Vegas ATM -havaitsemisohjelmat osoittavat pankkitoimintojen turvahäiriöt

Väärennettyjä pankkiautomaatteja ovat asettuneet Las Vegasin ympärille.

Kaikentyyppiset tietoturvaasiantuntijat - hakkereilta, kekseiltä ja fakeja turvallisuustutkijoilta ja lainvalvontaviranomaisilta - laskeutuivat viime viikolla Las Vegasiin vuosittaisten Black Hat- ja DefCon-turvallisuuskonferenssien. Ehkä ei ole sattumaa, että hyökkääjä päätti viime viikolla laittaa laittomia pankkiautomaatteja Las Vegasin ympärillä yrittäessään kaapata tilitietoja ja PIN-tietoja ja ottaa rahoja vaarantuneilta tileiltä.

Ehkä hyökkääjä näki sen henkilökohtaisena haasteena " hakata hakkereita "ja testata, voivatko nämä turvallisuusharrastajat ja asiantuntijat havaita yrityksensä vetää villaa silmiensä yli. Ironista osaa on se, että Juniperin Barnaby Jackin toimittamassa esityksessä Blackhat oli tarkoitus toimittaa eräiden pankkiautomaattien virheiden hyödyntämiseen, mutta esitys peruutettiin ATM-myyjän pyynnöstä.

[Lue lisää: How haittaohjelmien poistaminen Windows-tietokoneelta]

Esitys kohdistui haavoittuvuuksien hyödyntämiseen Windows CE-käyttöjärjestelmissä toimivissa laitteissa. Monet pankkiautomaatit perustuvat Windows CE -käyttöjärjestelmään, joten hakkeroinnin paljastaminen julkisesti olisi voinut aiheuttaa vakavia seurauksia. Juniperin yhteiskuntasuhteiden johtaja Brendan Lewis kirjoitti julkaisun Juniperin viralliselle blogille, jossa todettiin, että "Tutkimustulosten julkistaminen ennen kuin kyseinen myyjä voisi heikentää altistusta asianmukaisesti olisi voinut mahdollisesti asettaa asiakkailleen vaaran. Se on jotain, jota emme halua nähdä tapahtua. "

Juniper ja Barnaby Jack ovat erittäin altruistisia, kun otetaan huomioon, että Juniper ilmoitti haavoittuvuuden myyjälle yli kahdeksan kuukautta sitten. esittelyn peruuttaminen estää virheen pääsyn julkiseen tietämykseen, mutta se, että he pystyivät löytämään sen ja että järjestelmät ovat olleet haavoittuvia yli kahdeksan kuukauden ajan, osoittaa, että se on on myös mahdollista, että muut epäilyttävillä moraalikuiduilla ovat saattaneet kompastua virheeseen ja hyödyntää sitä aktiivisesti.

Valitettavasti haavoittuvuus ei todennäköisesti ole yksittäinen tai ainutlaatuinen tapahtuma. turvallisuus- ja vaatimustenmukaisuuspalvelujen myyjä, joka arvioi ATM: n, kioskin ja myyntipisteen (POS) terminaalit turvallisuuden osalta, sanottiin: "On hyvin harvinaista, että laite tulee laboratorioihimme - t usko, että se on onnellinen että emme löydä haavoittuvuutta. "

Tony Bradley on tietoturva- ja yhtenäistetty viestintäasiantuntija, jolla on yli vuosikymmenen yritys-IT-kokemusta. Hän tarjoaa vihjeitä, neuvoja ja katsauksia tietoturvaan ja yhtenäisiin viestintätekniikoihin sivustossaan tonybradley.com.