...ennek a feltételnek az ottani automaták 90 százaléka megfelel: a brit ATM-ek java PC-s (inteles) hardveren és a Microsoft által készített operációs rendszeren alapul.

Nemrég a Network Box nevû, IT-biztonsággal foglalkozó cég demonstrálta a veszély mértékét. A bemutató szerint mindössze a személyi azonosító szám titkosított, amikor az információ elküldésre kerül egy bank automatától egy hálózatba kötött banki számítógéphez. Sem a kártyaszámok, sem azok lejárati ideje, a tranzakciók összege és a számlák egyenlege nincs titkosítva - ezek az adatok egyszerû szövegként kerülnek tárolásra, amelyet bárki megszerezhet aközben, mialatt továbbításra kerül a hálózaton keresztül az információ.

És ennél még sebezhetőbbnek bizonyultak az úgynevezett „kabinet” ATM-ek, amelyek többnyire boltokban, kocsmákban, éttermekben találhatók. Az Information Risk Management (IRM) kutatói fizikailag is képesek voltak széfjeik kinyitására és a bennük tárolt pénz elvitelére, anélkül, hogy ehhez megkapták volna a szükséges eszközöket az automatákat mûködtető pénzintézetektől.

Egy kis történelem
Nem 2008 termése a jelenség: a modern ATM-ek sebezhetőségére már 2003-ban felhívták a figyelmet. Akkor a Nachi nevû, Interneten keresztül szaporodó féreg fertőzte a „biztonságos” hálózatokat, és rajtuk keresztül a pénzkiadó készülékeket (az érdekes esetről írt cikkünk). De szóba lehetne hozni az SQL Slammer férget is, amely több mint 13 ezer Bank of America ATM-et fektetett két vállra: leállította operációs rendszerüket, ezzel akadályozva az általuk bonyolítandó tranzakciókat. Igaz, ezek még nem lopták el az információkat, „csak” megbénították a bankautomata rendszert.

A történtek ellenére a pénzintézetek a homogén, Windows-alapú rendszerek irányába mozdultak el: az egységesített feladatkezelés - mint az élet minden más területén - itt is a költségek csökkentésének lehetőségével járt. A nem heterogén környezet azonban mindig sebezhetőbb (egyesek szerint ez az oka a méhek drámai pusztulásának is: eltûnőben van a szorgos rovarok biológiai diverzitása, aminek következtében fokozottabban érzékenyek a fertőzésekre).

Martin Macmillan, az ATM-ek fejlesztésével foglalkozó Level Four Software igazgatója szerint az ATM-eket manapság már ugyanúgy rendszeresen patch-elni kell, mint a hagyományos PC-ket. Amelyik automata nem kapja meg az éppen esedékes frissítés(eke)t, az könnyen kiszolgáltatottá válhat. Ráadásul megbízhatóságuk sem olyan, mint a régi, még OS/2-re alapuló elődeiknél, legalábbis Macmillan állítása szerint. A szakértő elmondta, hogy az újgenerációs ATM-ek némelyike üzemidejének 30 százalékát is leállítva tölti.

Gyan Chawdhary, az IRM vezető biztonsági tanácsadója is megszólalt az eset kapcsán. Véleménye szerint a hagyományos PC-s architektúrára való átállással jóval egyszerûbbé vált a pénzhez (vagy adatokhoz) való jutás. Csak minimális programozási képességekkel kell rendelkeznie annak, aki illegálisan szeretne pénzt szerezni; szerinte bármelyik átlagos hacker képes lenne az ATM hálózat legalább néhány tagja révén illegálisan pénzt szerezni. Az IRM kutatói vizsgálatuk során arra a következtetésre jutottak, hogy három automatából kettő „kipucolható”. A széfet az alapértelmezett kulcskóddal ki tudták nyitni, amit a széf online használati útmutatójában fedeztek fel. Emellett képesek voltak újraindítani az ATM-ek szoftverét is, és mérnöki módban át tudták venni az ellenőrzést a masinák felett.

(Forrás: www.terminal.hu)