Het is mogelijk malware te installeren op pinautomaten die de machine geld laat uitkeren, zonder dat een bankpasje is ingevoerd en zonder dat een bankrekening wordt aangesproken. Dat demonstreerde beveiligingsonderzoeker Barnaby Jack van IOActive Labs op de Black Hatconferentie in Las Vegas. Hij voerde zijn stunt uit om leveranciers van pinautomaten duidelijk te maken dat ze hun code serieuzer moeten redigeren en testen.
Jack voerde de aanval uit op twee zelf aangeschafte Windows CE-gebaseerde pinautomaten van twee specifieke leveranciers: Tranax en Triton. Deze bedrijven hebben de door Jack ontdekte lekken gedicht, maar volgens hem zijn ook automaten van andere leveranciers vatbaar.
De onderzoeker demonstreerde hoe hij zowel lokaal als op afstand op de machines kon inbreken. Met een via het web voor tien dollar aangekochte beveiligingssleutel kon hij een machine openen. Vervolgens toonde hij hoe een usb kon inpluggen en de firmware overschrijven.
Ook demonstreerde hij hoe van afstand de authenticatie kon omzeilen die nodig is om toegang te krijgen tot een configuratietool. Jack kon allerlei instellingen wijzigen, waaronder wachtwoorden. Via een zelf ontworpen hacktool kon de beveiligingsonderzoeker, door op een 'Jackpot!'-knop te drukken, de machine geld uit laten uitkeren.
Afluisteren transacties
De onderzoeker waarschuwde dat het ook mogelijk is om ongemerkt financiële transacties, waaronder pincodes, af te luisteren. De onderzoeker heeft zijn aanvalstechnieken niet in detail vrijgegeven. Hij roept leveranciers van pinautomaten op hun code serieuzer te redigeren en testen en hun firmware beter te beveiligen. Ook pleit hij ervoor om ervoor te zorgen dat de mogelijkheid om pinautomaten op afstand te configureren standaard uit staat.
Volgens de onderzoeker is zijn aanvalsmethode in sommige gevallen nog eenvoudiger dan het 'skimmen' van een pinautomaat. Dat is een vorm van betaalpasfraude, waarbij criminelen de magneetstrip van een pas kopiëren en de pincode bemachtigen op het moment dat een betaaltransactie wordt verricht.
Ook slim om dit zo openbaar te maken. Nu gaan allerlei hackers dus proberen geldautomaten op afstand te kraken.
Ook al geeft Barnaby Jack geen details vrij, iemand die iets van die automaten afweet, weet ook waar hij nu moet zoeken.
ABN AMRO bank is de eerste waarbij het gelukt is 🙂
Jammer dat ze dat stug blijven ontkennen.
Aan iedereen die het wil proberen:
– BT4 Pre-Final
– USB prismacard.
@Rob: we hebben het hier NIET over het kraken van WEP-beveiliging van draadloze netwerken van sommige banken.
Dit is iets helemaal anders. Misschien dat ik ook maar eens moet gaan zien naar zo’n sleuteltje 😉
Wie daar een leuk boek over wil lezen, waarin dit al min of meer (geromantiseerd) beschreven is, zou “De blinde muur” van Mankell Henning eens moeten lezen.
@ Jaap uit K., 29-07-2010 18:59
Er staat toch helemaal niks?
Er zijn sowieso maar 2 opties om iets te kraken; lokaal en op afstand…
Lijkt me stug dat als je van plan bent een pinapparaat te hacken 1 van deze 2 mogelijkheden over het hoofd ziet.
Of dit zo simpel is ? Vergeet niet dat Barnaby Jack een pinautomaten had aangeschaft en waarschijnlijk op zijn eigen netwerk had aangesloten om het vervolgens aan te vallen. Je zult toch eerst eens op het “Bank” netwerk binnen moeten komen voordat je naar stap 2 gaat en de pinautomaat gaat aanvallen. Het meest simpele praktische lijkt me de netwerk bekabeling te onderscheppen. Geen idee tot hoe ver dit beveiligt is. Ergens zal namelijk een fysieke verbinding naar het netwerk worden gemaakt.
Begin maar te graven LOL …. maar dan zit je wel op het bank netwerk en omzeil je de firewall…Mits je dan de kennis van Barnaby Jack hack kent en het type pinautomaat maak je minimaal eens kans…
Ik kan bewijzen dat ik met een hamer het raam van mijn buren kan inslaan.
Doet ik dit? Doet u dit? Waarom worden deze hackers uit het duistere opensourcemilieu altijd opgevoerd als helden in de media?
@Peter, ben jij je pilletje weer eens vergeten?
Barnaby Jack komt uit de wereld van closed source en ICT security onderzoek en consultancy, geen open source.
OK ICT
Ik heb mijn pilletje genomen
Ik kan bewijzen dat ik met een hamer het raam van mijn buren kan inslaan.
Doet ik dit? Doet u dit? Waarom worden deze hackers uit het duistere closed source milieu altijd opgevoerd als helden in de media?
Zoiets zie je toch niet in de worldwide community of free open source developers fighting for a better world
@Peter, wanneer ga je proberen om volwassen te worden?
Dit soort reacties zijn uiterst puberaal.