Máy ATM có thể bị rút sạch tiền vì một số lỗ hổng mới !

Newsun

Born to be Good
Thành viên thân thiết
Tham gia
20/4/2008
Bài viết
9.426
Barnaby Jack, Giám đốc công ty nghiên cứu bảo mật IOActive Inc (Mỹ) đồng thời là một hacker, cho biết anh đã khám phá ra 2 điểm yếu nghiêm trọng của toàn bộ hệ thống máy rút tiền tự động hiện nay.

Theo hãng tin AP, tại hội thảo công nghệ bảo mật Black Hat tổ chức tại Las Vegas (Mỹ) hôm 28/8, Barnaby Jack phát biểu: “Tôi đã đặt mua một số mô hình máy ATM trên mạng và dành hẳn 2 năm tại căn hộ của mình ở Thung lũng Silicon để nghiên cứu nhược điểm của chúng. Kết quả đạt được thành công ngoài mong đợi”.

ha1.jpg

Barnaby Jack tại hội thảo Black Hat. Ảnh: AP.

Vị giám đốc cho biết chiếc chìa khóa đi kèm với mỗi model máy ATM thuộc cùng một nhà sản xuất mà anh này đã đặt mua đều có thiết kế giống nhau. Jack phát hiện ra điều này bằng cách đặt hàng 3 loại máy ATM từ 3 cơ sở sản xuất khác nhau với mức giá khoảng vài nghìn USD mỗi chiếc, sau đó so sánh mẫu chìa khóa của máy với hình ảnh sản phẩm cùng loại trên Internet.

Nhờ phát hiện này, anh đã sử dụng mẫu chìa khóa có được để mở thành công các máy ATM cùng loại của ngân hàng. "Chỉ cần cắm một thiết bị có chứa chương trình đột nhập được lập trình sẵn vào khe cắm USB của máy ATM, bạn có thể dễ dàng lấy đi toàn bộ số tiền trong đó", Jack nói.

ha2.jpg

Ảnh: AP.

Một lỗ hổng khác của ATM nằm ở cách thức mà các nhà sản xuất máy rút tiền tự động giao dịch với hệ thống qua Internet. Tuy nhiên, Jack không đi sâu vào chi tiết của vấn đề. Thay vào đó, anh cho hay: “Mục đích bài phát biểu của tôi không phải để dạy người ta cách đột nhập máy ATM. Tôi chỉ đơn thuần muốn cảnh báo các nhà sản xuất hãy nhận thức vấn đề một cách đầy đủ và tích cực hơn trong việc vá lỗ hổng”.

Kurt Baumgartner, chuyên gia an ninh của Kaspersky Lab, cho biết ông thực sự “sốc” sau khi nghe bài phát biểu của Barnaby Jack. Kurt khẳng định, các nhà sản xuất ATM cần phải có biện pháp khắc phục tức thời trước khi hacker kịp manh động.

ha3.jpg

Ảnh: AP.

Dẫu vậy, ông này vẫn tỏ ra lạc quan khi cho rằng nếu có xảy ra đột nhập máy ATM bằng phương thức trên, hậu quả sẽ không thể lan rộng. Nguyên do là các ngân hàng thường không áp dụng hệ thống ATM đơn lẻ. Hơn thế nữa, Barnaby Jack vẫn chưa hề công khai mã chương trình đột nhập vào hệ thống rút tiền.

Ngày nay, các hình thức tấn công nhằm vào máy ATM tại Mỹ trở nên ngày càng tinh vi, từ việc cài đặt đầu đọc thẻ giả để lấy cắp số card và mã PIN, hay thậm chí dùng xe tải để cày nát máy rút tiền.
Hoàng Quân
VnExpress

một độc giả trên VnExpress nói:
Lỗ hổng này không phải là mới

Tôi là một Chuyên gia tư vấn về máy ATM tại VN. Tôi thấy rằng 2 lỗ hổng mà ông Jack đưa ra trên đây không phải là mới mà ở VN đã biết từ lâu.

Lỗ hổng 1: Chìa khóa khoang PC đúng là dùng chung cho tất cả máy ATM cùng loại. Điều đó đồng nghĩa với việc nếu có chìa khóa này thì có thể mở khoang chứa PC của bất kể máy ATM nào cùng loại.

Tuy nhiên máy ATM luôn được thiết kế làm 2 khoang riêng biệt: khoang chứa PC (phía trên) và khoang chứa các thùng tiền (4 hoặc 5 thùng) phía dưới. Khóa ở lớp cửa két sắt phía trong là khóa dạng vòng hoặc điện tử. Nếu không biết mật mã thì không thể mở khóa này được.

Hầu hết phần mềm trên máy ATM hiện nay đều có cơ chế kiểm soát thiết bị ngoại vi gắn vào bất hợp pháp và một loạt các phần mềm firewall, anti-spy, virus, cơ chế quản trị phân quyền và rất nhiều policy khác (tùy vào từng ngân hàng).

Vì vậy dù Jack có mở được khóa khoang PC thì cắm USB vào cũng không thể chạy chương trình trên USB được – Trừ khi Jack là nhân viên ngân hàng.

Trường hợp bằng cách nào đó Jack làm cho PC nhận thiết USB thì việc chạy chương trình hacker để bắt ATM trả tiền ra là không thể vì:
- Máy ATM không có cơ chế rút tiền dạng offline mà phải có phản hồi từ máy chủ tại ngân hàng sau khi kiểm tra hàng loạt thông tin gởi lên. Lệnh trả tiền chỉ được chạy khi tín hiệu từ host trả về là ok.
- Jack có thể tạo Host ảo và chạy nhưng host ảo không thể tạo ra thông tin thật nên giải pháp này không khả thi.
- Muốn bắt ATM trả tiền ra mà không cần “xin ý kiến” từ host thì chỉ có cách là vô hiệu hóa toàn bộ phần mềm bảo mật, policy, các sensor bảo vệ và vô hiệu hóa luôn phần mềm điều khiển ATM, thay vào đó là chạy phần mềm của Jack để điều khiển thiết bị trả tiền làm việc.

Jack có là ông thánh cũng không làm được chuyện đó! Đây chỉ là chiêu PR cho cty của Jack thôi.

- Lỗ hổng 2: Xin lưu ý rằng chả có ngân hàng nào dại dột mà mạng nối từ ATM tới trung tâm thẻ lại hòa chung vào đường Internet public chứ chưa nói gì tới việc giao dịch với các hệ thống khác qua Internet.

Ngân hàng luôn thuê đường mạng riêng từ các cty viễn thông cho việc truyền dữ liệu của mình và các kênh thanh toán khác trên Internet của ngân hàng luôn độc lập với hệ thống máy ATM vì vậy chuyện Hack từ Internet vào để bắt ATM trả tiền ra càng không thể.

Bằng cách nào đó mà Jack có thể vô hiệu hóa hành loạt phần mềm và kết cấu vật lý của máy ATM thì chỉ có trường hợp Jack có source code của tất cả các phần mềm chạy trên PC của máy ATM, kể cả phần mềm firewall, và biết luôn tham số của policy.

Từ đó Jack mới có thể tắt toàn bộ hệ thống để điều khiển ATM trả hết tiền ra. Điều này là không tưởng vì ngân hàng không bao giờ trang bị hệ thống bảo mật từ một nhà cung cấp.

 
Top