Ahaha - ovo je jedan Windows (CE) exploit koji moze biti isplativ :-)))
Citat:
Speaking at the Black Hat conference in Las Vegas, a fellow named Barnaby Jack (really!) used custom software to hack Windows CE-based ATMs on stage. After using an industry standard key to gain entry to the machines (apparently many ATM owners are too lazy to install new locks) Jack was able to load a rootkit on the device using a USB thumb drive. From that point, it was just a matter of running another program that caused all the cash therein to shoot out in a comical manner. The machines used in the presentation were manufactured by Trannax and Triton, both of which have have had a chance to send a security patch to customers prior to the demonstration. However, there are still four different machines in common use that are still vulnerable. And no, he won't tell us which ones.
[ combuster @ 29.07.2010. 18:37 ] @
Stick a cold end of a flash drive into ATM and say: "You f*** b**** gimme all your money or I'll execute every mother f**** rootkit on you". Pulp Fiction :)
Windows CE (Cash Edition)
[ Cartman @ 30.07.2010. 08:56 ] @
Jedan snimak sa konferencije:
Jednu vrstu ATM-a je rootkit-ovao uz kljuc i usb, ali kod druge je to ucinio sa distance. Koji genije smislio da dozvoli ATM-u internet pristup?!
[ combuster @ 30.07.2010. 09:05 ] @
Koji genije je dozvolio da ATM ima usb prikljucak ? Gde su bre oni stari dobri ne standardni portovi :) Bez tehnicke dokumentacije i servisnog uputstva tesko ces da ustekas bilo sta unutra :)
[ mulaz @ 30.07.2010. 09:14 ] @
Citat:
combuster: Koji genije je dozvolio da ATM ima usb prikljucak ? Gde su bre oni stari dobri ne standardni portovi :) Bez tehnicke dokumentacije i servisnog uputstva tesko ces da ustekas bilo sta unutra :)
I jedno i drugo ce brzo da se nadje na internetu
Fizicka zastita je jedini nacin zastite za ovakve stvari.
[ Ivan Dimkovic @ 30.07.2010. 10:43 ] @
@combuster,
Iako je tacno da je ideja imanja USB porta unutar ATM masine cudna, nisam bas siguran da je toliki problem.
Zasto? Pa ako si vec uspeo da otvoris ATM masinu do te mere da mozes da se povezes na unutrasnje portove, ne vidim sta te sprecava da nastavis dalje otvaranje i uzmes novac bez da pitas ATM ;-)
Kao sto mulaz rece, fizicka zastita je jedina adekvatna - dakle, kamere i/ili aktivno obezbedjenje.
Bio je slucaj u Japanu gde su pljackasi ATM-a ukrali bager, i onda lepo odneli celu ATM masinu na mesto gde mogu lepo i bez stresa da se fokusiraju na otvaranje istog :)
Inace, gomila starih ATM masina je koristila OS/2 - a kasnije su presli na Windows NT / Windows CE.
Iskreno pojma nemam sta ce im Windows uopste tu - ATM masini ne treba ni jedan Windows-specificni servis, niti im treba RTOS kakav je Windows CE. Verovatno je u pitanju "nasledjeni" dizajn tj. firma koja to radi vec ima WCE projekte pa su i ovaj odradili tako... bas isto kao sto je OS/2 tu upao, iz prostog razloga sto su banke tesno vezane za IBM solucije.
[ combuster @ 30.07.2010. 11:38 ] @
E pa nisam znao da je USB bio unutar kucista ATM-a :D Nemam bas nekog iskustva sa njima, prolazim pored njih svakodnevno ali ih ne koristim (jednom sam samo slikao BSOD na ATM-u bilo interesantno).
[ Horvat @ 30.07.2010. 17:28 ] @
Citat:
Ivan Dimkovic:
Iskreno pojma nemam sta ce im Windows uopste tu .
pa kako bi se inace ovo pojavljivalo :P
ajd ovo sto je otvorio bankomat i sredio sw, mogao je vec da uzme i lovu odmah,a ne da se tu igra
al ovo sa distance mene vise zanima, kako sa distance (zar nisu vezani samo s bankovnim terminalima)?
[ burex @ 30.07.2010. 17:46 ] @
Citat:
After using an industry standard key to gain entry to the machines (apparently many ATM owners are too lazy to install new locks)
Posle ove rečenice mogu komotno da zavučem majstorske pantalone kako bih pokrio buttcrack, zavrnem brkove i izustim: "Well, there's yer problem!"
