Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

ATM Jackpot

2010.07.29. 09:56 | buherator | 5 komment

Elkezdődött az idei Black Hat, juhé! Az alső napon Barnaby Jack, az IOActive szakértője olyan módszereket mutatott be, melyekkel teljesen átvehető az írányítás bizonyos ATM-ek fölött. A dolog iróniája, hogy míg ezt és a hasonló - eddig kivétel nélkül lefújt - előadásokat hatalmas sajtóérdeklődés kísért bemutatásuk előtt, most, hogy az előadás lezajlott, valószínűleg elcsendesednek a dolgok: részleteket a támadásokkal kapcsolatban ugyanis nem tudhattak meg a konferencia résztvevői sem.

Annyi biztos, hogy a pénzkiadó automaták is ugyanúgy támadhatók, mint bármilyen másik számítógép. Jack egy helyi és egy távoli támadást mutatott be Windows CE-t futtató ATM-ekkel szemben. Az első esetben egy interneten megvásárolható kulccsal fért hozzá a gép operációs rendszeréhez, a második esetben a firmware frissítések hitelesítésének egy hibájával sikerült átvennie az irányítást az automaták felett. Egy rootkitet telepítve ezután lehetővé vált az adminisztrátori jelszavak, és a gépbe táplált PIN kódok kinyerése, valamint távolról pénzkiadásra is lehetett utasítani a gépeket - ami ugyan látványos lehetett, de a fentieket figyelembe véve nem egy meglepő fordulat.

A szakértő szerint - ugyan a konferencián bemutatott két modell szoftverét azóta befoltozták - bármilyen internetre vagy telefonhálózatra kötött ATM hasonlóan támadható, mivel a gyártók nem követnek semmilyen biztonságos szoftver létrejöttét elősegítő fejlesztési módszertant. Az ATM-ek távolról wardialinggal vagy speciális IP szkenneléssel találhatók meg.

Hiába, a pénzkiadó automaták is csak egyszerű számítógépek.

Címkék: atm blackhat jackpotting

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Depth 2010.07.29. 11:58:27

Pedig milyen jo lenne amikor bulizni megyunk... :D

kz71 2010.07.29. 12:56:17

régebben egy sima DOS-os PC volt, aztán látszott az őrület, hogy majd widózos lesz, sőt, CeBIT-en azt mutogatták, hogyan tudsz majd internetezni is a terminálon, naná, hogy bankkártyás fizetéssel...

nincs új a Nap alatt :-( és mégsem omlik össze a rendszer...ld. Barabási ,,Behálózva'' c. könyvét.

kz

synapse · http://www.synsecblog.com 2010.07.29. 14:58:37

" Pedig milyen jo lenne amikor bulizni megyunk... :D "

ahahahahh

synapse · http://www.synsecblog.com 2010.07.29. 15:04:28

kz71:

ahahah osszeomlik az csak te nem latod ;)

kz71 2010.07.30. 09:32:57

@synapse:
pontatlan voltam: az az egy összeomlik, de nem az egész...sztem nagyon jó Barabási könyve...kötelező olvasmány lenne a hacker-képzőn ;-)
kz