Pirater une carte de paiement à distance: un jeu d'enfant
Barnaby Jack a décroché le jackpot à Black Hat mercredi. Deux fois.
Exploitant des bogues dans deux guichets automatiques différents, le chercheur d'IOActive a pu les inciter à cracher de l'argent à la demande et à enregistrer des données sensibles sur les cartes des personnes qui les utilisaient
. systèmes qu'il avait achetés lui-même - le type de guichets automatiques génériques généralement trouvés dans les bars et les dépanneurs. Les criminels frappent ce type de machine depuis des années, en utilisant des skimmers ATM pour enregistrer les données de la carte et les numéros PIN, ou dans certains cas simplement en tirant un camion et en transportant les machines.
Windows PC]Mais selon Jack, il y a un moyen plus facile et beaucoup plus alarmant de sortir l'argent. Les criminels peuvent se connecter aux machines en les appelant - Jack croit qu'un grand nombre d'entre eux ont des outils de gestion à distance accessibles par téléphone - et ensuite lancer une attaque.
Après avoir expérimenté ses propres machines, Jack a développé un moyen de contourner le système d'authentification à distance et d'installer un rootkit fait maison, nommé Scrooge, qui lui permet de remplacer le firmware de la machine. Il a également développé un outil de gestion en ligne, appelé Dillinger, qui permet de suivre les machines compromises et de stocker les données volées aux personnes qui les utilisent.
Les criminels pourraient trouver des distributeurs vulnérables en utilisant un logiciel de numérotation libre pour appeler des centaines de milliers de chiffres, à la recherche de ceux qui répondent en disant qu'ils ont installé le logiciel de gestion vulnérable. Les criminels ont déjà utilisé une technique similaire sur Internet pour pénétrer dans les systèmes de points de vente vulnérables.
Les outils de Jack sont juste des logiciels de preuve de concept, conçus pour montrer à quel point les machines sont réellement vulnérables. "L'objectif de cette conférence est de susciter des discussions sur les meilleurs moyens de remédier à la situation", a-t-il dit.
"Il est temps de refondre ces appareils", a déclaré Jack. "Les entreprises qui fabriquent les appareils ne sont pas Microsoft, elles n'ont pas eu 10 ans d'attaques continuelles contre elles."
Les machines que Jack a piratées étaient cependant basées sur le système d'exploitation Windows CE de Microsoft.
démonstration sur scène à Black Hat, il s'est connecté à distance à un guichet automatique et a lancé un programme appelé Jackpot qui a incité les guichets automatiques à cracher de l'argent, tout en jouant un morceau et éclaboussant le mot "Jackpot" sur l'écran de la machine. Dans une seconde démo, il s'approcha de la machine, l'ouvrit avec une clé qu'il avait obtenue sur Internet et installa son propre firmware. Une seule clé standard peut ouvrir de nombreux types de machines, a-t-il dit, présentant un autre problème de sécurité sérieux.
Jack avait prévu d'en parler lors de la conférence de l'année dernière, mais il a été retiré. les problèmes qu'il avait découverts.
Robert McMillan couvre la sécurité informatique et les nouvelles générales de dernière heure pour
The IDG News Service. Suivez Robert sur Twitter à @bobmcmillan. L'adresse électronique de Robert est [email protected]
L'USTR a rejeté une demande d'information sur un traité secret anticontrefaçon. Représentant (USTR), une partie du bureau du président Barack Obama, a refusé une demande d'information d'une entreprise sur un accord commercial secret anti-contrefaçon en cours de négociation, en invoquant les préoccupations de sécurité nationale. de Knowledge Ecology International, un groupe de recherche et de plaidoyer en propriété intellectuelle, même si Obama, dans une de ses premières notes présidentielles, a
L'USTR sous Obama semble prendre la même position au sujet de l'Accord commercial anti-contrefaçon (ACTA) que sous l'ancien président George Bush, que les documents du traité ne sont pas ouverts au public. L'une des promesses électorales d'Obama était de rendre le gouvernement plus ouvert et plus réceptif au public. L'USTR, dans une lettre adressée au directeur de Knowledge Ecology International, James Love, déclarait que l'ACTA était un accord anticontrefaçon et antipirat Les critiques du secre
Memopal de sauvegarde en ligne de haute qualité vous donne plus pour votre argent (ou pas d'argent)
Obtenez une sauvegarde en ligne gratuite de 3 Go avec un excellent utilitaire de sauvegarde Memopal
Youtube donne plus de pouvoir aux créateurs pour gagner de l'argent
Les créateurs de YouTube pourront désormais faire appel s'ils pensent que l'interdiction de publicité sur leur vidéo n'est pas correcte et verront également le niveau de monétisation.