211service.com
Kā nopelnīt bankomātu
Vakar, spilgtā prezentācijā Black Hat drošības konferencē Lasvegasā, datordrošības eksperts parādīja vairākus veidus, kā ielauzties bankomātos.

Džekpota iegūšana: Bārnabijs Džeks, IOActive pētniecības direktors, gatavo bankomātu demonstrācijai Black Hat konferencē Lasvegasā.
Bārnabijs Džeks, kurš ir pētniecības direktors IOActive Labs , lika naudu liet no automāta minūtes bezgala. Izpētījis četru dažādu uzņēmumu modeļus, viņš teica, ka katrā bankomātā, ko esmu apskatījis, esmu atradis ievainojamību “game over”, kas ļāva man iegūt skaidru naudu no automāta. Viņš pat ir identificējis uz internetu balstītu uzbrukumu, kuram nav nepieciešama fiziska piekļuve.
Tādai pašai runai bija jānotiek pagājušā gada Black Hat konferencē, taču tā tika izvilkta pēdējā brīdī. Savā prezentācijā, kurā netika atklāta precīza informācija par to, kā viņš veica uzbrukumus, Džeks nosauca divus pārdevējus — Triton un Tranax — un sacīja, ka ir sazinājies ar abiem par problēmu novēršanu.
Džeks demonstrēja uzbrukumus diviem bankomātiem, kurus viņš iegādājās tiešsaistē, un devās uz Lasvegasu no sava uzņēmuma galvenās mītnes Sanhosē. Aparatūras komplekts, ko viņš izmantoja demonstrācijā, maksāja mazāk nekā 100 USD.
Vienā savas prezentācijas daļā viņš demonstrēja veidu, kā zaglis var fiziski piekļūt Triton izgatavotajam bankomātam. Ierīces galveno shēmu jeb mātesplati aizsargā tikai durvis ar slēdzeni, kas ir salīdzinoši viegli atverams (Džeks atslēgu varēja iegādāties tiešsaistē). Pēc tam viņš izmantoja mātesplates USB portu, lai augšupielādētu savu programmatūru, kas mainīja ierīces displeju, atskaņoja melodiju un lika mašīnai izspļaut naudu.
Uzbrukums tika veikts arī Tranax ierīcei, kas paredzēta programmatūras jauninājumu pieņemšanai, izmantojot interneta tālruņa saiti. Džeks parādīja, ka iekārtas programmatūras ievainojamība ļāva viņam apiet tās autentifikācijas sistēmu un attālināti ielauzties.
Džeks teica, ka bankomātus iespējams atrast, izmantojot datoru, lai zvanītu uz vienu tālruņa numuru pēc otra; viņš dažu stundu laikā varēja atrast daudzas mašīnas, pārmeklējot 10 000 numuru apmaiņu. Pēc tam uzbrucējs var izmantot programmatūras ievainojamību, lai instalētu vadības programmatūru, kas pazīstama kā rootkit. Lai izņemtu naudu, uzbrucējs vēlāk apmeklēja bankomātu ar viltotu karti vai nozags informāciju no citiem lietotājiem.
Džeks mudināja ražotājus uzlabot fiziskās slēdzenes, kas aizsargā bankomātu mātesplates, un atspējot iespēju attālināti jaunināt programmaparatūru. Viņš arī ieteica rūpīgi pārskatīt ierīču kodu. Viņš teica, ka es vēlos mainīt veidu, kā cilvēki skatās uz ierīcēm, kas šķietami ir necaurlaidīgas.
Bobs Duglass, Triton inženierzinātņu viceprezidents, sacīja, ka uzņēmums ir izstrādājis aizsardzību pret Džeka uzbrukumu. Labojums tika izlaists pagājušā gada novembrī, taču Duglass nevarēja pateikt, cik procentu klientu to ir ieviesuši. Viņš piebilda, ka uzņēmums plāno pārskatīt savu kodu un pārdod bankomātus ar augstākas drošības bloķēšanas iespēju. Džeks sacīja, ka ir arī sazinājies ar Tranax par ievainojamībām, ko viņš atradis tās iekārtās.