Black Hat: эксперт представил эксплоиты для взлома банкоматов

На проходящей в Лас-Вегасе хакерской конференции Black Hat исследователь Барнаби Джек выступил с докладом, в ходе которого выяснилось, что огромное количество банковских терминалов и банкоматов уязвимо к физическим и удаленным атакам, позволяющим красть пароли администраторов, данные кредитных карт и, конечно же, наличность.

Эксперт наглядно продемонстрировал процесс эксплуатации двух уязвимых моделей банкоматов от двух крупнейших производителей. В первом случае была использована брешь в программном обеспечении для удаленного администрирования банкоматов фирмы Tranax Technologies. Взломав программу, Джек сумел установить руткит, который позволил ему получить пароли администраторов и номера PIN. Кроме того, исследователь заставил машину выдать кипу долларовых банкнот.

“Подход к производству банковских терминалов требует пересмотра, поскольку методы безопасной разработки при их конструировании не применяются. Компании, выпускающие банкоматы – это не Microsoft, они не имеют десятилетнего опыта непрекращающихся атак на свое ПО”, - заявил Барнаби Джек аудитории слушателей.

В ходе второй атаки специалист воспользовался для доступа к внутренним компонентам банкомата от Triton Systems ключом, который можно свободно купить через Интернет. Попав внутрь, эксперт установил в систему созданный им руткит, который был скопирован на устройство с USB-накопителя.

И Triton и Tranax уже закрыли возможности для эксплуатации продемонстрированных брешей, однако в ходе пресс-конференции Барнаби Джек сообщил, что он полностью уверен в своей способности обнаружить аналогичные зияющие уязвимости, в том числе – в банкоматах других производителей. “В каждом банкомате из тех, с которыми я имел дело, есть критическая уязвимость, позволяющая мне снять наличные”, - подчеркнул он.

Чтобы облегчить себе работу, Джек разработал набор эксплоитов, который он назвал Dillinger, по имени знаменитого грабителя банков Джона Диллинджера. Этот тулкит может быть использован для доступа к банкоматам, соединенным с телефонной сетью или сетью Интернет. После успешного проникновения в банкомат с помощью Dillinger в него устанавливался написанный экспертом руткит Scrooge.

По словам Барнаби Джека, банкоматы можно обнаружить, обзванивая большие диапазоны телефонных номеров или посылая особые запросы по IP-адресам. Те из них, которые привязаны к банкоматам, будут посылать ответы, которые хакерам не составит труда распознать.

30 июля, 2010

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

08.07.2026
Минцифры представило «Госкан» — «МЧД-картотеку»
08.07.2026
В iOS 27 добавили антифрод-прослойку
08.07.2026
Британия запустила программу обеспечения киберустойчивости
08.07.2026
Zscaler видит в ИИ-агентах «обоюдоострый меч»
08.07.2026
Обнаружен первый полностью агентный вирус-вымогатель
07.07.2026
Apple ускоряет выпуск ИБ-обновлений в ответ на ИИ-риски
07.07.2026
«Значимые действия» всё же будут подтверждать через MAX?
07.07.2026
ЛК: Почти треть глобального промсектора пострадала от ИИ-атак
07.07.2026
Касперская и Ашманов — о «крахе отечественной отрасли ИИ»
07.07.2026
Штраф до 1,4 млн рублей — за авторизацию через иностранные сервисы

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных