Hekerski napadi na bankomate

Na BlackHat konferenci prejšnji teden v Las Vegasu je po poročanju medijev največ zanimanja požel prikaz napada na bančne avtomate.

Barnaby Jack je namreč prikazal dva napada na bančne avtomate. Prvi napad zahteva fizični dostop: bančni avtomat (proizvajalca Triton) je potrebno odpreti (vsi bančni avtomati tega proizvajalca uporabljajo isti ključ) in vanj vtakniti USB ključek z zlonamerno programsko opremo. Drugi napad (na avtomat proizvajalca Tranax) pa je mogoč kar preko omrežja. Na obeh sistemih teče operacijski sistem Windows CE. Triton je sicer lansko leto že izdal popravek, ki omogoča samo poganjanje digitalno podpisane programske opreme, tako da ta napad na posodobljenih napravah ni več mogoč.

Oddaljeni dostop na sistemu Tranax seveda zahteva poznavanje IP naslova ali klicne številke bankomata, po mnenju Barnaby pa je v ZDA 95% bankomatov povezanih preko klicne povezave. Klicne številke je mogoče ugotoviti s pomočjo tim. wardialinga.

S pomočjo oddaljenega dostopa in programa za oddaljeno upravljanje bankomata je Barnaby na okuženi bančni avtomat uspel naložiti zlonamerni program Scrooge, s pomočjo katerega si je mogoče izplačati poljubno vsoto denarja. V primeru, da napadalec v bankomat vtipka ustrezno geslo oziroma vanj vstavi posebej prirejeno bančno kartico, ga Scrooge prepozna in mu ponudi dodatno možnost za izplačilo v meniju.

Barnaby je napad na konferenci prikazal v živo in sicer tako, da je enemu izmed demonstracijskih bankomatov posredoval ukaz za izplačilo 50 bankovcev.

Mimogrede, iz lanskega leta je znan primer iz Rusije, ko so zlikovci na 20 bankomatov proizvajalcev Diebold in NCR namestili podobno zlonamerno programsko opremo. Na bankomatih je tekel operacijski sistem Windows Xp, v začetku tega leta pa so v ZDA odkrili nekoga, ki je podobno zlonamerno programsko opremo prav tako nameščal na bankomate. Po mnenju Barnabya je mogoče najti resne ranljivosti v vseh bankomatih. Barnaby se sicer z napadi na tim. embedded sisteme ukvarja že dlje časa. Lansko leto je bila sicer njegova predstavitev ranljivosti v bančnih avtomatih zaradi pritiskov neimenovanega proizvajalca bančnih avtomatov odpovedana.