Hacker laat pinautomaat geld uitspuwen

29-07-2010 14:17 | Door Jolein de Rooij | Lees meer artikelen over: Malware | Er zijn 11 reacties op dit artikel | Permalink

Het is mogelijk malware te installeren op pinautomaten die de machine geld laat uitkeren, zonder dat een bankpasje is ingevoerd en zonder dat een bankrekening wordt aangesproken. Dat demonstreerde beveiligingsonderzoeker Barnaby Jack van IOActive Labs op de Black Hatconferentie in Las Vegas. Hij voerde zijn stunt uit om leveranciers van pinautomaten duidelijk te maken dat ze hun code serieuzer moeten redigeren en testen.

Jack voerde de aanval uit op twee zelf aangeschafte Windows CE-gebaseerde pinautomaten van twee specifieke leveranciers: Tranax en Triton. Deze bedrijven hebben de door Jack ontdekte lekken gedicht, maar volgens hem zijn ook automaten van andere leveranciers vatbaar.

De onderzoeker demonstreerde hoe hij zowel lokaal als op afstand op de machines kon inbreken. Met een via het web voor tien dollar aangekochte beveiligingssleutel kon hij een machine openen. Vervolgens toonde hij hoe een usb kon inpluggen en de firmware overschrijven.

Ook demonstreerde hij hoe van afstand de authenticatie kon omzeilen die nodig is om toegang te krijgen tot een configuratietool. Jack kon allerlei instellingen wijzigen, waaronder wachtwoorden. Via een zelf ontworpen hacktool kon de beveiligingsonderzoeker, door op een 'Jackpot!'-knop te drukken, de machine geld uit laten uitkeren.

Afluisteren transacties

De onderzoeker waarschuwde dat het ook mogelijk is om ongemerkt financiële transacties, waaronder pincodes, af te luisteren. De onderzoeker heeft zijn aanvalstechnieken niet in detail vrijgegeven. Hij roept leveranciers van pinautomaten op hun code serieuzer te redigeren en testen en hun firmware beter te beveiligen. Ook pleit hij ervoor om ervoor te zorgen dat de mogelijkheid om pinautomaten op afstand te configureren standaard uit staat.

Volgens de onderzoeker is zijn aanvalsmethode in sommige gevallen nog eenvoudiger dan het 'skimmen' van een pinautomaat. Dat is een vorm van betaalpasfraude, waarbij criminelen de magneetstrip van een pas kopiëren en de pincode bemachtigen op het moment dat een betaaltransactie wordt verricht.

Jaap uit K., 29-07-2010 18:59

Ook slim om dit zo openbaar te maken. Nu gaan allerlei hackers dus proberen geldautomaten op afstand te kraken.
Ook al geeft Barnaby Jack geen details vrij, iemand die iets van die automaten afweet, weet ook waar hij nu moet zoeken.

Rob C, 29-07-2010 20:40

ABN AMRO bank is de eerste waarbij het gelukt is :)
Jammer dat ze dat stug blijven ontkennen.

Aan iedereen die het wil proberen:

- BT4 Pre-Final
- USB prismacard.

FezzFest, 29-07-2010 21:54

@Rob: we hebben het hier NIET over het kraken van WEP-beveiliging van draadloze netwerken van sommige banken.
Dit is iets helemaal anders. Misschien dat ik ook maar eens moet gaan zien naar zo'n sleuteltje ;)

Evert, 30-07-2010 13:14

Wie daar een leuk boek over wil lezen, waarin dit al min of meer (geromantiseerd) beschreven is, zou "De blinde muur" van Mankell Henning eens moeten lezen.

Broek, 30-07-2010 19:14

@ Jaap uit K., 29-07-2010 18:59
Er staat toch helemaal niks?
Er zijn sowieso maar 2 opties om iets te kraken; lokaal en op afstand...
Lijkt me stug dat als je van plan bent een pinapparaat te hacken 1 van deze 2 mogelijkheden over het hoofd ziet.

