Geldautomaten in VS zijn te hacken
Demonstratie op Black Hat
29 juli 2010 | Pieterjan Van Leemputten
Op de hackersbeurs Black Hat in Las Vegas demonstreert een onderzoeker hoe hij Amerikaanse geldautomaten hackt. De machine spuwt de briefjes zomaar uit.
De hack werd vorige maand aangekondigd en deze week uitgevoerd door Barnaby Jack, hoofd beveiligingstests bij IOActive. Tijdens zijn demonstratie zette hij twee Amerikaanse geldautomaten op het podium. Kort daarna rolden de dollarbriefjes eruit.
Volledige controle over automaat
Jack wil vooral aantonen dat dergelijke systemen niet waterdicht zijn. Een van de pogingen houdt in dat je van buitenaf met een telefoonmodem verbinding maakt met de automaat. Zo kon hij zonder dat hij een wachtwoord nodig heeft de hele geldvoorraad opvragen.
Enkele jaren geleden kocht de man enkele losstaande bankautomaten. Zo leerde hij de kwetsbaarheden en programmeerfouten in het systeem. Naar eigen zeggen kan hij het systeem nu volledig controleren.
“Elke automaat die ik heb bekeken, heeft een game-over-kwetsbaarheid waarmee een aanvaller geld uit de machine kan krijgen.”
Wel heeft Jack alleen losstaande apparaten getest en geen ingebouwde machines zoals die aan bankfilialen zelf.
Ook in Europa?
Het is onduidelijk in welke mate Europese geldautomaten kwetsbaar zijn voor het probleem. In België en Nederland zijn bijna alle geldautomaten ingebouwde systemen die vaak letterlijk verbonden zijn met het bankkantoor.
In de VS kom je doorgaans eerder losstaande automaten tegen. Winkeliers of hoteluitbaters zetten ze in hun zaak.
Patch beschikbaar
Jack heeft Tranax en Triton, de fabrikanten van de twee automaten, vorig jaar al gewaarschuwd. Intussen hebben zij een patch uitgebracht voor de kwetsbaarheden. Maar wie een dergelijke geldmachine bezit in zijn winkel of restaurant, moet die patch uiteraard wel ook toepassen.
Niet openbaar gemaakt
Bankautomaten hacken is niet nieuw, maar het is de eerste keer dat de programmeercode van dergelijke systemen zo op de korrel wordt genomen.
In sommige gevallen was de ingebouwde brandkast bijvoorbeeld goed beveiligd, maar het moederbord dat de opdracht geeft om het geld eruit te halen niet.
Aan onze collega’s van CNet verklaarde Jack alvast dat hij de kwetsbaarheden niet openbaar zal maken.
bron: CNet
Related Partner info »
ZDNet.be zoekt Account Manager Online & Digital
24/01/2012 | job | Partner info : Minoc Business Press NV
Introductie Cloud Computing
07/07/2011 | whitepaper | Partner info : Terremark
ROI en TCO topcriteria voor beslissing grote ICT-projecten
07/07/2011 | pressrelease | Partner info : ACA IT-Solutions
Nog meer op ZDNet »
Techdays BE 2012 - dag 3: private cloud
Blog : Events
Op dag 3 van de Belgische Microsoft Techdays 2012 werd het private cloud thema van nabij gevolgd. Enkele interessante samenvattingen
» 'Toekomst is aan HTML5-vormgevers/programmeurs'
techzone
Het belang van HTML 5 is nog niet duidelijk, vooral omdat de standaard nog niet af is. Toch zal net die technologie de drijvende kracht zijn achter de toenemende mobiliteit van computertoepassingen.
» Samsung lanceert opvolgers Galaxy Ace en Mini
news
Ook Samsung kan niet wachten tot het Mobile World Congress en onthult nu al twee nieuwe budgetsmartphones: De Galaxy Ace 2 en Galaxy Mini 2.
» Tien tips om anoniem te surfen
help
Je zou ervan versteld staan wat de sites die je bezoekt allemaal over je weten. Met deze tips maak je jezelf iets anoniemer op het wereldwijde web.
Review: Catherine
Game
Katherine of Catherine, wie moet Vincent in hemelsnaam kiezen? Braaf en lief, of liever spannend en ondeugend? Trouwen of vreemdgaan? Een hartverscheurende keuze, maar jij moet ze maken.