[ Cartman @ 30.07.2010. 18:40 ] @
Citat:
al ovo sa distance mene vise zanima, kako sa distance (zar nisu vezani samo s bankovnim terminalima)?
Nazalost, idioti su osmislili da ih admnistriraju udaljeno...
Nisam naisao na konkretnije podatke, ali koliko sam procitao, pronasao je vulnerability kojim je premostio proces autentikacije, pa je instalirao rootkit kao system update. Proizvodjac koristi svoj protokol -> lako se otkriva ATM war dialing-om ili skeniranjem.
[ Horvat @ 30.07.2010. 18:47 ] @
Citat:
Cartman: Nazalost, idioti su osmislili da ih admnistriraju udaljeno...
ako su smislili da se moze prckati po bankomatu van prostorija banke, onda stvarno nemam reci
[ Ivan Dimkovic @ 30.07.2010. 18:57 ] @
Hm, pa stavi se u poziciju banke - pokrivas celu USA, imas vise hiljada filijala sirom kontinenta i desetine hiljada bankomata po tim filijalama, supermarketima, trznim centrima...
Kako ces da radis, recimo, upgrade softvera ako treba da se ponudi neka nova usluga ili nesto skroz trivijalno kao recimo menjanje logoa banke (posto hoce da se ujedinjuju/kupuju/prodaju)? Slaces tehnicare u svaku filijalu i na svako mesto gde imas ATM?
Hm...
Ako je sistem pravilno dizajniran, nema nikakvih problema sa remote administracijom... Drzis celu mrezu u svom enterprise VPN-u, koristis odgovarajuci hardver sa TPM sigurnosnim modulom koji proverava boot loader i svaki binary - sve naravno digitalno potpisano, pravilno podesen OS... sama sasija obezbedjena alarmima koji gase sistem i brisu EEPROM ukoliko dodje do neautorizovanog otvaranja, fizicka zastita...
Problem je sto u toj industriji jako sporo ide razvoj - ti ATM-ovi su "poslednji modni krik" sa kraja prosle decenije u NAJBOLJEM slucaju - gro njih i dalje trci NT4 a ako se potrudis naci ces i neki na 50% OS-u (OS/2) ;-)
[ Horvat @ 30.07.2010. 19:21 ] @
pa ne znam, mozda da se resi autorizacija da ako nije sa odredjenog ip-a+neki kod racunara (ili neka drugi jedinstveni kod koji "nije" moguce reprodukovati van banke, bilo to filijale ili sedista), ne moze da se pristupi bankomatu
a ako moze sa bilo kog racunara, "samo" sa korisnickim imenom i sifrom upisanom, to (po meni) nije dobro resenje,odnosno, sistem nije pravilno dizajniran
[ Ivan Dimkovic @ 30.07.2010. 19:29 ] @
Naravno da takve stvari mogu da se urade, za to i sluzi VPN - ako nisi u VPN-u mozes da se slikas, a da bi bio u VPN-u potrebni su ti kljucevi.
Kao sto rekoh, TPM modul sluzi za sigurno polaganje kljuceva kao i inicijalnu validaciju celog sistema.
Cela stvar naravno moze da trci pod hipervizorom koji gasi celu "virtuelnu masinu" ukoliko dodje do neke nedozvoljene operacije i koji daje pristup kljucevima samo odobrenim procesima.
Sve je to danas dopstupno u jeftinoj izvedbi, ono bukvalno danasnji mobilni telefoni mogu da imaju TPM, eFuse, kriptovane bootloadere i hipervizore... a kamo li ATM masine.
Problem je sto se te stvari sporo menjaju.
[ Horvat @ 30.07.2010. 19:39 ] @
upravo na to sam mislio
pa ne znam sta bankari imaju da cekaju stvari da se menjaju, ja da sam banka, sigurno ne bih cekao da proizvodjac bankomata izbaci "modul" (kao potrebno je to ;)) ili update za bankomat da bi se tako nesto resilo, vec bih uzeo stvar u svoje ruke (zadao bih nalog it timu) da se to resi ,da samo odredjen krug racunara ima pristup i da ne moze drugacije biti pa ni da se otelis (jedino da ukrades bankomat/razvalis ga na licu mesta i onda da pristupis cemu zelis - lovi)
[ Nedeljko @ 30.07.2010. 21:32 ] @
Razvaljivanjem bankomata lova biva poprskana sprejem tako da bude neupotrebljiva.
