Trojan w bankomacie :: Piotr Konieczny, blog

Czwartek, 04 czerwca 2009 :: 19:19:53

Trojan w bankomacie

Podczas mojego wykładu o Atakowaniu Bankomatów wspominałem o złośliwym oprogramowaniu, które można zainstalować na bankomacie (sic!) Jest to możliwe ponieważ większość bankomatów pracuje pod kontrolą

...cudownego Windowsa XP.

O trojanach w bankomatach firmy Diebold informowano już dobre 3 miesiące temu, dzisiaj natomiast, firma Trustwave opublikowała szczegółowy raport z analizy złośliwego kodu. I tak potwierdziły się moje przypuszczenia, że wszystkie bankomaty pracujące pod kontrolą Windows XP są narażone na infekcje (a nie tylko te od Diebolda).

Jak działa bankomatowy trojan?

Trojan bankomatowy przechwytuje wpisany na klawiaturze bankomatu PIN oraz dane z drugiej ścieżki paska magnetycznego karty (jeśli nie wiesz co wchodzi w skład drugiej ścieżki, zapoznaj się z moja prezentacją). Dodatkowo, trojan jest w stanie rozpoznać specjalną kartę serwisową i po jej włożeniu do bankomatu, udostępnia użytkownikowi własny interface do zarządzania bankomatem. I to jest coś naprawdę cool :)

"Ukryte" menu trojana pozwala m.in. na wydruk przechwyconych danych na drukarce "potwierdzeń" bankomatu, wymazanie logów, a także "samozniszczenie", czyli odinstalowanie trojana. Ale to nie wszystko... trojan daje też możliwość wysunięcia kasetek z pieniędzmi!

Nie obawiajcie się jednak, moi drodzy Polacy, tego paskudnego bankomatowego potwora — przynajmniej w badanej wersji — interesują go tylko transakcje rozliczane w dolarach, rublach i hrywnach. Transakcje wykonane w złotówkach są olew^W^Wnie są przechwytywane... Tyle właśnie znaczy nasza waluta na hackerskim rynku :-)

Za czasów moich studiów, żeby dostać "lewą" serwisową kartę do budki telefonicznej, szło się do pewnego pokoju, w pewnym akademiku na AGH. Gdzie dziś trzeba się udać, żeby dostać "lewą", serwisową kartę do bankomatu? Kto mi powie, no kto?

• Następny post: Szyfrowanie poczty w GMail-u za pomocą PGP/GPG
• Poprzedni post: Uśmiechnięty terrorysta to nieuchwytny terrorysta!

Chcesz być informowany o kolejnych wpisach na ten temat?
Kanał RSS: kliknij tutaj. Subskrybcja poprzez e-mail: kliknij tutaj.

Tagi: ⌘ atm ⌘ bankomat ⌘ diebold ⌘ hacking ⌘ security ⌘ trojan

« reszta wpisów | • trackback | ‡ torturuj posta!

Komentarze:

Badzok Czwartek, 04 czerwca 2009, 19:25:00

Nie wiem czy sie cieszyc... czy nie. Nawet okradać już nas nie chcą:( moze wszyscy są przekonani, że niema z czego

Piotr Konieczny Czwartek, 04 czerwca 2009, 19:29:15

Jesteśmy jednym z trzech krajów w Europie, który w pierwszym kwartale zanotował wzrost gospodarczy... Nasz banking (znów jako jeden z trzech w EU) jest ciągle w dużej mierze oparty o karty z paskami -- a to regularnie ściąga do nas Rumunów, Bułgarów i innych cardingophisheroterrorystów ;p

Można więc powiedzieć, że są plusy i minusy mieszkania w Polsce -- albo plusy i plusy -- zależy jak kto patrzy... :-)

BTM Czwartek, 04 czerwca 2009, 19:32:16

Na szczęście jedyny bankomat z którego wypłacam kasę kartą paskową mieści się w samym środku oddziału banku. Zawsze troszkę bezpieczniej.

Piotr Konieczny Czwartek, 04 czerwca 2009, 19:33:17

BTM: no nie wiem... ten cały trojan na kilometr śmierdzi "inside jobem"...

