LAS VEGAS — orașul cazinourilor pline de jocuri automate a fost ales pentru a demonstra că și bancomatele sunt făcute la urma-urmei tot de către oameni. Iar tot cea ce este făcut de mâna omului poate fi desfăcut tot de către oameni. După cum scriam în urmă cu trei săptămâni, la conferinţa anuală Black Hat Security 2010 care a avut loc în perioada 28-29 iulie la cazino-ul Caesar Palace (situat în orașul despre care umblă mitul că s-ar vedea uneori de pe Lună), au fost prezentate câteva scheme de compromitere a unor bancomate. Omul de pe scenă a fost cercetătorul Jack Barnaby (un white hat hacker în adevăratul sens al cuvântului), acesta demonstrând două metode de hacking a ATM-urilor, unul finalizându-se printr-o trombă spectaculoasă de bancnote aruncate de către bancomatul învins (în mod normal banii nu zboară din bancomate ci sunt opriți chiar în fanta de ieșire dar este posibil ca inclusiv secvența de program care dirijează acest mecanism să fi fost modificată).
Demonstrația a fost apreciată cu țipete de uimire și aplauze.
Într-unul dintre atacuri, Jack a reprogramat de la distanță (remotely) prin intermediul rețelei un ATM fără să atingă mașina. Al doilea atac a presupus deschiderea panoului frontal și conectarea unui stick USB încărcat cu malware. Cele două ATM-uri erau modele produse de către companiile Triton și Tranax. Scula Tranax a fost compromisă prin folosirea unei vulnerabilități care permite ocolirea sistemului de autentificare, ATM-ul putând fi accesat fie prin internet sau prin dial-up, în funcție de setările făcute de către proprietarul acestuia. Pentru ca atacul să aibă sorți de izbândă, trebuie cunoscută adresa IP sau numărul de telefon asignat bancomatului.
Atacul asupra ATM-ului produs de către Triton a fost posibil datorită unei breșe în securitate care permite programelor neautorizate să fie executate pe sistem. Compania a distribuit un patch în noiembrie 2009 astfel încât doar codul semnat digital poate fi rulat pe aceste sisteme. (Patch-ul cu pricina a fost eliberat în urma notificării făcute de către Jack Barnaby). Atât pe bancomatul Triton cât și pe cel Tranax rulează sistemul de operare Windows CE.
Folosind o unealtă de atac de la distanță, denumită Dillinger, Jack a reușit să păcălească sistemul de monitorizare de la distanță a bancomatului Tranax și să uploadeze propriile programe ori chiar să rescrie întregul firmware. Profitând de acest fapt, Barnaby a instalat o aplicație de tip malware pe care a scris-o personal și a botezat-o Scrooge.
Scrooge rulează în liniște în fundal – „background” – (similar cu programele de tip keylogger de pe calculatoarea unora dintre noi) până când este activat de către persoana potrivită. Inițierea lui Scrooge poate fi realizată în două moduri: printr-o secvență de cod introdusă de la tastatura bancomatului ori prin introducerea unui card special modificat. Ambele metode activează un meniu secret care îi dă atacatorului posibilitatea să-i comande ATM-ului să elibereze bani sau să tipărească chitanțe. De asemenea, Scrooge va captura datele scrise pe benzile magnetice ale cărților de credit introduse în bancomat de către alți utilizatori.
Pentru a compromite ATM-ul produs de Triton, Jack a folosit o cheie pentru a deschide panoul frontal al acestuia, pe urmă a conectat propriul USB stick care conține malware special scris în acest scop. ATM-ul folosește o încuietoare universală la toate sistemele de acest tip – similară cu cele de la fișetele metalice – care poate fi deschisă cu o cheie ce poate fi achiziționată cu 10 dolari de pe internet. Aceeași cheie deschide fiecare bancomat Triton. Cei doi reprezentanți ai companiei Triton au declarat la o conferință de presă ulterioară prezentării lui Barnaby că acest sistem de încuietoare este preferat de către clienții companiei din cauza ușurinței de a menține flote de ATM-uri fără a fi necesare mai multe chei. Tot aceștia au precizat că există un kit de încuietori de tip Medeco care oferă o rezistență superioară.
Atacuri similare cu malware au fost descoperite la unele ATM-uri din estul Europei. Cercetători în domeniul securității de la Trustwave (Chicago) au descoperit malware pe 20 de ATM-uri din Rusia și Ucraina (sistemul de operare folosit de către acestea era Windows XP) împrenă cu indicii conform cărora hackerii plănuiau să exporte aceste atacuri înspre SUA. Programele malware erau destinate să compromită bancomatele fabricate de Diebold și NCR.
Aceste atacuri necesită de regulă complicitatea unui om din interior cum ar fi un tehnician al ATM-ului sau oricine care posedă o cheie a acestuia, pentru a putea instala programul malware pe ATM. Odată realizat acest lucru, atacatorii pot introduce un card de control în cititorul de carduri al mașinii pentru a iniția malware-ul și a le da acestora controlul asupra ATM-ului printr-un meniu afișat pe ecran și prin acceptarea de comenzi de la tastatura acestuia.
Cireașa de pe tort este că aceste programe capturează și memorează datele conținute de benzile magnetice ale cardurilor oamenilor care folosesc ATM-ul împreună cu codurile PIN aferente, prin copierea datelor procesate de către aplicația bancomatului responsabilă cu tranzacțiile bancare. Informațiile ajung apoi în posesia atacatorilor prin tipărire pe chitanțe chiar de către bancomat ori prin stocarea criptată pe dispozitivul de stocare a datelor introdus în cititorul de carduri. Omul care deține controlul asupra bancomatului îi poate da acestuia instrucțiuni să elibereze banii pe care-i are în secțiunea securizată. Un bancomat plin de bani poate conține până la câteva miliarde de lei cash.
Deci se poate spune „Adio” bătăilor de cap generate de obținerea unor fețe de bancomat funcționale, fabricarea de bucle libaneze, mini-camere video, tastaturi false sau chiar furtul bancomatului. Folosind astfel de programe, obținerea de bani din bancomate devine mai simplă și mai elegantă (a se citi: „mai greu de probat”).
Mai devreme în acest an, într-un incident separat, un angajat al Bank of America a fost acuzat de instalarea unui program malware pe bancomatele băncii care i-a permis retrageri de zeci de mii de dolari fără să rămână urme ale acestor tranzacții.
Jack Barnaby a declarat că a examinat ATM-urile fabricate de către patru producători diferiți și toate prezintă vulnerabilități, refuzând să furnizeze detalii suplimentare despre acestea, deoarece fostul său angajator, Juniper Networks, deține drepturi asupra respectivei munci de cercetare.
Scopul acestei demonstrații a fost convingerea oamenilor să acorde o atenție mai mare asupra sistemelor de securitate ale bancomatelor, sisteme despre care se prezumă în mod eronat că sunt impenetrabile. Nu știu ce impact a avut asupra altora mie cu siguranță că au reușit să-mi capteze atenția.