Hacket minibank til å spy opp penger
Black Hat avslører store mangler med dagens minibanker.
Den amerikanske sikkerhetsmessen Black Hat er i gang, og et av årets høydepunkter var Barnaby Jacks minibank-hacking.
Ved å utnytte feil i to forskjellige minibanker klarte forskeren fra IOActive å få begge til å spy ut penger uten å la kreditkortet gå varmt. Han klarte også å få ut sensitiv informasjon fra andre som hadde brukt dem.
Ringer minibanken
Angrepene ble vist frem på to minibanker han hadd kjøpt selv, som skal være en vanlig type, i alle fall i USA.
Systemene blir bygget av Triton og Tranax, og har vært ute i hardt vær før, men anses nå som lappet og fikset.
Likevel klarte Barnaby å koble seg opp mot mininbankene via telefonlinjer, koblet inn i maskinen for å administrere dem utenfra. Hackere kan ringe tusenvis av numre automatisk for å finne en minibank som har denne svakheten. VIdere klarte han også å installere sitt eget rootkit på maskinene, som snappet opp informasjon fra de som brukte maskinene og la denne informasjonen ut på en internett-tjeneste.
Vil ha diskuss
- Målet med å vise dette er å få i gang en diskusjon om hva man kan gjøre med saken, forteller Barnaby til vår nyhetstjeneste.
- Det er på tide å gi minibankene en overhaling. Selskapene som lager disse er ikke Microsoft. De har ikke ti års erfaring med stadige angrep mot dem.
"Jackpot!"
I tillegg til å stjele informasjon fra folk, klarer han også å få maskinene til å spytte ut penger.
I en dramatisk demonstrasjon på Black Hat fikk han minibankene til å spille musikk, vise "Jackpot" på skjermen og gi ut penger i beste lotteri-stil.
I en annen demontrasjon låste han rett og slett opp minibanken fysisk, med en nøkkel han hadde funnet på internett. VIdere kunne han installere sin egen programvare på enheten.