Black Hat: эксперт представил эксплоиты для взлома банкоматов

На проходящей в Лас-Вегасе хакерской конференции Black Hat исследователь Барнаби Джек выступил с докладом, в ходе которого выяснилось, что огромное количество банковских терминалов и банкоматов уязвимо к физическим и удаленным атакам, позволяющим красть пароли администраторов, данные кредитных карт и, конечно же, наличность.

Эксперт наглядно продемонстрировал процесс эксплуатации двух уязвимых моделей банкоматов от двух крупнейших производителей. В первом случае была использована брешь в программном обеспечении для удаленного администрирования банкоматов фирмы Tranax Technologies. Взломав программу, Джек сумел установить руткит, который позволил ему получить пароли администраторов и номера PIN. Кроме того, исследователь заставил машину выдать кипу долларовых банкнот.

“Подход к производству банковских терминалов требует пересмотра, поскольку методы безопасной разработки при их конструировании не применяются. Компании, выпускающие банкоматы – это не Microsoft, они не имеют десятилетнего опыта непрекращающихся атак на свое ПО”, - заявил Барнаби Джек аудитории слушателей.

В ходе второй атаки специалист воспользовался для доступа к внутренним компонентам банкомата от Triton Systems ключом, который можно свободно купить через Интернет. Попав внутрь, эксперт установил в систему созданный им руткит, который был скопирован на устройство с USB-накопителя.

И Triton и Tranax уже закрыли возможности для эксплуатации продемонстрированных брешей, однако в ходе пресс-конференции Барнаби Джек сообщил, что он полностью уверен в своей способности обнаружить аналогичные зияющие уязвимости, в том числе – в банкоматах других производителей. “В каждом банкомате из тех, с которыми я имел дело, есть критическая уязвимость, позволяющая мне снять наличные”, - подчеркнул он.

Чтобы облегчить себе работу, Джек разработал набор эксплоитов, который он назвал Dillinger, по имени знаменитого грабителя банков Джона Диллинджера. Этот тулкит может быть использован для доступа к банкоматам, соединенным с телефонной сетью или сетью Интернет. После успешного проникновения в банкомат с помощью Dillinger в него устанавливался написанный экспертом руткит Scrooge.

По словам Барнаби Джека, банкоматы можно обнаружить, обзванивая большие диапазоны телефонных номеров или посылая особые запросы по IP-адресам. Те из них, которые привязаны к банкоматам, будут посылать ответы, которые хакерам не составит труда распознать.

30 июля, 2010

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

30.06.2025
Всё связать до 1 июля: «симку», биометрию, «Госуслуги»
30.06.2025
Нейросетям поставили задачу усовершенствовать бюджетный процесс
30.06.2025
Draugnet послужит демократизации отчётности по киберугрозам
30.06.2025
Россиян превращают в дропперов особо изощрённым способом
30.06.2025
Банк России сдал нулевой срез по цифровому рублю
30.06.2025
Половина безопасников хочет приостановить развёртывание GenAI
27.06.2025
«Корыстные цели и низкий уровень правовой культуры». Телеком-лицензии — только в чистые руки
27.06.2025
США опасаются усиления иранских кибератак после авиаударов
27.06.2025
«Можно было бы просто запретить импорт отдельных сегментов». «Аквариус» — о вечном
27.06.2025
ИИ позволяет бороться с телефонными мошенниками, сохраняя тайну связи

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных