На проходящей в Лас-Вегасе хакерской конференции Black Hat исследователь
Барнаби Джек выступил с докладом, в ходе которого выяснилось, что огромное
количество банковских терминалов и банкоматов уязвимо к физическим и удаленным
атакам, позволяющим красть пароли администраторов, данные кредитных карт и,
конечно же, наличность.

Эксперт наглядно продемонстрировал процесс эксплуатации двух уязвимых моделей
банкоматов от двух крупнейших производителей. В первом случае была использована
брешь в программном обеспечении для удаленного администрирования банкоматов
фирмы Tranax Technologies. Взломав программу, Джек сумел установить руткит,
который позволил ему получить пароли администраторов и номера PIN. Кроме того,
исследователь заставил машину выдать кипу долларовых банкнот.

“Подход к производству банковских терминалов требует пересмотра, поскольку
методы безопасной разработки при их конструировании не применяются. Компании,
выпускающие банкоматы – это не Microsoft, они не имеют десятилетнего опыта
непрекращающихся атак на свое ПО”, - заявил Барнаби Джек аудитории слушателей.

В ходе второй атаки специалист воспользовался для доступа к внутренним
компонентам банкомата от Triton Systems ключом, который можно свободно купить
через Интернет. Попав внутрь, эксперт установил в систему созданный им руткит,
который был скопирован на устройство с USB-накопителя.

И Triton и Tranax уже закрыли возможности для эксплуатации
продемонстрированных брешей, однако в ходе пресс-конференции Барнаби Джек
сообщил, что он полностью уверен в своей способности обнаружить аналогичные
зияющие уязвимости, в том числе – в банкоматах других производителей. “В каждом
банкомате из тех, с которыми я имел дело, есть критическая уязвимость,
позволяющая мне снять наличные”, - подчеркнул он.

Чтобы облегчить себе работу, Джек разработал набор эксплоитов, который он
назвал Dillinger, по имени знаменитого грабителя банков Джона Диллинджера. Этот
тулкит может быть использован для доступа к банкоматам, соединенным с телефонной
сетью или сетью Интернет. После успешного проникновения в банкомат с помощью
Dillinger в него устанавливался написанный экспертом руткит Scrooge.

По словам Барнаби Джека, банкоматы можно обнаружить, обзванивая большие
диапазоны телефонных номеров или посылая особые запросы по IP-адресам. Те из
них, которые привязаны к банкоматам, будут посылать ответы, которые хакерам не
составит труда распознать.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии