Hacket minibank til å spy opp penger

Den amerikanske sikkerhetsmessen Black Hat er i gang, og et av årets høydepunkter var Barnaby Jacks minibank-hacking.

Ved å utnytte feil i to forskjellige minibanker klarte forskeren fra IOActive å få begge til å spy ut penger uten å la kreditkortet gå varmt. Han klarte også å få ut sensitiv informasjon fra andre som hadde brukt dem.

Ringer minibanken

Angrepene ble vist frem på to minibanker han hadd kjøpt selv, som skal være en vanlig type, i alle fall i USA.

Systemene blir bygget av Triton og Tranax, og har vært ute i hardt vær før, men anses nå som lappet og fikset.

Likevel klarte Barnaby å koble seg opp mot mininbankene via telefonlinjer, koblet inn i maskinen for å administrere dem utenfra. Hackere kan ringe tusenvis av numre automatisk for å finne en minibank som har denne svakheten. VIdere klarte han også å installere sitt eget rootkit på maskinene, som snappet opp informasjon fra de som brukte maskinene og la denne informasjonen ut på en internett-tjeneste.

Vil ha diskuss

- Målet med å vise dette er å få i gang en diskusjon om hva man kan gjøre med saken, forteller Barnaby til vår nyhetstjeneste.

- Det er på tide å gi minibankene en overhaling. Selskapene som lager disse er ikke Microsoft. De har ikke ti års erfaring med stadige angrep mot dem.

"Jackpot!"

I tillegg til å stjele informasjon fra folk, klarer han også å få maskinene til å spytte ut penger.

I en dramatisk demonstrasjon på Black Hat fikk han minibankene til å spille musikk, vise "Jackpot" på skjermen og gi ut penger i beste lotteri-stil.

I en annen demontrasjon låste han rett og slett opp minibanken fysisk, med en nøkkel han hadde funnet på internett. VIdere kunne han installere sin egen programvare på enheten.