Flaw stelt geldautomaten open voor hackers

Barnaby Jack, een beveiligingsonderzoeker bij de computernetwerkgigant jeneverbes , had gepland om later deze maand live op het podium van de Black Hat Security Conference in Las Vegas een geldautomaat (ATM) te hacken. Maar zijn presentatie, bedoeld om de onveiligheid van verschillende geldautomaten aan te tonen, trok de aandacht van zowel de financiële sector als beveiligingsprofessionals, en onder druk van geldautomaatfabrikanten annuleerde Juniper de presentatie vorige week, daarbij verwijzend naar de bezorgdheid dat de betrokken kwetsbaarheden nog steeds niet waren opgelost. gemaakt.





De kwetsbaarheid die Barnaby zou bespreken, heeft verstrekkende gevolgen, niet alleen voor de betrokken geldautomaatverkoper, maar ook voor andere geldautomaatverkopers en – uiteindelijk – het publiek, schreef Brendan Lewis, directeur van zakelijke sociale mediarelaties voor Juniper in een verklaring die op de website van het bedrijf is geplaatst. officiële blog vorige week. Als de onderzoeksresultaten openbaar zouden worden gemaakt voordat de getroffen leverancier de blootstelling naar behoren zou kunnen beperken, zou dit hun klanten mogelijk in gevaar hebben gebracht. Dat is iets wat we niet willen zien gebeuren.

De presentatie zou zijn gericht op het misbruiken van kwetsbaarheden in apparaten met het Windows CE-besturingssysteem, waaronder enkele geldautomaten, volgens een bron die bekend is met de details. Hoewel de presentatie werd geannuleerd om fabrikanten meer tijd te geven om de kwetsbaarheden te verhelpen, had Juniper het bedrijf oorspronkelijk bijna acht maanden geleden op de hoogte gebracht, zegt de bron, die vroeg om niet genoemd te worden.

Andere beveiligingsexperts zijn niet verbaasd dat de kwetsbaarheden daar te vinden zijn. Aanzienlijke gebreken in geldautomaten en ATM-netwerken zijn er in overvloed, zegt Nicholas Percoco, senior vice-president van TrustWave , een informatiebeveiligings- en compliancebedrijf dat de beveiliging van betaalautomaten, kiosken en ATM-netwerken heeft beoordeeld. Het is zeer, zeer zeldzaam dat een apparaat naar onze laboratoria komt - sterker nog, ik denk niet dat het is gebeurd - dat we geen kwetsbaarheid vinden, zegt Percoco.



ATM's waren de afgelopen 12 maanden ook het middelpunt van een aantal spraakmakende beveiligingsincidenten. In november 2008 stalen dieven in een paar uur tijd bijna $ 9 miljoen uit meer dan 130 geldautomaten met behulp van valse loonkaarten. De regeling, die plaatsvond in 49 steden over de hele wereld, was gebaseerd op hackers die het netwerk van financiële firma RBS WorldPay braken en kaarten herlaadden, zodat ze gemiddeld $ 90.000 per account konden opnemen.

In januari van dit jaar waarschuwde de op één na grootste maker van geldautomaten, Diebold, klanten in een advies dat bepaalde geldautomaten in Oost-Europa waren geladen met kwaadaardige software die financiële informatie en de geheime pincodes kon stelen van klanten die geldautomaattransacties uitvoeren. De heimelijke software, die ten minste 20 geldautomaten infecteerde, stelde criminelen in staat kaartgegevens op geldautomaten af ​​te drukken en de geldcassette uit de geldautomaatkiosken te werpen, volgens een analyse van de software uitgevoerd door TrustWave.

Zodra de aanvallers via de back-endsystemen binnenkomen, kamperen ze in wezen uit, zegt Percoco. Het is contant geld, dus het is echt geld; het is niet alsof ze een creditcard in rekening brengen en de goederen moeten verkopen.



Een van de aanbevelingen aan zijn klanten was dat Diebold banken en geldautomaateigenaren vroeg om periodiek de beheerderswachtwoorden van de kiosken te wijzigen en ervoor te zorgen dat de firewalls actief zijn. Diebold is van mening dat aanvallers fysieke toegang tot de systemen moesten hebben om de schadelijke software in de eerste plaats te laden. Voor zover het bedrijf weet, is dit het eerste incident dat te maken heeft met een fysieke aanval en installatie van illegale software binnen de geldautomaat, zei Diebold in een destijds uitgegeven verklaring.

NCR, de toonaangevende leverancier van geldautomaten wereldwijd, heeft een meerlagige aanpak gevolgd om zijn geldautomaten te beveiligen. Het bedrijf gebruikt een technologie, bekend als Solidcore, die voorkomt dat ongeautoriseerde code wordt uitgevoerd op zijn Windows-gebaseerde systemen, en het raadt klanten aan het Windows XP-besturingssysteem te vergrendelen met behulp van de ingebouwde firewall en virtual private networking. Andere beveiligingsfuncties zijn onder meer fysieke maatregelen om duidelijk te maken of een fraudeur een apparaat bevestigt om kaartinformatie aan de geldautomaat te stelen, een mechanisme om te voorkomen dat dergelijke apparaten bankkaarten gemakkelijk kunnen lezen en inkt die gestolen geld bevlekt.

Vertegenwoordigers van zowel NCR als Diebold ontkenden echter dat een van hun machines het middelpunt van de demonstratie van Juniper zou zijn.



Het besturingssysteem dat in het getroffen systeem wordt gebruikt, Windows CE, vormt een obstakel voor een snelle oplossing. Microsoft beveelt aan dat Windows CE wordt gebruikt voor goedkope geldautomaten, terwijl Windows XP Embedded en Windows XP Professional worden gebruikt voor meer complete geldautomaten, aldus Microsoft. een witboek op kiosk- en ATM-besturingssysteemplatforms uitgegeven door de softwaremaker. Windows XP Embedded, waarvan de nieuwste versie Windows Embedded Standard 2009 is, en Windows XP Professional zijn veiliger omdat ze gemakkelijker te updaten zijn, zegt de softwaregigant. Een Microsoft-vertegenwoordiger verklaarde dat de softwaregigant geen specifieke informatie had met betrekking tot Black Hat of het geannuleerde gesprek van Juniper.

Bijna 56 procent van de geldautomaten in de Verenigde Staten gebruiken een of andere vorm van het Windows-besturingssysteem en zijn verbonden met een of ander netwerk dat updates kan vergemakkelijken, volgens de TorenGroep , een financieel adviesbureau. De overige apparaten draaien op een ouder besturingssysteem, IBM's OS/2, en hebben doorgaans geen netwerkverbinding. Omdat geldautomaten doorgaans tien jaar of langer meegaan, blijven de oudere op OS/2 gebaseerde machines tot ongeveer 2012 in gebruik, zegt Nicole Sturgill, onderzoeksdirecteur voor leveringskanalen bij de TowerGroup.

Sturgill verwacht dat cybercriminelen nieuwe manieren zullen vinden om geldautomaten aan te vallen. Het is een voortdurend kat-en-muisspel, zegt ze. Het maakt niet uit hoe goed je het hebt: geldautomaten zullen altijd een plek zijn om toegang te krijgen tot contant geld, dus criminelen zullen altijd geïnteresseerd zijn in het vinden van een nieuw gat in de geldautomaten.



zich verstoppen