Black Hat: эксперт представил эксплоиты для взлома банкоматов

На проходящей в Лас-Вегасе хакерской конференции Black Hat исследователь Барнаби Джек выступил с докладом, в ходе которого выяснилось, что огромное количество банковских терминалов и банкоматов уязвимо к физическим и удаленным атакам, позволяющим красть пароли администраторов, данные кредитных карт и, конечно же, наличность.

Эксперт наглядно продемонстрировал процесс эксплуатации двух уязвимых моделей банкоматов от двух крупнейших производителей. В первом случае была использована брешь в программном обеспечении для удаленного администрирования банкоматов фирмы Tranax Technologies. Взломав программу, Джек сумел установить руткит, который позволил ему получить пароли администраторов и номера PIN. Кроме того, исследователь заставил машину выдать кипу долларовых банкнот.

“Подход к производству банковских терминалов требует пересмотра, поскольку методы безопасной разработки при их конструировании не применяются. Компании, выпускающие банкоматы – это не Microsoft, они не имеют десятилетнего опыта непрекращающихся атак на свое ПО”, - заявил Барнаби Джек аудитории слушателей.

В ходе второй атаки специалист воспользовался для доступа к внутренним компонентам банкомата от Triton Systems ключом, который можно свободно купить через Интернет. Попав внутрь, эксперт установил в систему созданный им руткит, который был скопирован на устройство с USB-накопителя.

И Triton и Tranax уже закрыли возможности для эксплуатации продемонстрированных брешей, однако в ходе пресс-конференции Барнаби Джек сообщил, что он полностью уверен в своей способности обнаружить аналогичные зияющие уязвимости, в том числе – в банкоматах других производителей. “В каждом банкомате из тех, с которыми я имел дело, есть критическая уязвимость, позволяющая мне снять наличные”, - подчеркнул он.

Чтобы облегчить себе работу, Джек разработал набор эксплоитов, который он назвал Dillinger, по имени знаменитого грабителя банков Джона Диллинджера. Этот тулкит может быть использован для доступа к банкоматам, соединенным с телефонной сетью или сетью Интернет. После успешного проникновения в банкомат с помощью Dillinger в него устанавливался написанный экспертом руткит Scrooge.

По словам Барнаби Джека, банкоматы можно обнаружить, обзванивая большие диапазоны телефонных номеров или посылая особые запросы по IP-адресам. Те из них, которые привязаны к банкоматам, будут посылать ответы, которые хакерам не составит труда распознать.

30 июля, 2010

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.07.2025
«Национальный мессенджер» закрыл первый миллион
01.07.2025
МТС приготовила всем по маленькому «большому брату»
01.07.2025
NCSC заманивает компании к участию в программе, страдающей из-за недостатка интереса
01.07.2025
ruID как пред-«Госуслуги». Новый сервис для приезжающих в Россию
01.07.2025
«Лидеры рынка уже не ограничиваются точечными инструментами»
01.07.2025
К давлению на Apple подключилась даже нейтральная Швейцария
01.07.2025
АНБ и CISA хотят снизить уязвимость ПО с помощью TRACTORа
30.06.2025
Всё связать до 1 июля: «симку», биометрию, «Госуслуги»
30.06.2025
Нейросетям поставили задачу усовершенствовать бюджетный процесс
30.06.2025
Draugnet послужит демократизации отчётности по киберугрозам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных