На Black Hat исследователь прилюдно опустошил банкоматы

На Black Hat исследователь прилюдно опустошил банкоматы

 

Барнаби Джек, руководитель отдела тестирования систем безопасности в компании IOActive, прибыл на конференцию Black Hat с двумя ATM-терминалами от известных производителей для того, чтобы продемонстрировать присутствующим воплощенную в реальность мечту любого малолетнего хакера. Парой нажатий на кнопки исследователь заставил оба банкомата извергнуть содержимое встроенных сейфов прямо на сцену конференц-зала.

«Я надеюсь, что мой доклад изменит представление людей об устройствах, которые на первый взгляд кажутся совершенно неприступными», – объяснил Барнаби Джек, уроженец Новой Зеландии, в настоящее время проживающий в калифорнийском городе Сан-Хосе. Для того чтобы сделать свое выступление более наглядным и зрелищным, исследователь подготовил пару впечатляющих трюков. К примеру, одна из обнаруженных уязвимостей позволяет хакеру подключиться к банкомату через телефонный модем и, не зная пароля, в считанные секунды избавить машину от денежных запасов.

Для проведения исследований Джек приобрел через Интернет пару ATM-терминалов от таких производителей, как Tranax Technologies и Triton. Эксперт сообщает, что на поиски уязвимостей и ошибок в программном коде им было потрачено несколько лет. Результаты исследования оказались впечатляющими. В каждом изученном терминале была обнаружена как минимум одна критическая уязвимость, позволяющая злоумышленнику получить доступ к сейфу с наличностью.

К счастью, процедура дистанционного взлома банкоматов пока еще является слишком сложной для современных преступников. Гораздо чаще злоумышленники просто похищают терминал и вскрывают сейф с использованием специальных инструментов или взрывчатки. Однако, технологически продвинутые мошенники постепенно осваивают и более тонкие манипуляции. К примеру, после взаимодействия с малоизвестным меню настроек терминал начинает выдавать купюры достоинством в 20 долларов, принимая их за долларовые банкноты.

Фактически, Барнаби Джек стал первым из исследователей, чьи открытия базируются на углубленном анализе встроенного программного кода. Многие из ATM-машин созданы на базе процессоров ARM, работают под управлением операционной системы Windows CE и способны подключаться к Интернету. Эксперт использовал стандартные отладочные методики для прерывания нормального процесса загрузки системы и получения доступа к файловой системе. Таким образом, он смог скопировать нужные файлы для последующего углубленного анализа. Позже Джек написал две небольшие утилиты, предельно упрощающие процесс взлома. Одна из этих утилит под названием Dillinger, названная в честь известного грабителя банков, может использоваться для проведения дистанционной атаки на ATM. Другое приложение – Scrooge, представляет собой руткит, который открывает черный ход для вредоносных программ и без труда скрывается от обнаружения.

По словам Барнаби Джека, оба производителя были поставлены в известность о наличии проблем с защитой и уже выпустили патчи для ликвидации уязвимостей. Однако, если клиент, установивший банкомат в торговом центре или ресторане, не воспользуется патчем, банкомат останется уязвимым.

Напомним, что исследователь планировал выступить с сенсационным докладом еще на прошлогодней Black Hat, однако ему пришлось отказаться от изначальных замыслов под давлением со стороны своего тогдашнего работодателя – компании Juniper Networks.

 Источник

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В мессенджере MAX появился цифровой ID

Новая функция позволяет пользователям подтвердить свой возраст и социальный статус в цифровом формате. Подключить её могут все владельцы мессенджера старше 18 лет. Сервис ориентирован на ситуации, где требуется быстрая и удобная верификация без предъявления бумажных документов.

Для создания цифрового ID необходимо пройти подтверждение личности через Единую биометрическую систему. Это можно сделать уже на этапе регистрации, используя заграничный паспорт нового образца.

Цифровой ID пригодится для подтверждения возраста при совершении покупок, требующих соответствующей проверки, а также для подтверждения социального статуса, дающего право на льготы, например, статуса студента или многодетного родителя. Кроме того, сервис можно использовать как пропуск в учебное заведение.

Подтверждение возраста или статуса осуществляется с помощью QR-кода, сформированного на основе данных из Госуслуг. При этом доступ к другим персональным данным исключён. Использование сервиса посторонними невозможно: для подтверждения требуется биометрия, а сам QR-код регулярно обновляется. Цифровой ID также позволяет просматривать реквизиты любых документов, включая паспорт, СНИЛС и ИНН.

Пока сервис работает в тестовом режиме. Первой к нему подключилась розничная сеть «Магнит», в дальнейшем список участников будет расширяться.

Введение цифрового ID не отменяет бумажные документы. Они сохраняют юридическую силу и продолжат использоваться, а цифровой формат станет лишь дополнительным инструментом для подтверждения личности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru