Misha Glenny: Hire the hackers!
Barnaby Jack hat am Mittwoch den Jackpot bei Black Hat geknackt. Zweimal.
Die Forscher von IOActive, die Bugs an zwei verschiedenen Geldautomaten ausnutzten, konnten sie dazu bringen, Geld auf Abruf auszuspucken und sensible Daten von den Karten derer aufzuzeichnen, die sie benutzten.
Er zeigte die Angriffe auf zwei Systeme, die er selbst gekauft hatte - die Art von generischen Geldautomaten, wie man sie typischerweise in Bars und Convenience Stores findet. Seit Jahren treffen Kriminelle diese Art von Maschine, benutzen ATM-Skimmer, um Kartendaten und PIN-Nummern aufzuzeichnen oder in manchen Fällen einfach einen Lastwagen hochzuziehen und die Maschinen wegzuholen.
[Lesen Sie weiter: Wie Sie Malware von Ihrem Computer entfernen Windows PC]Aber laut Jack gibt es eine einfachere, viel alarmierendere Art, das Geld heraus zu bekommen. Kriminelle können sich mit den Maschinen verbinden, indem sie sie anrufen - Jack glaubt, dass eine große Anzahl von ihnen Remote-Management-Tools hat, auf die über ein Telefon zugegriffen werden kann - und startet dann einen Angriff.
Nach dem Experimentieren mit seinen eigenen Maschinen, Jack entwickelt eine Möglichkeit, das Remote-Authentifizierungssystem zu umgehen und ein selbstgemachtes Rootkit namens Scrooge zu installieren, mit dem er die Firmware des Geräts überschreiben kann. Er entwickelte auch ein Online-Management-Tool mit dem Namen Dillinger, das kompromittierte Maschinen aufspüren und gestohlene Daten von Benutzern speichern kann.
Kriminelle könnten anfällige Geldautomaten finden, indem sie mit Open-Source-Software "War-Dialing" hunderte Anrufe tätigen Tausende von Zahlen suchen nach denen, die antworten, dass sie die verwundbare Management-Software installiert haben. Kriminelle haben bereits eine ähnliche Technik über das Internet genutzt, um in anfällige Kassensysteme einzubrechen.
Jacks Werkzeuge sind nur Software, die beweist, wie verwundbar die Maschinen wirklich sind, sagte er. "Das Ziel des Vortrags ist es, eine Diskussion über die besten Möglichkeiten zur Sanierung zu entfachen", sagte er.
"Es ist Zeit, diese Geräte zu überholen", sagte Jack. "Firmen, die die Geräte herstellen, sind nicht Microsoft. Sie hatten keine 10 Jahre andauernden Angriffe gegen sie."
Die Maschinen, die Jack hackte, basierten jedoch auf Microsoft Windows CE Betriebssystem.
In einem dramatischen Auf der Bühne demonstrierte er bei Black Hat eine Remote-Verbindung zu einem Geldautomaten und führte ein Programm namens Jackpot, das die Geldautomaten dazu veranlasste, Geld auszugeben, während er eine Melodie spielte und das Wort "Jackpot" über den Bildschirm der Maschine spritzte In einer zweiten Demo ging er zur Maschine, öffnete sie mit einem Schlüssel, den er im Internet erhalten hatte, und installierte seine eigene Firmware. Ein einzelner Standardschlüssel kann viele verschiedene Arten von Maschinen öffnen, sagte er und stellte ein weiteres ernsthaftes Sicherheitsproblem dar.
Jack hatte geplant, den Vortrag auf der letztjährigen Konferenz zu halten, aber er wurde gezogen, nachdem ATM-Anbieter mehr Zeit zum Patchen verlangten die Probleme, die er entdeckt hatte.
Robert McMillan behandelt Computersicherheit und allgemeine Technologie, die Nachrichten für
Der IDG-Nachrichtenservice. Folge Robert auf Twitter unter @bobmcmillan. Roberts E-Mail-Adresse lautet [email protected]
Red Hat gibt das Command Center
Der Service zum Überwachen von Linux-Systemen und -Anwendungen ist jetzt mit einer kostenlosen Testversion online.
Microsoft gibt Apache Cash zur Förderung von Open Source
Microsoft hat am Freitag seine Unterstützung für die Open-Source-Community durch die Spende von Geld an die Apache Software Foundation erweitert.
Apple gibt zu, dass es ernsthafte Probleme mit der Uhrenserie 3 gibt
Nach einem sehr erfolgreichen Start der Apple Watch-Serie 3 hat Apple den Ansprüchen der Nutzer in Bezug auf Probleme mit seiner Highlight-Funktion zugestimmt.