標題:
上網連線黑入櫃員機狂吐錢保安專家研究兩年可竊用戶密碼
[打印本頁]
作者:
nt1972
時間:
2010-7-30 06:25 AM
標題:
上網連線黑入櫃員機狂吐錢保安專家研究兩年可竊用戶密碼
20多年前的科幻電影《未來戰士續集》有這一幕:主角在自動櫃員機插假信用卡,接上電腦,按幾個掣就令櫃員機吐錢。這個黑客夢想,美國有電腦保安研究員已做到,而手法簡單,用 USB手指或上網連線,就能令櫃員機乖乖吐錢,甚至竊取用戶密碼。
- r& K/ h# `; X6 Y
8 S9 C4 M' Y5 c1 o$ D" I" ^3 V
賭城拉斯維加斯的「黑帽」( Black Hat)大會,是黑客和電腦保安人員年度盛會。今年風頭躉是 IOActive Labs保安顧問公司的研究部主管杰克( Barnaby Jack),他前天(周三)在台上示範兩種方法入侵櫃員機的電腦,令櫃員機吐到一地美金。杰克針對的是獨立式櫃員機,這種櫃員機非裝置在銀行,而是在超市、油站等零售點,由獨立商家負責營運,人人都買得到。杰克就從網上買了幾部,花兩年時間研究出入侵方法。杰克示範的第一個方法,需要打開櫃員機面板。由於很多營運商貪方便,部部機都用一條萬用匙開。他就從網上買了條萬用匙,打開 Triton生產的櫃員機面板,露出供維修檢查櫃員機電腦用的 USB插頭,插入 USB手指,修改內置程式,這樣就控制了櫃員機吐錢。
$ _) U4 [1 j; Z! y3 [! CTVBNOW 含有熱門話題,最新最快電視,軟體,遊戲,電影,動漫及日常生活及興趣交流等資訊。
5 i7 l$ l/ {8 V I# o/ `* W# H5 s
廠商已修改程式漏洞第二個方法更厲害,網上遙控,只需反覆嘗試找到櫃員機的連線電話號碼或 IP位址就可以。杰克在示範中用手提電腦無線上網,入侵 Tranax生產的櫃員機,修改內置程式,跟着在櫃員機輸入特別密碼或用特製控制卡,啟動特別選擇清單,令櫃員機不斷吐錢,更可記錄其他用戶的銀行卡號碼和密碼造假卡。兩個廠商的櫃員機都採用微軟視窗 CE作業系統,但杰克指漏洞出於廠商的內置軟件( firmware), Triton的問題是容許系統執行未授權的程式, Tranax的問題是遙距監控功能有漏洞。他示範前已通知兩公司, Triton發出了修改程式, Tranax則呼籲營運商關掉遙距監控功能。杰克未試過銀行或其他廠商的櫃員機,但不排除可用類似方法入侵,「我不會天真到以為只有自己才做得到」。
" T! j4 Q5 A7 P5 x! H" N6 g公仔箱論壇
. A8 k$ w ^/ ?6 X
USB手指入侵法
# M$ I% Z$ o2 J8 I
! \2 l7 _ z' w3 Q3 B+ b% y! V
1)用網上買來的櫃員機萬用匙,打開櫃員機面板
8 a3 }( m1 }% ?; R" r
2)將載有惡毒程式的 USB手指,插入面板後的 USB插頭,修改櫃員機內置程式3)控制櫃員機隨意吐錢
& j- M/ J3 P3 u7 O5 _& n5 `
, ^8 a; s. r2 c. ?- i D- {( r: Dwww3.tvboxnow.com
上網連線入侵法
i, p( ]& g0 [; Q4 e0 Q2 @TVBNOW 含有熱門話題,最新最快電視,軟體,遊戲,電影,動漫及日常生活及興趣交流等資訊。
公仔箱論壇 N) a/ V8 s8 g# n& C7 H$ g+ S
1)反覆嘗試找到櫃員機的連線電話號碼或 IP位址後,用電腦上網以特製程式入侵櫃員機,修改內置程式
* b1 w, J. a) S' ewww3.tvboxnow.com
2)櫃員機任由黑客控制,可指示它吐錢,甚至紀錄用過該機的卡主的銀行卡號碼和密碼
6 z1 g$ i4 i5 K+ r( Y4 M5 n9 Q3 Hwww3.tvboxnow.com
- E. f( F% V9 F; f2 f公仔箱論壇
5 \3 w$ E5 z6 q- `6 dwww3.tvboxnow.com
杰克在「黑帽」大會上,示範如何以遙控和以 USB手指入侵自動櫃員機,令櫃員機不斷吐出鈔票。
歡迎光臨 公仔箱論壇 (http://www3.tvboxnow.com/)
Powered by Discuz! 7.0.0
公仔箱論壇 N) a/ V8 s8 g# n& C7 H$ g+ S