Exploatarea de bug-uri în două mașini ATM diferite, cercetătorul de la IOActive a reușit să-i facă să scape bani la cerere și să înregistreze date sensibile din cărțile celor care le-au folosit. sistemele pe care le-a cumpărat - tipul de mașini generice de ATM aflate în mod obișnuit în baruri și în magazinele convenționale. Criminalii au lovit ani de zile acest tip de mașină, folosind scannerele ATM pentru a înregistra date despre carduri și numerele PIN sau, în unele cazuri, pur și simplu trag

Dar, conform lui Jack, există o modalitate mai ușoară, mult mai alarmantă de a scoate banii. Criminalii se pot conecta la mașini prin apelarea acestora - Jack crede că un număr mare dintre aceștia au unelte de gestionare la distanță care pot fi accesate prin telefon - și apoi lansând un atac.

După ce a experimentat propriile mașini, Jack a dezvoltat un mod de ocolire a sistemului de autentificare de la distanță și de instalare a unui rootkit de tip home, numit Scrooge, care îi permite să suprascrie firmware-ul mașinii. El a dezvoltat, de asemenea, un instrument de gestionare online, numit Dillinger, care poate ține evidența mașinilor compromise și poate stoca date furate de la persoanele care le utilizează.

Criminalii ar putea găsi ATM-uri vulnerabile utilizând software-ul "open-call" de mii de numere, căutând pe cei care răspund spunând că au instalat software-ul de gestionare vulnerabil. Criminalii au folosit deja o tehnică similară pe Internet pentru a intra în sistemele vulnerabile ale punctelor de vânzare.

Instrumentele lui Jack sunt doar software-ul de tip proof-of-concept, conceput pentru a arăta cât de vulnerabile sunt în realitate mașinile, a spus el. "Scopul discuției este de a declanșa discuții despre cele mai bune modalități de remediere", a spus el. "Este timpul să dați acestor dispozitive o revizie", a spus Jack. "Companiile care fabrică dispozitivele nu sunt Microsoft și nu au avut 10 ani de atacuri continue împotriva lor."

Mașinile Jack a fost hacked, totuși, bazate pe sistemul de operare Microsoft Windows CE. pe demonstrație la Black Hat, el a fost conectat de la distanță la un bancomat și a executat un program numit Jackpot care a făcut ca ATM-urile să scape de bani, în timp ce juca o melodie și împrospătează cuvântul "Jackpot" pe ecranul mașinii.

Într-un al doilea demo, el a urcat la mașină, a deschis-o cu o cheie pe care a obținut-o pe Internet și a instalat propriul firmware. O singură cheie standard poate deschide mai multe tipuri de mașini, a spus el, prezentând o altă problemă serioasă de securitate.

Jack planificase să-și transmită discuția la conferința de anul trecut, dar a fost tras după ce furnizorii de ATM au cerut mai mult timp pentru a patch-uri problemele pe care le-a descoperit.

Robert McMillan acoperă securitatea informatică și știrile generale de ultimă generație pentru

Serviciul de știri IDG

. Urmați pe Robert pe Twitter la @ bobmcmillan. Adresa de e-mail a lui Robert este robert_mcmillan@idg.com