[ mmix @ 31.07.2010. 16:36 ] @
Banke su bre cicije nevidjene, jedino sto njih moze da natera da se upgraduju znacajno je pojava znacajnog liabilitya ili pretnja velikog rasta polisa osiguranja, sto ruku na srce remote ATM hacking i moze da im priredi. Videcemo dal ce ovo imati efekta na industriju ;) Ja ipak mislim da nece.
[ Ivan Dimkovic @ 31.07.2010. 16:41 ] @
Upravo tako @mmix, mada i ovaj problem je dobrim delom prouzrokovan zbog koriscenja default (dakle poznatih) kljuceva - vrlo verovatno eliminacija celog problema uopste ne iziskuje neki upgrade (osim upgrade-a kljuceva tj. ;-)
Inace, upravo je taj raskorak izmedju onoga sto je moguce i onoga sto je realizovano u industriji tu zahvaljujuci decision-makerima koji ce uvek izabrati jeftinije resenje - ne mozete ih kriviti, i oni nekom odgovaraju i taj neko koristi identicnu metriku.
[ Buum @ 01.08.2010. 13:24 ] @
Citat:
Ivan Dimkovic: Pa ako si vec uspeo da otvoris ATM masinu do te mere da mozes da se povezes na unutrasnje portove, ne vidim sta te sprecava da nastavis dalje otvaranje i uzmes novac bez da pitas ATM ;-)
Zato što otvaranje ATM-a privlači daleko veću pažnju nego kad dođeš do hakovanog bankomata, ubaciš karticu i uneseš magičnu šifru koja ga pretvara u vrrrrlo darežljivu slot mašinu. :-)
To je ideal svakog kriminalca, da može neometano i neprimetno da muze keš. I to ne jednokratno, već kad god mu zatrebaju pare.
[ z@re @ 02.08.2010. 18:50 ] @
Jedna kladionica u HR (ne, necu rec koja :)) dijeli aparate za kladjenje koji se postave u kafic. Aparat se otvori na cetiri matice sa straznje strane, unutra je standardna ATX ploca sa nekim Celeronom, Windows XP sa auto-loginom administracijskog accounta, i OpenVPN cert-based autorizacija na centralni server. Program je pisan u .NETu, ne radi nikakvu provjeru osim sta ce roknut exception na drugom kompjuteru ako mu citac love nije spojen na COM port (ovaj je konkretno spojen preko COM<->USB adaptera). Osim sta firma koja proizvodi citac para ima dev.kit koji instalira virtualni COM port komandiran emulatorom :)
Instaliras OpenVPN, samo pokrenes config fajl i preko cert autorizacije se VPNas u njihovu mrezu. Tu je jedan Oracle server, kojem imas pristup jer imas pristup svim podatcima i svemu na toj masini, i drugi server koji preko nekog porta u nekakvom XML obliku konstantno puca live rezultate i informacije, tako da je program apdejtan.
Aparat ima izlaz na internet preko 3G sticka, koji naravno nema PIN. Koliko znam, u HR ne postoji flat-rate na 3G promet.
Epic fail.
[ z@re @ 02.08.2010. 18:53 ] @
Iako imam 0 dev.sati u oblasti takvih masina, nakon 30 sec razmisljanja dodjem do zakljucka da bi stavio plocu sa TPMom i full disk enkripcijom, custom Linux, i naravno mnogo, mnogo sati testiranja softvera na bugove i rupe.
Tako i ako imas puni fizicki pristup elektronici aparata ne bi mogao nista posebno napravit.
[ Ivan Dimkovic @ 02.08.2010. 19:38 ] @
@z@re,
Upravo je poenta u "dovoljno dobro za posao" - na zalost, takve odluke donose mediokriteti a i pritisnuti su pritiskom na cenu tako da, ukoliko je nesto "tek dovoljno dobro" a minimalne cene, ide se na to.
I to radi u 99% slucajeva, a u onih 1% gde se desi neko sra*nje, to pokrivaju osiguravajuce kuce.
