211service.com
Flaw öppnar bankomater för hackare
Barnaby Jack, en säkerhetsforskare på datornätverksjätten Juniper , hade planerat att hacka sig in i en automat (ATM) live på scenen på Black Hat Security Conference i Las Vegas senare denna månad. Men hans presentation, utformad för att visa osäkerheten i olika bankomater, väckte uppmärksamhet från såväl finansbranschen som säkerhetsproffs, och under påtryckningar från bankomattillverkare avbröt Juniper presentationen förra veckan, med hänvisning till oro för att sårbarheterna fortfarande inte hade funnits. fast.
Sårbarheten som Barnaby skulle diskutera får långtgående konsekvenser, inte bara för den drabbade bankomatleverantören utan även för andra bankomatleverantörer och – i slutändan – allmänheten, skrev Brendan Lewis, chef för företagens sociala medierelationer för Juniper i ett uttalande till företagets officiella blogg förra veckan. Att offentligt avslöja forskningsresultaten innan den drabbade leverantören kunde mildra exponeringen på rätt sätt skulle potentiellt ha utgjort risken för deras kunder. Det är något vi inte vill se hända.
Presentationen skulle ha fokuserat på att utnyttja sårbarheter i enheter som kör operativsystemet Windows CE, inklusive vissa uttagsautomater, enligt en källa som är bekant med detaljerna. Medan presentationen avbröts för att ge tillverkarna mer tid att åtgärda sårbarheterna, hade Juniper ursprungligen meddelat företaget för nästan åtta månader sedan, säger källan, som bad att inte bli namngiven.
Andra säkerhetsexperter är inte förvånade över att sårbarheterna finns att hitta. Betydande brister i bankomater och bankomatnät finns det gott om, säger Nicholas Percoco, senior vice president för TrustWave , ett företag för informationssäkerhet och efterlevnad som har utvärderat säkerheten för terminaler för försäljningsställen, kiosker och ATM-nätverk. Det är väldigt, väldigt sällsynt att en enhet kommer till våra labb – jag tror faktiskt inte att det har hänt – att vi inte hittar en sårbarhet, säger Percoco.
Uttagsautomater har också varit i fokus för ett antal högprofilerade säkerhetsincidenter under de senaste 12 månaderna. I november 2008 stal tjuvar nästan 9 miljoner dollar från mer än 130 bankomater på några timmar med hjälp av falska lönekort. Systemet, som ägde rum i 49 städer över hela världen, förlitade sig på att hackare bröt nätverket av finansföretaget RBS WorldPay och laddade om kort så att de kunde ta ut i genomsnitt 90 000 $ per konto.
I januari i år varnade den näst största tillverkaren av uttagsautomater, Diebold, kunder i ett meddelande om att vissa bankomater i Östeuropa hade laddats med skadlig programvara som kan stjäla finansiell information och de hemliga PIN-koderna från kunder som utför bankomattransaktioner. Den smygande programvaran, som infekterade minst 20 uttagsautomater, gjorde det möjligt för brottslingar att skriva ut kortuppgifter på bankomatkvitton och mata ut kontantkassetten från bankomatkiosker, enligt en analys av programvaran utförd av TrustWave.
När angriparna väl kommer in genom back-end-systemen slår de i princip ut, säger Percoco. Det är kontanter, så det är riktiga pengar; det är inte som att de laddar ett kreditkort och måste sälja varorna.
Bland rekommendationer till sina kunder bad Diebold att banker och bankomatägare med jämna mellanrum ändrar kioskernas administratörslösenord och ser till att brandväggarna är aktiva. Diebold menar att angripare var tvungna att ha fysisk tillgång till systemen för att ladda den skadliga programvaran i första hand. Såvitt företaget känner till är detta den första incidenten som handlar om en fysisk attack och installation av olaglig programvara inom ATM-enheten, sade Diebold i ett uttalande då.
NCR, den ledande leverantören av uttagsautomater över hela världen, har tagit ett mångskiktat tillvägagångssätt för att säkra sina bankomater. Företaget använder en teknik, känd som Solidcore, som förhindrar att obehörig kod körs på dess Windows-baserade system, och det rekommenderar kunder att låsa operativsystemet Windows XP genom att använda den inbyggda brandväggen och virtuella privata nätverk. Andra säkerhetsfunktioner inkluderar fysiska åtgärder för att göra det uppenbart om en bedragare ansluter en enhet för att stjäla kortinformation till bankomaten, en mekanism för att förhindra att sådana enheter enkelt kan läsa bankkort och bläck som fläckar stulna kontanter.
Representanter för både NCR och Diebold förnekade dock att någon av deras maskiner skulle vara i fokus för Junipers demonstration.
Operativsystemet som används i det drabbade systemet, Windows CE, utgör hinder för en snabb lösning. Microsoft rekommenderar att Windows CE används för billiga uttagsautomater, medan Windows XP Embedded och Windows XP Professional används på mer fullfjädrade uttagsautomater, enligt ett vitt papper på kiosk- och ATM-operativsystemplattformar som utfärdats av mjukvarutillverkaren. Windows XP Embedded, vars senaste version är Windows Embedded Standard 2009, och Windows XP Professional är säkrare eftersom de är lättare att uppdatera, säger mjukvarujätten. En Microsoft-representant uppgav att mjukvarujätten inte hade någon specifik information relaterad till Black Hat eller Junipers inställda samtal.
Nästan 56 procent av uttagsautomaterna i USA kör någon form av Windows-operativsystemet och är anslutna till någon form av nätverk som kan underlätta uppdateringar, enligt TowerGroup , ett finansiellt konsultföretag. De återstående enheterna kör ett äldre operativsystem, IBMs OS/2, och har vanligtvis ingen nätverksanslutning. Eftersom uttagsautomater vanligtvis varar ett decennium eller mer, kommer de äldre OS/2-baserade maskinerna att förbli i användning till cirka 2012, säger Nicole Sturgill, forskningschef för leveranskanaler på TowerGroup.
Sturgill förväntar sig att cyberbrottslingar hittar nya sätt att attackera bankomater. Det är ett fortsatt katt-och-råtta-spel, säger hon. Det spelar ingen roll hur bra du har det: uttagsautomater kommer alltid att vara en plats för att få tillgång till kontanter, så kriminella kommer alltid att vara intresserade av att hitta ett nytt hål i uttagsautomaterna.