http://news.hk.msn.com/international/article.aspx?cp-documentid=4212397
美國拉斯維加斯舉行的黑客大會上,有網絡保安專家示範令櫃員機自動吐出現金,在場人士都嘆為觀止。專家拒絕透露手法,免得他人有樣學樣,他稱只要一隻USB手指,就可令櫃員機將鈔票自動奉上。
美國科技公司 IOActive Inc.的保安測試部主管傑克(Barnaby Jack),自掏腰包購買三台不同型號的獨立式銀行櫃員機,花了兩年時間試驗,前日他出席黑客大會發表演講,分別測試由 Tranax 和 Triton 生產的兩部櫃員機,示範兩種入侵方法。
第一種是機身入侵,傑克先以一把鎖匙打開櫃員機,插入一隻裝有黑客軟件的USB手指,即可隨意操控櫃員機,不停吐出金錢。
可取得客戶紀錄及密碼
傑克發現同一廠商所有櫃員機,都用同一款鎖匙,鎖匙在網上只需約十美元(約七十八港元)便可買到。
第二種手法是遙距入侵,傑克表示,用手提電腦連接到目標櫃員機,便可透過他自行設計的黑客軟件監控,毋須打開機身。除可操控櫃員機吐出鈔票外,該櫃員機儲存的客戶使用紀錄,甚至是提款卡密碼,黑客都唾手可得。
傑克自行設計的黑客軟件名為Dillinger,是以三十年代美國銀行大賊命名。軟件入侵櫃員機後,畫面顯示取得數據(Retreive Track Data)或中獎(Jackpot)的選擇,若按下中獎,櫃員機便會源源不絕的吐出金錢。
已通知製造商保安漏洞
傑克相信可用同樣的手法,入侵不同製造商的櫃員機,他去年已通知兩間廠商有關櫃員機的安全風險。其中 Triton 答覆稱,去年十一月已開發新程式堵塞漏洞,Tranax 則未回應。
傑克建議櫃員機廠商加強安全措施,例如為每部櫃員機配備不同鎖匙,及更嚴格地審核電腦程式。
没有评论:
发表评论