A ameaça já pairava no ar, mas agora um hacker demonstrou como é possível obrigar uma ATM a oferecer dinheiro
Barnaby Jack, um investigador de segurança, cumpriu a promessa e mostrou na Black Hat como é possível obrigar uma máquina ATM a distribuir dinheiro, usando ferramentas programadas em casa.
Jack tirou partido de uma falha de segurança no mecanismo de autenticação das ATM feitas pela Triton e Tranax para atualizar o firmware, passar a controlar a máquina e obrigá-la a distribuir dinheiro.
Na conferência Black Hat, Jack mostrou dois tipos de ataques contra máquinas ATM a correr o Windows CE: um físico, usando uma chave-mestra comprada na Internet e uma pen USB para substituir o firmware da máquina, e um ataque remoto que explora uma falha no modo como as ATMs autenticam as atualizações de firmware.
Jack não forneceu detalhes técnicos que permitam a terceiros reproduzir os ataques, mas sugeriu que qualquer hacker que saiba o que faz pode tirar partido destas fraquezas. Por outro lado, o investigador avisou que apesar de estes ataques terem sido demonstrados em máquinas das empresas Tranax e Triton, estes podem ser levados a cabo contra uma grande variedade de modelos.
Barnaby Jack, um investigador de segurança, cumpriu a promessa e mostrou na Black Hat como é possível obrigar uma máquina ATM a distribuir dinheiro, usando ferramentas programadas em casa.
Jack tirou partido de uma falha de segurança no mecanismo de autenticação das ATM feitas pela Triton e Tranax para atualizar o firmware, passar a controlar a máquina e obrigá-la a distribuir dinheiro.
Na conferência Black Hat, Jack mostrou dois tipos de ataques contra máquinas ATM a correr o Windows CE: um físico, usando uma chave-mestra comprada na Internet e uma pen USB para substituir o firmware da máquina, e um ataque remoto que explora uma falha no modo como as ATMs autenticam as atualizações de firmware.
Jack não forneceu detalhes técnicos que permitam a terceiros reproduzir os ataques, mas sugeriu que qualquer hacker que saiba o que faz pode tirar partido destas fraquezas. Por outro lado, o investigador avisou que apesar de estes ataques terem sido demonstrados em máquinas das empresas Tranax e Triton, estes podem ser levados a cabo contra uma grande variedade de modelos.
Fonte: Exame Informática
Nenhum comentário
Seja o primeiro!