Titkos biztonsági hibák az ATM-ek szoftverében

Az idei Black Hat hackerkonferencia slágertémája a bankjegykiadó automaták szoftvereinek sérülékenysége lehet, legalábbis ha hihetünk a széles körben terjesztett promóciónak, ami szerint Barnaby Jack, a korábban a Juniper Networksnél biztonságtechnikával foglalkozó szakember idén újra az ATM-eket vette célba, és be fog mutatni több olyan sebezhetőséget, amelyek igen komoly biztonsági kockázatot jelentenek.

A szakember a július 28-29-én tartott konferenciára egy „Bankjegykiadó automaták kifosztása” című előadást hirdetett meg, ahol több olyan támadási koncepciót kíván bemutatni, melyekkel az automaták távolról, a hálózatra alapozva irányíthatók. Egy multiplatformos ATM-rootkitet mutat be, ami, ha valóban működik, azt illik komolyan venni az egész ATM-iparágnak.

Barnaby Jack már tavaly is kihúzta a gyufát, mivel az akkori konferenciára meghirdetett, ugyanerről szóló előadását a Juniper egy érintett gyártó kérésére letiltotta, ugyanis az cég attól tartott, hogy az információk segíthetik a bűnözőket a rendszer gyengeségeinek kihasználásában. A problémák nem kerültek nyilvánosságra, de a múlt hónapban Jack új állást talált, így még egyszer nekifut az előadásnak.

A hírek szerint nem a szokásos megkerülős hackermódszerről van szó ezeknél a sebezhetőségeknél, hanem Jack olyan módszert fedezett fel, ami szoftverhibákra építve képes manipulálni az automatákat (beharangozójában a Terminátor 2 emlékezetes jelenetére utal, amikor a kamasz John Connor egy jelszófejtő eszköz segítségével foszt ki egy ATM-et). A szakember a munkahelyi tiltás utáni időt újabb kutatásokra szánta, aminek meg is lett az eredménye: míg tavaly egy nagy gyártócégnél tudta bizonyítani a sérülékenységet, idén már két modell esetében képes erre. Azt természetesen nem mondta el, hogy mely cégekről van szó, de a Black Hat szervező igazgatója, Jeff Moss szerint a legnagyobbakról lehet szó.