BTM Czwartek, 04 czerwca 2009, 19:35:34

"Inside" jak w "pracownicy firmy robiącej bankomaty", czy jak w "ktoś w siedzibie banku wgrał"? Bo jak to pierwsze to lekki zonk w rzeczy samej.

Piotr Konieczny Czwartek, 04 czerwca 2009, 19:36:52

Inside, jak ktoś kto miał dostęp do oprogramowania zarządzającego ATM-ami. Exploit się "telepatycznie" nie napisał :>

Bartosz "BTM" Szczec Czwartek, 04 czerwca 2009, 19:38:26

Tak tak, ale chodzi mi o to, czy takie bankomaty są z preinstalowanym softem, np. jakaś seria, czy może jakiś informatyk pracujacy w firmie produkującej soft wykorzystując swoją wiedzę + dostęp do źródeł napisał sobie takiego trojana, który np. przerzuca się na bankomat z karty i w teorii może zarazić dowolną maszynę.

8. Matthew Czwartek, 04 czerwca 2009, 19:42:57

A jak wgrać tam takiego trojana? Taki bankomat powinien być odcięty od sieci, a na samej karcie raczej coś takiego się nie zmieści. Swoją drogą dlaczego nie opierają tego na dedykowanych, wbudowanych systemach tylko wybierają dziurawego windowsa?

Krupier Czwartek, 04 czerwca 2009, 19:55:06

A co z kartami z chipem?

10.

Piotr Konieczny Czwartek, 04 czerwca 2009, 20:02:48

Matthew: np. podczas serwisowania bankomatu.

Krupier: w opisanym przypadku dane wyciagane sa z pamieci nalezacej do aplikacji obslugujacej transakcje. W zaleznosci od architektury, karty chipowe moga sie w tym przypadku okazac rownie podatne na atak wykradnięcia PIN-u co "pasiaki" i to pomimo stosowania HSM (oczywiscie, w wiekszosci przypadkow uzycia, karty chipowe sa znacznie bezpieczeniejsze od pasiakow). Zauważ też, że sporo kart chipowych (ze wzgledu na kompatybilnosc) wciaz posiada pasek magnetyczny

11.

Krupier Czwartek, 04 czerwca 2009, 20:08:38

No niestety, ta z mBanku ma też pasek. Czyli wkładając ją do bankomatu nie wiem jak on ją odczyta. No chyba, że to bankomat, do którego kartę wkłada się tylko do połowy.

12.

Piotr Konieczny Czwartek, 04 czerwca 2009, 20:09:53

Krupier: są w Polsce bankomaty, które odczytują tylko karty chipowe.

13. Eustachy Czwartek, 04 czerwca 2009, 20:16:52

Znalazłem fajny text o bankomatach:
http://kartyonline.pl/arty.php?id=290&_Obrobic_bankomat?_Pestka
Ciekawe cz jest chć trochę prawdy?

14.

Piotr Konieczny Czwartek, 04 czerwca 2009, 20:22:04

Eustachy: Po tym (bajkowym) fragmencie przestałem dalej czytac:

#v+
- I gdzie tu finezja? - pyta Gandalf , znany w światku hakerskim z zamiłowania do bankomatów. Dotarliśmy do niego dzięki użytkownikowi forum dla hakerów. Krąży o nim mit, że potrafi wyciągnąć z maszyny dane za pomocą zwykłej empetrójki.
#v-

15.

Paweł Ciupak Czwartek, 04 czerwca 2009, 20:32:27

Gandalf? To pewnie ma na tej empetrójce nagrane jedno słowo: „melon” ;P.

16. Anhalter Czwartek, 04 czerwca 2009, 21:04:00

"Po tym (bajkowym) fragmencie przestałem dalej czytac"

A ja od tego fragmentu zacząłem. Polecam :-)

17. GiM Czwartek, 04 czerwca 2009, 22:16:56

@Matthew: primo, bankomat musi być podłączony do sieci, transakcje chipowe, są konsultowane z konsultowane z Authentication Serverem (w skrócie taki dosyć spory kawałek softu)

co do pytania drugiego, to myślałem, że umiem odpowiedzieć, ale chyba jednak średnio, najprościej chyba soft (do komunikacji z ASem) napisać w Javce (meksykańska fala dla korpo), a to bądź co bądź dałoby się odpalić na czymś embedded. problemem może być to, że taki soft musi być certyfikowany (chyba, bank raczej nie kupi softu od Jana Kowalskiego), a domyślam się, że firmom, które takowy tworzą po prostu łatwiej pisać pod windę

18. wesele Czwartek, 04 czerwca 2009, 22:25:56

Nie wiadomo czy smiec sie czy plakac

19. Patryk Czwartek, 04 czerwca 2009, 22:44:17

Poszedłem za pierwszym linkiem o atakowaniu bankomatów. Podczas przeglądania prezentacji przypomniało mi się jak kiedyś za pomocą swojego prawa jazdy na stoisku z muzyką zawiesiłem i zresetowałem (w jednym z wrocławskich marketow na literę T) terminal odtwarzajacy płyty jak mu się podstawiło pod czytnik jakąś z kodem...

20. Void Sobota, 06 czerwca 2009, 00:13:12

Za moich czasów przechwytywało się w nocy urmeta (tak tak, wiem, niemoralne), pozyskiwało abloya, rozbierało i piłowało kluczyk wg wzorca. ;-)

21. Cukier Poniedziałek, 08 czerwca 2009, 10:15:01

Matthew: Osprzęt bankomatu jest ustandaryzowany (XFS / jXFS). Każdy bank pisze sobie wlasny kod do jego obsługi (lub zaprzęga jakąs firmę do tego). to zwykłe aplikacje na Windows i jak każdy Windows jest podadny na różne sztuczki z wgraniem oprogramowania.

A poziom ich zabezpieczeń często jest poniżej krytyki. Teoretycznie są bezpieczne.... ;)

22. Truski Środa, 10 czerwca 2009, 14:10:51

@Cukier: może i bankomaty są źle zabezpieczone, ale to i tak się bankom opłaca. Banki liczyć potrafią i bardziej korzystne dla nich jest wydać pewną sumę na odszkodowania niż inwestować wielokrotnie większe pieniądze w wątpliwe zabezpieczenia.

23. Anonim Wtorek, 23 czerwca 2009, 20:19:28

nak i podobno można wysunąć kasetki z pieniędzmi ha ha ha

24. asdek Wtorek, 23 czerwca 2009, 20:23:34

W bankomacie nie da się za pomocą jakiegokolwiek oprogramowania wysunąć kaset z pieniędzmi niesłuchajcie tych bajek :)

25. omegalfa Niedziela, 28 czerwca 2009, 23:04:24

"Jest to możliwe ponieważ większość bankomatów pracuje pod kontrolą ...cudownego Windowsa XP."
Mam rozumiec, ze gdyby byl to cudowny OSX, ktorego uzywa autor to nie byloby mozliwosci wgrania zadnego malware, hę? Pf.

26. Piotr Konieczny Czwartek, 09 lipca 2009, 20:52:53

Prezentacja o hackowaniu bankomatów odwołana

Nie, nie chodzi o moją ;-) Na początku lipca, pod naciskiem producentów bankomatów, firma Juniper zabroniła swojemu pracownikowi pokazania na konferencji BlackHat zapowiedzianej wcześniej prezentacji dotyczącej błędów w bankomatach.
[...[...]

27. Piotr Konieczny Czwartek, 30 lipca 2009, 21:59:33

Hackowanie bankomatu przez gniazdko...

Okazuje się, że na nic zaawansowane i superbezpieczne HSM-y montowane w dzisiejszych bankomatach. Na nic też łatanie oprogramowania firmy Diebold, które jest wykorzystywane w większości nowych bankomatów. Próżno także szukać dodatko[...[...]

28. xxx Sobota, 26 czerwca 2010, 19:18:10

29. Piotr Konieczny Sobota, 26 czerwca 2010, 19:18:52

i o moją ;-) Na początku lipca, pod naciskiem producentów bankomatów, firma Juniper zabroniła swojemu pracownikowi pokazania na konferencji BlackHat zapowiedzianej wcześniej prezentacji dotyczącej błędów w bankomatach.
[...[...]

Dodaj komentarz:

Ofiara

Jeśli powyższy wpis przydał Ci się w jakiś sposób,

autorowi :-)

Czytelnicy:

« wszystkie wpisy