Peretasan ATM Memberikan Uang Tuntutan

Barnaby Jack memukul jackpot di Black Hat pada hari Rabu. Dua kali.

Memanfaatkan bug di dua mesin ATM yang berbeda, peneliti dari IOActive mampu membuat mereka memuntahkan uang pada permintaan dan merekam data sensitif dari kartu orang yang menggunakannya.

Dia menunjukkan serangan pada dua sistem yang ia beli sendiri - jenis mesin ATM generik yang biasanya ditemukan di bar dan toko serba ada. Penjahat telah memukul mesin jenis ini selama bertahun-tahun, menggunakan ATM skimmer untuk mencatat data kartu dan nomor PIN, atau dalam beberapa kasus hanya dengan menarik truk dan mengangkut alat berat.

[Bacaan lebih lanjut: Cara menghapus malware dari Anda Windows PC]

Tapi menurut Jack ada cara yang lebih mudah dan lebih mengkhawatirkan untuk mengeluarkan uang. Penjahat dapat terhubung ke mesin dengan memanggil mereka - Jack percaya sejumlah besar dari mereka memiliki alat manajemen jarak jauh yang dapat diakses melalui telepon - dan kemudian meluncurkan serangan.

Setelah bereksperimen dengan mesin sendiri, Jack mengembangkan cara melewati sistem otentikasi jarak jauh dan menginstal rootkit buatan sendiri, bernama Scrooge, yang memungkinkan dia mengganti firmware mesin. Dia juga mengembangkan alat manajemen online, yang disebut Dillinger, yang dapat melacak mesin yang dikompromikan dan menyimpan data yang dicuri dari orang-orang yang menggunakannya.

Penjahat dapat menemukan ATM yang rentan dengan menggunakan perangkat lunak "perang-panggilan" open-source untuk memanggil ratusan dari ribuan angka, mencari mereka yang menanggapi dengan mengatakan mereka memiliki perangkat lunak manajemen yang rentan diinstal. Penjahat telah menggunakan teknik yang sama di Internet untuk membobol sistem point-of-sale yang rentan.

Alat-alat Jack hanyalah perangkat lunak bukti-konsep, yang dirancang untuk menunjukkan seberapa rentan mesin itu sebenarnya, katanya. "Tujuan dari pembicaraan adalah untuk memicu diskusi tentang cara terbaik untuk memulihkan," katanya.

"Sudah waktunya untuk memberi perangkat ini perbaikan," kata Jack. "Perusahaan yang memproduksi perangkat itu bukan Microsoft. Mereka tidak punya 10 tahun serangan terus-menerus terhadap mereka."

Mesin-mesin yang diretas Jack, bagaimanapun, didasarkan pada sistem operasi Microsoft Windows CE.

Secara dramatis di panggung demonstrasi di Black Hat, dia terhubung dari jarak jauh ke ATM dan menjalankan program yang disebut Jackpot yang menyebabkan ATM memuntahkan uang tunai, sambil memainkan lagu dan memercikkan kata "Jackpot" di layar mesin.

Dalam demo kedua, dia berjalan ke mesin, membukanya dengan kunci yang diperolehnya di Internet, dan memasang firmware sendiri. Kunci tunggal yang standar dapat membuka banyak jenis mesin yang berbeda, katanya, menghadirkan masalah keamanan serius lainnya.

Jack telah merencanakan untuk menyampaikan ceramah pada konferensi tahun lalu, tetapi itu ditarik setelah vendor ATM meminta lebih banyak waktu untuk menambal masalah yang dia temukan.

Robert McMillan mencakup keamanan komputer dan teknologi umum mengenai berita untuk The IDG News Service. Ikuti Robert di Twitter di @bobmcmillan. Alamat e-mail Robert adalah [email protected]