Is dat zo ?, 02-08-2010 16:02

Of dit zo simpel is ? Vergeet niet dat Barnaby Jack een pinautomaten had aangeschaft en waarschijnlijk op zijn eigen netwerk had aangesloten om het vervolgens aan te vallen. Je zult toch eerst eens op het "Bank" netwerk binnen moeten komen voordat je naar stap 2 gaat en de pinautomaat gaat aanvallen. Het meest simpele praktische lijkt me de netwerk bekabeling te onderscheppen. Geen idee tot hoe ver dit beveiligt is. Ergens zal namelijk een fysieke verbinding naar het netwerk worden gemaakt.
Begin maar te graven LOL …. maar dan zit je wel op het bank netwerk en omzeil je de firewall...Mits je dan de kennis van Barnaby Jack hack kent en het type pinautomaat maak je minimaal eens kans...

Peter, 04-08-2010 23:11

Ik kan bewijzen dat ik met een hamer het raam van mijn buren kan inslaan.

Doet ik dit? Doet u dit? Waarom worden deze hackers uit het duistere opensourcemilieu altijd opgevoerd als helden in de media?

ICT-er, 05-08-2010 0:02

@Peter, ben jij je pilletje weer eens vergeten?

Barnaby Jack komt uit de wereld van closed source en ICT security onderzoek en consultancy, geen open source.

Peter , 05-08-2010 11:57

OK ICT
Ik heb mijn pilletje genomen

Ik kan bewijzen dat ik met een hamer het raam van mijn buren kan inslaan.

Doet ik dit? Doet u dit? Waarom worden deze hackers uit het duistere closed source milieu altijd opgevoerd als helden in de media?

Zoiets zie je toch niet in de worldwide community of free open source developers fighting for a better world

Jan van Leeuwen, 05-08-2010 12:54

@Peter, wanneer ga je proberen om volwassen te worden?
Dit soort reacties zijn uiterst puberaal.

Peter, 05-08-2010 13:33

Jan,

Ik heb u al eerder ontmoet in dit forum. Is uw moto " Als ik het niet kan halen met argumenten geef ik een slag onder de gordel?"

Mijn stelling is

Ik kan bewijzen dat ik met een hamer het raam van mijn buren kan inslaan.

Doet ik dit? Doet u dat? Waarom worden deze hackers uit het duistere open source milieu of close source milieu altijd opgevoerd als helden in de media?

	Aantal reacties met 3+ sterren		Gemiddelde waardering
1	PaVaKe	154	6.4
2	Reza Sarshar	120	6.7
3	Henri Koppen	109	6.4
4	edekkinga	79	6.6
5	Jaap-G	53	6.1
6	Guido Groeneweg	49	6.3
7	Ruud Mulder	47	6.5
8	mauwerd	43	6.1
9	Frank Brechts	43	6.0
10	Rob Koelmans	40	6.3

Nieuws / Security

Hacker laat pinautomaat geld uitspuwen

Afluisteren transacties

10-02 Infor helpt Ferrari met bouwen F1-auto's

10-02 Tester Four Oaks in Israëlische handen

10-02 IS Online en Tres zijn klaar voor Elfstedentocht

10-02 SecureLink migreert Microsoft-diensten Atradius

10-02 Nieuwe software brengt Vitens in problemen

10-02 Ex-Misys-topman moet CSC uit penarie helpen

10-02 Veenman en 20/20 vision adviseren samen klant

10-02 Cisco maakt 2,2 miljard dollar kwartaalwinst

10-02 Misys en Temenos willen fuseren

10-02 Raet stelt Schrijnemaekers als nieuwe CFO aan

10-02 SecureLink migreert Microsoft-diensten Atradius

09-02 Vodafone: Wij spelen klantinformatie niet door

09-02 Lang leve de hackers!

09-02 'Ook met cookiewet is gebruiker niet anoniem'

09-02 'KPN koppelt ID aan internetverkeer'

08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'

07-02 Eigen werknemer kan ook een vijand zijn

03-02 'Overheid vreest voor veiligheid in de cloud'

01-02 F5 beschermt openbare websites

31-01 Publieksvoorlichting is belangrijke taak voor NCSC

13-07-11 ICSPA: Er is geen stereotype hacker

20-12-10 Google geeft alarm bij gehackte site

14-10-10 ITSP richt zich op Microsoft-clouddiensten

18-08-08 Internetbankieren onveilig ondanks 3x kloppen

Best Practices om laptop-data te beschermen