Black Hat: эксперт представил эксплоиты для взлома банкоматов

На проходящей в Лас-Вегасе хакерской конференции Black Hat исследователь Барнаби Джек выступил с докладом, в ходе которого выяснилось, что огромное количество банковских терминалов и банкоматов уязвимо к физическим и удаленным атакам, позволяющим красть пароли администраторов, данные кредитных карт и, конечно же, наличность.

Эксперт наглядно продемонстрировал процесс эксплуатации двух уязвимых моделей банкоматов от двух крупнейших производителей. В первом случае была использована брешь в программном обеспечении для удаленного администрирования банкоматов фирмы Tranax Technologies. Взломав программу, Джек сумел установить руткит, который позволил ему получить пароли администраторов и номера PIN. Кроме того, исследователь заставил машину выдать кипу долларовых банкнот.

“Подход к производству банковских терминалов требует пересмотра, поскольку методы безопасной разработки при их конструировании не применяются. Компании, выпускающие банкоматы – это не Microsoft, они не имеют десятилетнего опыта непрекращающихся атак на свое ПО”, - заявил Барнаби Джек аудитории слушателей.

В ходе второй атаки специалист воспользовался для доступа к внутренним компонентам банкомата от Triton Systems ключом, который можно свободно купить через Интернет. Попав внутрь, эксперт установил в систему созданный им руткит, который был скопирован на устройство с USB-накопителя.

И Triton и Tranax уже закрыли возможности для эксплуатации продемонстрированных брешей, однако в ходе пресс-конференции Барнаби Джек сообщил, что он полностью уверен в своей способности обнаружить аналогичные зияющие уязвимости, в том числе – в банкоматах других производителей. “В каждом банкомате из тех, с которыми я имел дело, есть критическая уязвимость, позволяющая мне снять наличные”, - подчеркнул он.

Чтобы облегчить себе работу, Джек разработал набор эксплоитов, который он назвал Dillinger, по имени знаменитого грабителя банков Джона Диллинджера. Этот тулкит может быть использован для доступа к банкоматам, соединенным с телефонной сетью или сетью Интернет. После успешного проникновения в банкомат с помощью Dillinger в него устанавливался написанный экспертом руткит Scrooge.

По словам Барнаби Джека, банкоматы можно обнаружить, обзванивая большие диапазоны телефонных номеров или посылая особые запросы по IP-адресам. Те из них, которые привязаны к банкоматам, будут посылать ответы, которые хакерам не составит труда распознать.

30 июля, 2010

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

04.10.2022
Банк России обязал кредитные организации реализовать идентификацию гаджетов клиентов
04.10.2022
Через «Госуслуги» теперь можно будет управлять процедурой согласия на обработку ПДн?
04.10.2022
В России готовится к открытию Центр биометрических технологий
04.10.2022
«Основной целью становятся отделы закупок, производства…» Решение — SOC
03.10.2022
Сеть DNS допустила утечку личных данных клиентов
03.10.2022
В текущих условиях столь массовые утечки ПДн — реальная угроза национальной безопасности
03.10.2022
«Для определённых счетов с крупными суммами рекомендую исключить удалённый доступ кроме операций пополнения»
03.10.2022
Кабмин утвердил новые правила аккредитации ИТ-компаний
03.10.2022
Внутриигровые валюты — это виртуальные активы?
03.10.2022
Регулятор утвердил список системно значимых финорганизаций

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных