Geldautomaten in VS zijn te hacken

Demonstratie op Black Hat

29 juli 2010 | Pieterjan Van Leemputten
Amerikaanse geldautomaten hackbaar

Op de hackersbeurs Black Hat in Las Vegas demonstreert een onderzoeker hoe hij Amerikaanse geldautomaten hackt. De machine spuwt de briefjes zomaar uit.

De hack werd vorige maand aangekondigd en deze week uitgevoerd door Barnaby Jack, hoofd beveiligingstests bij IOActive. Tijdens zijn demonstratie zette hij twee Amerikaanse geldautomaten op het podium. Kort daarna rolden de dollarbriefjes eruit.

Volledige controle over automaat
Jack wil vooral aantonen dat dergelijke systemen niet waterdicht zijn. Een van de pogingen houdt in dat je van buitenaf met een telefoonmodem verbinding maakt met de automaat. Zo kon hij zonder dat hij een wachtwoord nodig heeft de hele geldvoorraad opvragen.

Enkele jaren geleden kocht de man enkele losstaande bankautomaten. Zo leerde hij de kwetsbaarheden en programmeerfouten in het systeem. Naar eigen zeggen kan hij het systeem nu volledig controleren.

“Elke automaat die ik heb bekeken, heeft een game-over-kwetsbaarheid waarmee een aanvaller geld uit de machine kan krijgen.”

Wel heeft Jack alleen losstaande apparaten getest en geen ingebouwde machines zoals die aan bankfilialen zelf.

Ook in Europa?
Het is onduidelijk in welke mate Europese geldautomaten kwetsbaar zijn voor het probleem. In België en Nederland zijn bijna alle geldautomaten ingebouwde systemen die vaak letterlijk verbonden zijn met het bankkantoor.

In de VS kom je doorgaans eerder losstaande automaten tegen. Winkeliers of hoteluitbaters zetten ze in hun zaak.

Patch beschikbaar
Jack heeft Tranax en Triton, de fabrikanten van de twee automaten, vorig jaar al gewaarschuwd. Intussen hebben zij een patch uitgebracht voor de kwetsbaarheden. Maar wie een dergelijke geldmachine bezit in zijn winkel of restaurant, moet die patch uiteraard wel ook toepassen.

Niet openbaar gemaakt
Bankautomaten hacken is niet nieuw, maar het is de eerste keer dat de programmeercode van dergelijke systemen zo op de korrel wordt genomen.

In sommige gevallen was de ingebouwde brandkast bijvoorbeeld goed beveiligd, maar het moederbord dat de opdracht geeft om het geld eruit te halen niet.

Aan onze collega’s van CNet verklaarde Jack alvast dat hij de kwetsbaarheden niet openbaar zal maken.

bron: CNet

bewaar pdf meld een fout reacties verstuur print
Share/Bookmark
Tags: financieel, beveiliging, geld, blackhat

GERELATEERDE ARTIKELS OP ITPRO:

Reacties

Reageer op dit artikel

Klik om in te loggen

0 reacties op dit artikel:

 
Beveiliging

download van de dag

Acronis Drive Monitor

Je harde schijf is een van de meest kwetsbare onderdelen van je pc. Acronis Drive Monitor houdt op de achtergrond een oogje in het zeil en waarschuwt bij naderend onheil.

in de kijker

WordPress 3.0

De voortdurende innovatiedrang bij WordPress heeft de blogsoftware van weleer naar een hoog niveau gebracht. Release 3.0 toont aan dat WordPress meer dan ooit voor kleinere en middelgrote webprojecten kan ingezet worden. Het is duidelijk dat er ambitie is om een volwaardig CMS te worden.

jobat

Hoeveel verdiende Mark Zuckerberg al met Facebook?

Veel! De 25-jarige Facebook-oprichter is de jongste miljardair op aarde. Zijn vermogen?

ICT directory

In de ICT Directory vind je alles en iedereen die iets met ICT te maken heeft.

Zoek bedrijf:

IT Reseller