Ny angrepsmetode mot minibanker
Fjernangrep og flerplattforms rootkit presenteres på Black Hat.
Slik får du jackpot på minibank. Eller ”Jackpotting Automated Teller Machines”, som det heter på engelsk. Dette er på listen over foredrag på årets Black Hat-konferanse.
Mannen som skal holde foredraget, sikkerhetsforsker Banaby Jack, hadde egentlig tenkt til å snakke om mer eller mindre samme tema i fjor, men ble stoppet av sin arbeidsgiver Juniper Networks etter at selskapet fikk klager fra en minibankleverandør som fryktet informasjonen kunne blir misbrukt.
Men i slutten av juli prøver han seg altså igjen på et slikt foredrag, på konferansen som arrangeres i jackpotens hovedstad Las Vegas. Han skal demonstrere flere måter å angripe minibanker på, etter planen, deriblant fjernangrep via nettverk. Han vil også avdekke et flerplattforms minibank-rootkit og diskutere hva minibankindustrien kan gjøre for å beskytte seg, ifølge oversikten han la ut på Black Hat-nettsiden denne uken.
- Jeg har alltid likt scenen i Terminator 2 der John Connor går bort til en minibank, kobler opp sin Atari til kortleseren og får ut penger fra maskinen. Jeg tror jeg har slått den unge mannen, sier Jack.
Se John Connor hacke minibank med Atari her (beklager italiensk dubbing).
Lite skimmeprat
Minibanker blir utnyttet dags dato, men basert på en litt annerledes oppskrift enn den Jack skal presentere. Som regel plasserer skurkene skimmere og minikamera på minibanken, for å kuppe både magnetstripe og kode. Deretter kan de lage en kortkopi og ta ut penger.
Skurker har også vært freidige nok til å lage en hel falsk minibank og trille den inn i hotell-lobbyer, men det er ikke alltid det fungerer helt etter planen heller.
Men Jack skal ikke snakke om denne typen fysiske triks, han skal snakke om sikkerhetshull i minibankens programvare. Etter at Juniper stoppet ham fra å prate i fjor, har han forsket videre på minibanker.
Stue med minibanker
- I fjor var det én minibank, i år dobler jeg antallet og tar med to nye minibankmodeller fra store leverandører, sier han i beskrivelsen.
Han har ikke spesifisert hvilke minibanker han skal gå inn på, og ifølge Black Hat-direktør Jeff Moss kan det bli nokså interessant å se.
- Han har en stue full av minibanker av flere forskjellige merker, og de ser alle ut til å ha det ene eller andre problemet, sier Moss til Computerworlds nyhetstjeneste.
Jack har ellers funnet en løsningsorientert måte å unngå at Juniper Network stopper ham; mannen har byttet til jobb som sikkerhetsforskningsdirektør i selskapet Ioactive.
