2010年7月31日 星期六

破解ATM

【李寧怡、林巧雁╱綜合報導】一年一度的全美駭客大會(Black Hat USA)前天在拉斯維加斯登場,最受期待的重頭戲之一,就是由駭客轉型美國資訊安全專家的傑克展示如何駭入自動櫃員機(ATM)取鈔。傑克用兩種方法,讓ATM吐出全部鈔票,凸顯ATM的安全漏洞。

過去歹徒對ATM的下手方式,多為安裝假讀卡機或隱藏式攝影機,以竊取提款卡帳號密碼。任職於西雅圖資訊安全公司IOActive Inc.的傑克(Barnaby Jack)費時兩年,研究多台網路上買來的ATM,發現更容易得手的方法。這些ATM都是獨立型(standalone)機種,但他的方法也可能適用於銀行用的機種。

遠端遙控免輸入密碼
傑克發現,同一製造商生產的同型ATM,鑰匙全一樣。他用在網路上買到的鑰匙打開一台ATM,將隨身碟插入ATM的USB插槽,灌入他寫的惡意程式後,再操作ATM,指示ATM吐出全部鈔票。傑克還展示透過網路遠端駭入另一台ATM的方法。使用此法須先得知ATM網路位址或電話號碼,就可不必輸入密碼,迫使ATM吐鈔。他不願透露詳情,因為「目的不是要教人如何駭入ATM」,但警告這種方式更危險,因為還可取得ATM使用者帳戶資料。

傑克的神乎其技讓觀眾掀起如雷掌聲。他事前已通知兩台ATM製造商,製造商已改善軟體,防止其他駭客用同樣方法犯案。原本他去年就要展示神技,但因ATM製造商來不及採取行動,才延至今年發表。傑克說,他一開始不認為自己真能駭入ATM,沒想到「研究的每一台ATM,都能被我找到弱點,這很恐怖。」

防毒軟體商卡巴斯基(KASPERSKY)資深研究員包姆加納(Kurt Baumgartner)說,傑克的示範表演「很驚悚」,不過他未公開惡意程式碼,且一般銀行使用的ATM系統和獨立ATM不同,不會導致ATM遭駭客廣泛攻擊。

台灣業者均嚴密監控
台北富邦銀財富管理資深副總經理黃以孟說,銀行每天24小時都有人監控ATM是否故障、是否有人入侵,而且防範規格相當嚴格,資訊控管嚴謹。北富銀有各廠牌的ATM,而ATM不只有鑰匙,還要密碼才能打開,是雙重管控,跟金庫一樣。


-----------------------------------------------------------------------------------------------------------------------------------------------


【聯合報╱編譯彭淮棟、莊蕙嘉/報導】一年一度的「黑帽」(Black Hat)電腦安全會議28日於拉斯維加斯登場,資訊安全專家示範侵入自動櫃員機(ATM),只要按下按鍵,鈔票就不斷吐出,凸顯民眾以為牢不可破的金融裝置,其實能被駭客輕鬆破解。

西雅圖資訊安全測試公司的主管傑克(Barnaby Jack)花了2年研究破解ATM,他向兩家設備製造商各買一台ATM,放在矽谷住處不斷摸索,找到入侵漏洞。

他發現同一廠商製造的所有同型ATM都使用同樣的鑰匙,只要取得鑰匙,打開ATM裡的USB裝置,插入載有他撰寫的破解程式的隨身碟,就能命令ATM吐鈔。這種鑰匙上網就買的到,一支不過10美元(約台幣320元)。

另一種方法是透過數據機連線,入侵廠商的遠端管理軟體,遙控命令ATM吐鈔,這種方法更危險,因為駭客不必現身,還能同時盜取開戶者個資。

傑克將2台ATM搬到黑帽會場,現場示範。他一執行破解程式,ATM便不斷吐出鈔票,在地上堆成一座小山。傑克說,他還沒針對設於銀行內的ATM測試這套破解法,但若是設於便利商店、大賣場或餐廳的獨立式ATM,入侵盜款輕而易舉,甚至不需密碼,連青少年都能辦到。

這段ATM破解秀是本屆黑帽會議轟動的好戲,本來去年就要推出,專家擔心ATM廠商來不及修正錯誤,可能讓有心人趁虛而入,要他延後,結果他利用這一年想出更多更危險的手法。

傑克沒有深入說明「作案」細節,因為這段示範的目的不是「教大家如何駭入ATM」,而是藉此舉讓ATM廠商提高警覺。他表示檢視過的每一台ATM,都能找到致命漏洞,破解率100%,「這很可怕」。


沒有留言:

張貼留言