner i en session med titeln "Jackpotting Automated Teller Machines Redux". Det finns några viktiga lärdomar att lära av hackarna, Jack, och de gäller mer än bara ATM-maskiner.