Zbiór przepisów prawnych i zasad postępowania:

Wiadomości i artykuły rss

2010-08-03 , ebos/heise online
Po kliknięciu myszką przycisku Jackpot oprogramowaniu Dillinger jeden z automatów zaczął "wypluwać" banknoty, które chwilę potem piętrzyły się na stosie przez bankomatem.








Barnaby Jack podczas tegorocznej konferencji Black Hat przedstawił prezentację zatytułowaną "Jackpotting Automated Teller Machines", którą w ubiegłym roku jego niegdysiejszy pracodawca, firma Juniper Networks, wycofała po interwencji jednego z producentów automatów płatniczych.

Jack, który obecnie jest zatrudniony jako kierownik badań w IOActive Labs, pokazał rezultaty swoich działań na przykładzie dwóch wolno stojących bankomatów amerykańskich producentów Tranax i Triton: po kliknięciu myszką przycisku Jackpot w stworzonym przez niego oprogramowaniu Dillinger jeden z automatów zaczął "wypluwać" banknoty, które chwilę potem piętrzyły się na stosie przez bankomatem.

W automacie firmy Tranax Jack wykorzystał lukę w standardowo aktywowanych funkcjach zdalnej konserwacji, która pozwoliła mu na zdalne umieszczenie w urządzeniu zmodyfikowanego firmware'u bez odpytywania o hasło. Specjalista stworzył także rootkit o nazwie Scrooge. Jest on ukryty, dopóki nie wciśniemy na klawiaturze odpowiedniej sekwencji klawiszy albo nie wprowadzimy do automatu specjalnej karty magnetycznej.

Do maszyny firmy Triton Jackowi nie udało się włamać przez zewnętrzny interfejs. Odkrył on jednak, że chociaż kaseta z pieniędzmi jest dobrze zabezpieczona, to do sprzętu komputerowego bankomatu można uzyskać dostęp z użyciem ogólnego klucza. Za ten klucz Jack zapłacił w Internecie 10,78 dolara. Następnie wykorzystał spreparowaną pamięć USB i udało mu się zainstalować zmodyfikowany firmware.

Teoretycznie w ten sposób można zmanipulować także urządzeniami innych producentów. W wielu bankomatach stosowany jest Windows CE, który kontroluje dostęp do modułu wydawania banknotów za pomocą portu szeregowego.

Obaj producenci automatów już załatali luki w urządzeniach. Triton wzbogacił ofertę o wymienne zamki z indywidualnymi kluczami – ogłosił podczas konferencji wiceszef działu rozwoju firmy cytowany przez serwis CNET.
Źródło :
Podziel się informacją o nas na Facebook`u:
Jak zlecić publikację
ogłoszenia sądowego?
Zawód: osadzony
Wychodząc na wolność po odsiedzeniu kolejnego wyroku często mówią, że idą na przerwę w karze. To (...)
Telefon komórkowy. Oglądamy czy przeszukujemy?
Zatrzymanie danych informatycznych oraz przeszukanie urządzenia zawierającego dane lub systemu informatycznego jako czynności procesowe do procedury (...)
1/570