2025. július 5., szombat - Sarolta, Emese

Hogyan lopjunk pénzt bankautomatából?

2008-03-18 1019

Biztonsági szakértők nemrég arra világítottak rá, hogy mennyire egyszerûen hozzá lehet férni egy ATM-en (akit érdekel a rövidítés: automated teller machine) keresztül a pénzhez, illetve bankszámlák adataihoz. Nem kell hozzá más, csak egy modern pénzautomata, amelyen Windows fut. Az Egyesült Királyságban...

...ennek a feltételnek az ottani automaták 90 százaléka megfelel: a brit ATM-ek java PC-s (inteles) hardveren és a Microsoft által készített operációs rendszeren alapul.

Nemrég a Network Box nevû, IT-biztonsággal foglalkozó cég demonstrálta a veszély mértékét. A bemutató szerint mindössze a személyi azonosító szám titkosított, amikor az információ elküldésre kerül egy bank automatától egy hálózatba kötött banki számítógéphez. Sem a kártyaszámok, sem azok lejárati ideje, a tranzakciók összege és a számlák egyenlege nincs titkosítva - ezek az adatok egyszerû szövegként kerülnek tárolásra, amelyet bárki megszerezhet aközben, mialatt továbbításra kerül a hálózaton keresztül az információ.

És ennél még sebezhetőbbnek bizonyultak az úgynevezett „kabinet” ATM-ek, amelyek többnyire boltokban, kocsmákban, éttermekben találhatók. Az Information Risk Management (IRM) kutatói fizikailag is képesek voltak széfjeik kinyitására és a bennük tárolt pénz elvitelére, anélkül, hogy ehhez megkapták volna a szükséges eszközöket az automatákat mûködtető pénzintézetektől.

Egy kis történelem
Nem 2008 termése a jelenség: a modern ATM-ek sebezhetőségére már 2003-ban felhívták a figyelmet. Akkor a Nachi nevû, Interneten keresztül szaporodó féreg fertőzte a „biztonságos” hálózatokat, és rajtuk keresztül a pénzkiadó készülékeket (az érdekes esetről írt cikkünk). De szóba lehetne hozni az SQL Slammer férget is, amely több mint 13 ezer Bank of America ATM-et fektetett két vállra: leállította operációs rendszerüket, ezzel akadályozva az általuk bonyolítandó tranzakciókat. Igaz, ezek még nem lopták el az információkat, „csak” megbénították a bankautomata rendszert.

A történtek ellenére a pénzintézetek a homogén, Windows-alapú rendszerek irányába mozdultak el: az egységesített feladatkezelés - mint az élet minden más területén - itt is a költségek csökkentésének lehetőségével járt. A nem heterogén környezet azonban mindig sebezhetőbb (egyesek szerint ez az oka a méhek drámai pusztulásának is: eltûnőben van a szorgos rovarok biológiai diverzitása, aminek következtében fokozottabban érzékenyek a fertőzésekre).

Martin Macmillan, az ATM-ek fejlesztésével foglalkozó Level Four Software igazgatója szerint az ATM-eket manapság már ugyanúgy rendszeresen patch-elni kell, mint a hagyományos PC-ket. Amelyik automata nem kapja meg az éppen esedékes frissítés(eke)t, az könnyen kiszolgáltatottá válhat. Ráadásul megbízhatóságuk sem olyan, mint a régi, még OS/2-re alapuló elődeiknél, legalábbis Macmillan állítása szerint. A szakértő elmondta, hogy az újgenerációs ATM-ek némelyike üzemidejének 30 százalékát is leállítva tölti.

Gyan Chawdhary, az IRM vezető biztonsági tanácsadója is megszólalt az eset kapcsán. Véleménye szerint a hagyományos PC-s architektúrára való átállással jóval egyszerûbbé vált a pénzhez (vagy adatokhoz) való jutás. Csak minimális programozási képességekkel kell rendelkeznie annak, aki illegálisan szeretne pénzt szerezni; szerinte bármelyik átlagos hacker képes lenne az ATM hálózat legalább néhány tagja révén illegálisan pénzt szerezni. Az IRM kutatói vizsgálatuk során arra a következtetésre jutottak, hogy három automatából kettő „kipucolható”. A széfet az alapértelmezett kulcskóddal ki tudták nyitni, amit a széf online használati útmutatójában fedeztek fel. Emellett képesek voltak újraindítani az ATM-ek szoftverét is, és mérnöki módban át tudták venni az ellenőrzést a masinák felett.

(Forrás: www.terminal.hu)

Hírfigyelő

Kiváncsi, mit írnak a versenytársakról? Elsőként olvasná a szakmájával kapcsolatos információkat? Kulcsemberekre, projektekre, konkurensekre figyelne? Segítünk!

Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.

 

 


 

Tipp

Időrendben

« Július 2025 »
H K Sze Cs P Szo V
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31      

Tartalom galéria

Hétvégi tippek, kulturális programajánló

Hétvégi tippek, kulturális programajánló

More details
EDGE Fest Conference – Határokat feszegető építészeti gondolatok Budapesten

EDGE Fest Conference – Határokat feszegető építészeti gondolatok Budapesten

More details
Belvárosi SUP túra a Dunán, 2025. július 2-6.

Belvárosi SUP túra a Dunán, 2025. július 2-6.

More details
„Egészenén” élmény a dm-ben – a got2b nyári beauty eseménye

„Egészenén” élmény a dm-ben – a got2b nyári beauty eseménye

More details
Új gasztronómiai élményközpont épül Érden

Új gasztronómiai élményközpont épül Érden

More details
Már lehet jelentkezni a Westend hackathonjára

Már lehet jelentkezni a Westend hackathonjára

More details
Megtudhatom az okosórámról mindazt, amit eddig csak a gyártó tudott

Megtudhatom az okosórámról mindazt, amit eddig csak a gyártó tudott

More details
A jogellenes tartalmak eltávolításának jogkövetkezményei

A jogellenes tartalmak eltávolításának jogkövetkezményei

More details
Jogértelmezés a mesterséges intelligencia segítségével - mit nyújthat az AI a laikusoknak?

Jogértelmezés a mesterséges intelligencia segítségével - mit nyújthat az AI a laikusoknak?

More details
Az Üzleti Hírszerzés portál kiadója az O|G|H - Open Gates Hungary Kft. - O|G|H - a hír szerzője