Na zalost, ali je tako :)
Inace koji god OS da se stavi, problem sigurnosti ostaje ako se podesavanjem ne bavi dovoljno strucna osoba. Problem je upravo u tome da gomila samozvanih eksperata i konsultanata upravo zivi od ovakvih projekata, a sa njima tesko da mozes ocekivati napredne stvari kao sto je enkripcija diska, proveravanje potpisa i sl... :)
[ ventura @ 02.08.2010. 20:52 ] @
Citat:
z@re: Jedna kladionica u HR (ne, necu rec koja :)) dijeli aparate za kladjenje koji se postave u kafic. Aparat se otvori na cetiri matice sa straznje strane, unutra je standardna ATX ploca sa nekim Celeronom, Windows XP sa auto-loginom administracijskog accounta, i OpenVPN cert-based autorizacija na centralni server. Program je pisan u .NETu, ne radi nikakvu provjeru osim sta ce roknut exception na drugom kompjuteru ako mu citac love nije spojen na COM port (ovaj je konkretno spojen preko COM<->USB adaptera). Osim sta firma koja proizvodi citac para ima dev.kit koji instalira virtualni COM port komandiran emulatorom :)
Instaliras OpenVPN, samo pokrenes config fajl i preko cert autorizacije se VPNas u njihovu mrezu. Tu je jedan Oracle server, kojem imas pristup jer imas pristup svim podatcima i svemu na toj masini, i drugi server koji preko nekog porta u nekakvom XML obliku konstantno puca live rezultate i informacije, tako da je program apdejtan.
Aparat ima izlaz na internet preko 3G sticka, koji naravno nema PIN. Koliko znam, u HR ne postoji flat-rate na 3G promet.
Epic fail.
Otkrio si toplu vodu. Upravo si opisao preko 90% terminala i slot aparata na ovom svetu.
Ovaj ATM 'hack' je težak fail. Ne zbog toga što je neko uspeo da hakuje softver, već zbog toga što da bi hakovao softver moraš da imaš fizički pristup ATM-u (eg. da ga otvoriš), a kad si ga već otvorio onda je lakše da izvadiš kasete sa lovom, nego da se zajebavaš sa nekim hackovanjem softvera..
[ z@re @ 02.08.2010. 20:57 ] @
Ventura, ne bavim se tim stvarima pa ne znam.
Jos gore ako je to generalna praksa, a ne izoliran primjer. Koliko sam upucen, lik je uspjesno napravio i remote napad.
[ ventura @ 02.08.2010. 21:42 ] @
A zašto je gore što je generalna praksa takva kakva jeste?
Ne stoje ti aparati na livadi, i igrači ne podižu lovu iz državnog trezora pa da se nema nikakva kontrola nad time. Većina tih aparata je adekvatno zaštićena samim logovima i procedurama rada, tako da je bacanje resursa na neke mega-giga zaštite bezvezno, jer ako neko hoće da te zajebe može to uraditi na mnogo lakši low-tech način. A kad već intenzivno sve kontrolišeš da te ne bi zeznuli na low-tech način, što bi bacao pare i resurse na high-tech zaštitu kad je jednako pokrivaš.
[ Horvat @ 03.08.2010. 00:25 ] @
Citat:
When the manuals are provided online and the default passwords are not changed on most system when installed you are just asking for problems. I think the main problem with this system is that you can enter programming mode straight from the keypad, this is convenient however it would be much more secure if the operator was required to unlock the front of the machine and flip a service switch.
Download the manual (10 MB PDF)
Also with default passwords of Master = 555555 Service = 222222 Operator = 111111 you are asking for problems. Here are a few more links with information of this blunder.
Link 1, Link 2, Link 3, Link 4
I wonder how long it will take for other manufactures such as Triton to learn from this. Lilricky mentioned in the Digg post that this manual also contains master passwords, looks like this problem might be ongoing!
“I just confirmed that this does in fact work. We hit the market down from the office, I put the machine into admin mode with holding down ——, picked administration menu, and entered in the default —— and voila.
By this time I was shitting myself and decided to walk away. So I exited out of the mode leaving the machine’s settings unchanged. What I also noticed is that you can easily get a list of customer transactions as well as it is a menu option when you hold down ——.
This machine was a Triton but owned/managed by E-Trade (at least that’s the sign that was on it.). So yeah … it works.”
ATM machine - $2000
Transaction fees - $3
Illiterate morons from Banks' IT leaving default ATM passwords - priceless
[ Horvat @ 03.08.2010. 14:48 ] @
nego, ladno im je lakse cenzurisati informacije nego promeniti sifre :D
("ne radi" clanak na wired,"ne radi" video sa youtube, "ne radi" dugg na digg...)
[ dragancesu @ 03.08.2010. 15:43 ] @
Zanimljiva tema, ali
ATM kosta ipak malo vise od 2000$
Nema bas mnogo proizvodjaca ATM-ova
A softver i hadver su odobrili sistemi preko kojih se koriste usluge tipa visa, master i ostali
