Het is mogelijk malware te installeren op pinautomaten die de machine geld laat uitkeren, zonder dat een bankpasje is ingevoerd en zonder dat een bankrekening wordt aangesproken. Dat demonstreerde beveiligingsonderzoeker Barnaby Jack van IOActive Labs op de Black Hatconferentie in Las Vegas. Hij voerde zijn stunt uit om leveranciers van pinautomaten duidelijk te maken dat ze hun code serieuzer moeten redigeren en testen.
Jack voerde de aanval uit op twee zelf aangeschafte Windows CE-gebaseerde pinautomaten van twee specifieke leveranciers: Tranax en Triton. Deze bedrijven hebben de door Jack ontdekte lekken gedicht, maar volgens hem zijn ook automaten van andere leveranciers vatbaar.
De onderzoeker demonstreerde hoe hij zowel lokaal als op afstand op de machines kon inbreken. Met een via het web voor tien dollar aangekochte beveiligingssleutel kon hij een machine openen. Vervolgens toonde hij hoe een usb kon inpluggen en de firmware overschrijven.
Ook demonstreerde hij hoe van afstand de authenticatie kon omzeilen die nodig is om toegang te krijgen tot een configuratietool. Jack kon allerlei instellingen wijzigen, waaronder wachtwoorden. Via een zelf ontworpen hacktool kon de beveiligingsonderzoeker, door op een 'Jackpot!'-knop te drukken, de machine geld uit laten uitkeren.
Afluisteren transacties
De onderzoeker waarschuwde dat het ook mogelijk is om ongemerkt financiële transacties, waaronder pincodes, af te luisteren. De onderzoeker heeft zijn aanvalstechnieken niet in detail vrijgegeven. Hij roept leveranciers van pinautomaten op hun code serieuzer te redigeren en testen en hun firmware beter te beveiligen. Ook pleit hij ervoor om ervoor te zorgen dat de mogelijkheid om pinautomaten op afstand te configureren standaard uit staat.
Volgens de onderzoeker is zijn aanvalsmethode in sommige gevallen nog eenvoudiger dan het 'skimmen' van een pinautomaat. Dat is een vorm van betaalpasfraude, waarbij criminelen de magneetstrip van een pas kopiëren en de pincode bemachtigen op het moment dat een betaaltransactie wordt verricht.
Jan,
Ik heb u al eerder ontmoet in dit forum. Is uw moto ” Als ik het niet kan halen met argumenten geef ik een slag onder de gordel?”
Mijn stelling is
Ik kan bewijzen dat ik met een hamer het raam van mijn buren kan inslaan.
Doet ik dit? Doet u dat? Waarom worden deze hackers uit het duistere open source milieu of close source milieu altijd opgevoerd als helden in de media?