ATM-hack geeft cash-on-demand

Door bugs uit te buiten in twee verschillende geldautomaten, kon de onderzoeker van IOActive ervoor zorgen dat ze op verzoek geld spuwden en gevoelige gegevens van de kaarten van mensen die ze gebruikten, opsloegen.

Hij toonde de aanvallen op twee systemen die hij zelf had aangeschaft - het type generieke geldautomaten dat meestal in bars en buurtwinkels te vinden is. Criminelen slaan dit soort machines al jaren op, met behulp van ATM-skimmers om kaartgegevens en pincodes op te slaan, of in sommige gevallen gewoon een vrachtwagen op te tillen en de machines weg te slepen.

[Lees meer: ​​Hoe u malware van uw computer verwijdert Windows-pc]

Maar volgens Jack is er een gemakkelijkere, veel meer alarmerende manier om het geld eruit te krijgen. Criminelen kunnen verbinding maken met de machines door ze in te toetsen - Jack gelooft dat een groot aantal van hen externe beheertools heeft die via een telefoon kunnen worden gebruikt - en start vervolgens een aanval.

Na te hebben geëxperimenteerd met zijn eigen machines, ontwikkelde Jack een manier om het externe authenticatiesysteem te omzeilen en een zelfgemaakte rootkit te installeren, genaamd Scrooge, waarmee hij de firmware van het apparaat kan overschrijven. Hij ontwikkelde ook een online managementtool, genaamd Dillinger, die gecompromitteerde machines kan bijhouden en gegevens kan opslaan die zijn gestolen van mensen die ze gebruiken.

Jack's tools zijn gewoon proof-of-concept-software, ontworpen om te laten zien hoe kwetsbaar de machines werkelijk zijn, zei hij. "Het doel van het gesprek is om discussies op gang te brengen over de beste manieren om te remediëren," zei hij.

"Het is tijd om deze apparaten een revisie te geven," zei Jack. "Bedrijven die de apparaten maken, zijn geen Microsoft, ze hebben geen 10 jaar aanhoudende aanvallen op hen gehad."

De machines die Jack had gehackt, waren echter gebaseerd op Microsoft's Windows CE-besturingssysteem.

In een dramatische demonstratie op het podium bij Black Hat, hij verbond op afstand met een geldautomaat en voerde een programma genaamd Jackpot uit dat ervoor zorgde dat de geldautomaten geld spuugden, terwijl ze een deuntje speelden en het woord "Jackpot" over het scherm van de machine spetterden.

In een tweede demo liep hij naar de machine, opende deze met een sleutel die hij op het internet had verkregen en installeerde zijn eigen firmware. Een enkele standaardsleutel kan vele verschillende soorten machines openen, zei hij, die een ander ernstig beveiligingsprobleem vertoonden.

Jack was van plan het gesprek op de conferentie van vorig jaar te houden, maar het werd getrokken nadat ATM-leveranciers om meer tijd vroegen om te patchen de problemen die hij had ontdekt. ​​

Robert McMillan behandelt computerbeveiliging en algemeen nieuws over technologie voor

The IDG News Service

. Volg Robert op Twitter op @bobmcmillan. Het e-mailadres van Robert is [email protected]