Παρουσιάζουν προβλήματα τραπεζικής ασφάλειας

Οι εμπειρογνώμονες ασφάλειας υπολογιστών όλων των ειδών - από τους hackers, crackers και phreaks στους ερευνητές της ασφάλειας και τους υπαλλήλους επιβολής του νόμου - κατέβηκαν στο Λας Βέγκας την περασμένη εβδομάδα για τα ετήσια συνέδρια Black Hat και DefCon. Δεν είναι τυχαίο ότι ένας επιτιθέμενος επέλεξε επίσης την περασμένη εβδομάδα να εγκαταστήσει ψεύτικες μηχανές ATM γύρω από το Λας Βέγκας σε μια προσπάθεια να συλλέξει πληροφορίες λογαριασμού και PIN και να εξαγάγει χρήματα από συμβιβασμένους λογαριασμούς.

Ίσως ο επιτιθέμενος το είδε ως προσωπική πρόκληση για " hack hackers "και δοκιμάστε αν αυτές οι hobbyists και οι εμπειρογνώμονες ασφαλείας θα μπορούσαν να ανιχνεύσουν μια προσπάθεια να τραβήξουν το μαλλί πάνω από τα μάτια τους. Το ειρωνικό είναι ότι υπήρχε μια παρουσίαση προγραμματισμένη να παραδοθεί στο Blackhat από τον Barnaby Jack της Juniper που σχετίζεται με την εκμετάλλευση ενός ελαττώματος σε ορισμένες μηχανές ATM, αλλά η παρουσίαση ακυρώθηκε κατόπιν αιτήματος ενός πωλητή ΑΤΜ. για την κατάργηση κακόβουλου λογισμικού από τον υπολογιστή σας των Windows]

Η παρουσίαση εστιάστηκε στην αξιοποίηση ευπαθειών σε συσκευές που εκτελούν το λειτουργικό σύστημα Windows CE. Πολλές μηχανές ATM βασίζονται στο λειτουργικό σύστημα των Windows CE, έτσι ώστε να αποκαλύπτεται το hack δημοσίως θα μπορούσε να έχει κακές συνέπειες. Ο διευθυντής των εταιρικών σχέσεων εταιρικών κοινωνικών μέσων ενημέρωσης, κ. Brendan Lewis, έγραψε μια θέση στο επίσημο ιστολόγιο του Juniper, όπου δηλώνει ότι "Να αποκαλύψει δημοσίως τα ευρήματα της έρευνας πριν ο επηρεασμένος πωλητής μπορέσει να μετριάσει σωστά την έκθεση θα μπορούσε να θέσει σε κίνδυνο τους πελάτες του. Αυτό είναι κάτι που δεν θέλουμε να συμβεί. "

Αυτό φαίνεται πολύ αλτρουιστικό από την πλευρά του Juniper και του Barnaby Jack, δεδομένου ότι ο Juniper ειδοποίησε τον πωλητή για την ευπάθεια πριν από οκτώ μήνες. ήταν η μηδενική εκμετάλλευση ή ξαφνική καταπληξία στον πωλητή.Η ακύρωση της παρουσίασης εμποδίζει το λάθος να αποκτήσει δημόσια γνώση αλλά το γεγονός ότι κατάφεραν να το βρουν και ότι τα επηρεαζόμενα συστήματα ήταν ευάλωτα για περισσότερο από οκτώ μήνες δείχνει ότι είναι είναι επίσης πιθανό ότι άλλοι με πιο αμφισβητήσιμη ηθική ίνα μπορεί να έχουν σκοντάψει το λάθος και να την εκμεταλλεύονται ενεργά.

Δυστυχώς, η ευπάθεια δεν είναι πιθανώς ένα απομονωμένο ή μοναδικό συμβάν. ο προμηθευτής υπηρεσιών ασφάλειας και συμμόρφωσης που αξιολογεί τους σταθμούς ATM, περίπτερο και σημείο πώλησης (POS) για την ασφάλεια, αναφέρθηκε λέγοντας "Είναι πολύ, πολύ σπάνιο ότι μια συσκευή έρχεται στα εργαστήριά μας - στην πραγματικότητα, Δεν νομίζω ότι έχει ευτυχία ened - ότι δεν βρίσκουμε ευπάθεια. "

Ο Tony Bradley είναι ένας εμπειρογνώμονας ασφάλειας πληροφοριών και ενοποιημένων επικοινωνιών με περισσότερη από μια δεκαετία επιχειρησιακής τεχνολογικής εμπειρίας. Παρέχει συμβουλές, συμβουλές και ανασκοπήσεις σχετικά με την ασφάλεια των πληροφοριών και τις τεχνολογίες ενοποιημένων επικοινωνιών στον ιστότοπό του στο tonybradley.com