Geldautomaten in VS zijn te hacken
Demonstratie op Black Hat
29 juli 2010 | Pieterjan Van Leemputten
Op de hackersbeurs Black Hat in Las Vegas demonstreert een onderzoeker hoe hij Amerikaanse geldautomaten hackt. De machine spuwt de briefjes zomaar uit.
De hack werd vorige maand aangekondigd en deze week uitgevoerd door Barnaby Jack, hoofd beveiligingstests bij IOActive. Tijdens zijn demonstratie zette hij twee Amerikaanse geldautomaten op het podium. Kort daarna rolden de dollarbriefjes eruit.
Volledige controle over automaat
Jack wil vooral aantonen dat dergelijke systemen niet waterdicht zijn. Een van de pogingen houdt in dat je van buitenaf met een telefoonmodem verbinding maakt met de automaat. Zo kon hij zonder dat hij een wachtwoord nodig heeft de hele geldvoorraad opvragen.
Enkele jaren geleden kocht de man enkele losstaande bankautomaten. Zo leerde hij de kwetsbaarheden en programmeerfouten in het systeem. Naar eigen zeggen kan hij het systeem nu volledig controleren.
“Elke automaat die ik heb bekeken, heeft een game-over-kwetsbaarheid waarmee een aanvaller geld uit de machine kan krijgen.”
Wel heeft Jack alleen losstaande apparaten getest en geen ingebouwde machines zoals die aan bankfilialen zelf.
Ook in Europa?
Het is onduidelijk in welke mate Europese geldautomaten kwetsbaar zijn voor het probleem. In Nederland en België zijn bijna alle geldautomaten ingebouwde systemen die vaak letterlijk verbonden zijn met het bankkantoor.
In de VS kom je doorgaans eerder losstaande automaten tegen. Winkeliers of hoteluitbaters zetten ze in hun zaak.
Patch beschikbaar
Jack heeft Tranax en Triton, de fabrikanten van de twee automaten, vorig jaar al gewaarschuwd. Intussen hebben zij een patch uitgebracht voor de kwetsbaarheden. Maar wie een dergelijke geldmachine bezit in zijn winkel of restaurant, moet die patch uiteraard wel ook toepassen.
Niet openbaar gemaakt
Bankautomaten hacken is niet nieuw, maar het is de eerste keer dat de programmeercode van dergelijke systemen zo op de korrel wordt genomen.
In sommige gevallen was de ingebouwde brandkast bijvoorbeeld goed beveiligd, maar het moederbord dat de opdracht geeft om het geld eruit te halen niet.
Aan onze collega’s van CNet verklaarde Jack alvast dat hij de kwetsbaarheden niet openbaar zal maken.
bron: CNet
» Review Ubuntu 12.04 (Precise Pagolin)
reviews
Ubuntu kennen we als solide en bruikbaar linuxbesturingssysteem. Versie 12.04 heeft een nieuwe kernel en gebruikersinterface Unity is hier en daar bruikbaarder geworden.
» De technologie van het 9/11-monument
news
Meer dan twee miljoen mensen hebben de herdenkingsplek voor de ramp van 11 september bezocht. Velen gebruiken technologie om alles uit de ervaring te halen.
» Wel borstvoeding, geen tepels op Facebook
news
Een ontevreden Facebookwerknemer besliste onlangs de richtlijnen voor het verwijderen van content te lekken aan nieuwssite Gawker. Dat deed het nodige stof opwaaien.
Review: Diablo III
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
