נתי חסיד - כספומט
בארנבי ג 'ק קיבל את הקופה ב Black Hat ביום רביעי. פעמיים.
ניצול באגים בשתי מכונות כספומט שונות, החוקר מ IOActive היה מסוגל לגרום להם לירוק את הכסף על פי דרישה לרשום נתונים רגישים מכרטיסי אנשים שהשתמשו בהם.
הוא הראה את ההתקפות על שני מערכות שרכש בעצמו - סוג של מכונות כספומט גנריות בדרך כלל למצוא ברים וחנויות נוחות. פושעים כבר מכה זה סוג של מכונה במשך שנים, באמצעות skimmers כספומט כדי להקליט נתונים כרטיס מספרי PIN, או בחלק מהמקרים פשוט מושך משאית לגרור את המכונות משם. [
[קרא עוד: כיצד להסיר תוכנות זדוניות שלך Windows PC]אבל על פי ג 'ק יש דרך קלה, הרבה יותר מדאיגה כדי לקבל את הכסף החוצה. פושעים יכולים להתחבר למכונות על ידי חיוג אותם - ג 'ק סבור שלרבים מהם יש כלי ניהול מרחוק שניתן לגשת אליהם דרך הטלפון - ואז לשגר התקפה.
לאחר שהתנסה במכונות שלו, ג'ק פיתח דרך לעקוף את מערכת האימות מרחוק והתקנת rootkit תוצרת בית, בשם Scrooge, המאפשרת לו לעקוף את הקושחה של המכונה. הוא פיתח גם כלי ניהול מקוון, המכונה "דילינג'ר", שיכול לעקוב אחרי מכונות שנפגעו ונתוני החנויות נגנבו מאנשים שמשתמשים בהם.
פושעים יכולים למצוא כספומטים פגיעים באמצעות תוכנת קוד פתוח לחיוג "התקשרות חיוג" של אלפי מספרים, מחפש אלה להגיב כי יש להם את תוכנת ניהול פגיע מותקן. פושעים כבר השתמשו בטכניקה דומה דרך האינטרנט כדי לפרוץ למערכות של נקודות מכירה חשופות.
הכלים של ג'ק הם רק הוכחה של קונספט תוכנה, שנועד להראות עד כמה פגיע המכונות באמת, הוא אמר. "מטרת הדיבור היא לעורר דיון על הדרכים הטובות ביותר להעמיד מחדש, "אמר. "הגיע הזמן לתת את המכשירים האלה לשיפוץ," אמר ג'ק. "חברות המייצרות את המכשירים הן לא מיקרוסופט, לא היו להן 10 שנים של התקפות מתמשכות נגדם". אולם, על פי מערכת ההפעלה Windows CE של מיקרוסופט, בהפגנה על הבמה בלק האט, הוא התחבר מרחוק לכספומט וניהל תוכנית בשם "ג'אפוט" שגרמה לכספומטים לירוק מזומנים, תוך כדי מנגינה ומתיז את המילה "ג'אפוט" על מסך המכשיר. בהדגמה שנייה הוא ניגש למכונה, פתח אותה במפתח שהשיג באינטרנט, והתקין קושחה משלו. מפתח אחד, סטנדרטי, יכול לפתוח סוגים רבים של מכונות, הוא אמר, והציג בעיה ביטחונית חמורה נוספת. ג'ק התכוון למסור את השיחה בכנס של השנה שעברה, אבל הוא נמשך אחרי ששירותי כספומט ביקשו יותר זמן לתקן את הבעיות שהוא גילה.
רוברט מקמילן מכסה את אבטחת המחשב ואת הטכנולוגיה הכללית חדשות חמות עבור
שירות חדשות IDG
. עקוב אחר רוברט בטוויטר ב @bobmcmillan. כתובת הדואר האלקטרוני של רוברט היא [email protected]
חדש גרזן נותן לך גישה שורש דרואיד
האקר Intrapid יש שורש Droid, נותן לבעלי היכולת לעשות יותר עם הטלפונים שלהם. מוטורולה דרואיד כבר מושרשת, על פי האק יום, סוללת את הדרך עבור קשירה אלחוטית, ממשק משתמש מותאם אישית, תמיכה multitouch, ותכונות אחרות שלא אושרו במיוחד על ידי Verizon על פלטפורמת אנדרואיד 2.0. את גרזן פורסמה על ידי Zinx Verituse בפורומים AllDroid, הוספת Droid לשורות של טלפונים חכמים אחרים מושרשים.
Best-of-Breed גיבוי מקוון Memopal נותן לך יותר עבור הכסף שלך (או לא כסף) <
קבל 3GB גיבוי מקוון חינם עם השירות גיבוי מעולה Memopal.
שיעורים חשובים ללמוד מהכובע השחור כספומט גרזן
גרזן כספומט שהוכח ב Black Hat מרשים בצורה סנסציונית, אבל זה גם מחזיקה חוקר אבטחה בשם Barnaby Jack המום המשתתפים בכנס אבטחה בלק האט על ידי פריצה מכונות כספומט בפגישה תחת הכותרת "Jackpotting אוטומטיות Teller מכונות Redux". יש כמה לקחים חשובים שאפשר ללמוד מהג'קסונים שהוכיחו, והם חלים על יותר ממכונות כספומט בלבד.