Geldautomaat 'on stage' gekraakt
Dat lijkt de conclusie van een demonstratie van beveiligingsonderzoeker Barnaby Jack. Tijdens de Black Hat-conferentie toonde hij tijdens zijn presentatie, hoe hij de controle over een geldautomaat kon verkrijgen. Het meest spectaculaire onderdeel van zijn presentatie was het moment waarop de ‘Automated Teller Machine’, oftewel ATM, bankbiljetten begon te spuwen. Maar de mogelijkheid om gegevens van nietsvermoedende pinners te registreren is vermoedelijk wel zo lucratief.
Shutterstock
Shutterstock
Jack gebruikte voor zijn demonstratie twee verschillende losstaande ATM’s, van het type dat je vindt in winkels en bij benzinestations. Voor het kraken van de geldautomaten heeft hij twee softwaretools geschreven. Een daarvan – vernoemd naar de Amerikaanse bankrover Dillinger – zoekt de zwakke plek in de toegang tot een ATM. Als die is gevonden, installeert Jack Scrooge, een rootkit die hem ongemerkt toegang biedt tot het systeem. Dat laatste kan via het toetsenbordje, met een speciale nummervolgorde, met een speciaal gepareerde kaart, en eventueel ook via de mobiele telefoon.
De ATM’s die hij op het podium kraakte, zijn geproduceerd door Tranax en Triton. Het gaat daarbij wel om oudere modellen. Jackson zou zijn presentatie aanvankelijk vorig jaar al geven, maar stelde die toen onder druk van Tranax en Triton uit. Dat gaf de producenten de tijd om de zwakke plekken te patchen. Jack claimt dat hij hetzelfde kunstje ook bij twee andere merken ATM’s heeft uitgehaald. Hij noemde geen namen, maar ook in die gevallen gaat het om losstaande automaten.
Of ook ingebouwde automaten kwetsbaar zijn, is twijfelachtig. Bij zijn kraken maakte Jack gebruik van kwetsbaarheden in de combinatie van ARM-processor, Windows Embedded CE en de internettoegang van die machines. Bij ingebouwde machines zal met name die internettoegang beter beveiligd zijn.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee