Puţini oameni ştiu că există pe lume companii de securitate IT ai căror angajați își petrec majoritatea timpului căutând noi metode de hacking şi exploit-uri pe care să le poată face apoi publice la conferinţe, omiţând de regulă să comunice mai întâi vulnerabilităţile identificate firmelor ale căror echipamente le compromit. Conferinţa anuală Black Hat Security 2010 va avea loc în perioada 28-29 iulie la cazino-ul Caesar Palace din Las Vegas, Nevada, ocazie cu care vor fi prezentate noi breşe în securitatea IT.
Image may be NSFW.
Clik here to view.
La această conferinţă în chiar prima zi este programată prezentarea unui anume Jack Barnaby, intitulată “Jackpotting Automated Teller Machines Redux“. Jack Barnaby promite că, pentru a se răzbuna pentru anularea prezentării de la ediţia Black Hat Security de anul trecut (când avea pregătit un hack pentru un singur model de ATM şi a fost nevoit să renunţe la prezentarea acestuia din cauză că era încă angajat la producătorul de bancomate Juniper Networks), anul acesta are în sacoşă breşe în securitatea unui număr de 2 modele fabricate de producători diferiţi (în prezent nu mai lucrează pentru Juniper Networks).
Barnaby va demonstra atât atacuri locale (care presupun prezenţa fizică lângă ATM-ul ce urmează să fie compromis) cât şi atacuri “remote” (de la distanţă) şi va dezvălui un rootkit» multi-platformă destinat ATM-urilor. În încheiere, va discuta despre mecanismele de protecţie pe care producătorii de ATM-uri le pot implementa pentru a-şi proteja dispozitivele de aceste atacuri.
Dar cireaşa de pe tort va fi prezentarea exploit-ului care va determina un ATM să dea jackpot-ul, adică să-şi verse afară toţi banii. Lucrul ăsta n-ar trebui să mire pe prea multă lume, dacă luăm în calcul numărul uriaş de computere care există pe planetă în prezent, iar ATM-urile nu sunt altceva decât nişte calculatoare ambalate în nişte carcase mai extravagante. Majoritatea atacurilor asupra ATM-urilor implică folosirea cardurilor clonate sau furtul fizic al acestora, rareori auzind despre atacuri asupra programelor software care rulează pe aceste sisteme informatice.
Conform unei alte noutăţi apărute pe Softpedia, la o conferinţă similară “Hack in the Box“, un renumit expert european în securitate IT, Raoul Chiesa, a fost nevoit să-şi anuleze o prezentare pe aceeaşi temă, a compromiterii bancomatelor, în urma presiunilor făcute de producătorii de ATM-uri. Raoul Chiesa, white hacker italian, urma să prezinte rezultatele mai multor ani de studii în domeniul economiei subterane. Decizia este surprinzătoare, deoarece Chiesa a făcut deja publică respectiva prezentare la alte conferinţe, aceasta fiind disponibilă online.
Eu ce concluzie să trag din povestea asta? Că producătorii de bancomate cunosc slăbiciunile propriilor produse şi preferă să-şi folosească avocaţii pentru a împiedica popularizarea acestor breşe în loc să le remedieze? O fi mai ieftină metoda asta? Oare va reuşi Jack Barnaby să-şi ţină până la urmă prezentarea de la BlackHat Security 2010?
Pe teme similare:
- Jack Barnaby demonstrează că și ATM-urile sunt vulnerabile
- Hackerii și browserele. E de rău :(
- Hackerii de la Anonymous „doboară” peste 40 de siteuri cu pornografie infantilă
Clik here to view.
