Computerbeveiligingsexperts van alle soorten - van hackers, crackers en phreaks tot beveiligingsonderzoekers en wetshandhavers - zijn vorige week op Las Vegas afgedaald voor de jaarlijkse Black Hat- en DefCon-beveiligingsconferenties. Het is waarschijnlijk geen toeval dat een aanvaller vorige week ook koos om nep-geldautomaten in Las Vegas te planten in een poging om account- en pincode-informatie te verzamelen en geld te verdienen aan besmette accounts.
Misschien zag de aanvaller het als een persoonlijke uitdaging om " hack de hackers "en test of deze veiligheidshobbyisten en experts een poging konden detecteren om de wol voor hun ogen te trekken. Het ironische is dat er een presentatie gepland was om op Blackhat te worden afgeleverd door Barnaby Jack van Juniper met betrekking tot het misbruiken van een fout in bepaalde geldautomaten, maar de presentatie werd geannuleerd op verzoek van een pinautomaat.
[Meer informatie: Hoe om malware van uw Windows-pc te verwijderen]
De presentatie was gericht op het misbruiken van zwakke plekken op apparaten met het Windows CE-besturingssysteem. Veel geldautomaten vertrouwen op het Windows CE-besturingssysteem, dus het publiekelijk onthullen van de hack kan ernstige gevolgen hebben gehad. Juniper's directeur van zakelijke relaties op sociale media, Brendan Lewis, schreef een bericht op Juniper's officiële blog met de volgende woorden: "Openbaar maken van de onderzoeksresultaten voordat de getroffen leverancier de blootstelling op de juiste manier kon beperken, zou mogelijk hun klanten in gevaar hebben gebracht. Dat is iets wat we niet willen dat het gebeurt. "Dat lijkt heel altruïstisch voor Juniper en Barnaby Jack, aangezien Juniper de verkoper meer dan acht maanden geleden op de hoogte bracht van de kwetsbaarheid. was een zero-day exploit of een plotselinge schok voor de verkoper.Het annuleren van de presentatie voorkomt dat het gebrek bekend wordt bij het publiek, maar het feit dat ze het hebben kunnen vinden en dat beïnvloedt dat systemen kwetsbaar zijn gedurende meer dan acht maanden suggereert dat het is ook mogelijk dat anderen met meer dubieuze morele vezels de fout misschien ook zijn tegengekomen en er actief gebruik van maken. Helaas is de kwetsbaarheid waarschijnlijk ook geen geïsoleerd of uniek incident. In een recent interview een manager van Trustwave, een leverancier van beveiligings- en nalevingsservices die ATM, kiosk en point-of-sale (POS) -terminals voor beveiliging beoordeelt, werd geciteerd als: "Het komt zeer, zeer zelden voor dat een apparaat naar onze laboratoria komt - sterker nog, ik doe het niet" ik denk dat het gelukkiger is ened - dat we geen kwetsbaarheid vinden. "
Tony Bradley is een informatiebeveiligings- en unified communications-expert met meer dan een decennium aan IT-bedrijfservaring. Hij geeft tips, adviezen en recensies over informatiebeveiliging en unified communications-technologieën op zijn site op tonybradley.com
