image

14-jarige jongens 'kraken' geldautomaat via handleiding

dinsdag 10 juni 2014, 10:20 door Redactie, 16 reacties

Twee Canadese jongens van 14-jaar zijn erin geslaagd om een geldautomaat van de Bank of Montreal te "kraken" via instructies die ze in een online handleiding vonden en een standaardwachtwoord. Matthew Hewlett en Caleb Turon vonden op internet een handleiding om de machine in de beheermode te zetten.

"We dachten dat het leuk zou zijn om te proberen, maar we hadden niet verwacht dat het zou werken", zegt Hewlett tegenover de Toronto Sun. "Toen het bleek te werken werd er om een wachtwoord gevraagd." De jongens probeerden vervolgens het zescijferige wachtwoord te raden, waarbij de eerste poging meteen raak was. Het bleek om een standaard wachtwoord te gaan.

Melding

De jongens waarschuwden daarna de bank. De bankmedewerker dacht echter dat de pincode van één van de jongens gestolen was en negeerde de melding verder. Daarop gingen de tieners terug naar de automaat en wisten vervolgens allerlei overzichten uit te draaien, zoals hoeveel geld erin de automaat zat en het aantal opnames. Ook ontdekten ze een manier om de extra kosten voor het opnemen van geld aan te passen en konden ze de welkomsttekst van de geldautomaat wijzigen.

Met de documenten gingen de jongens terug naar de bank, die de melding toen wel serieus nam. Aangezien de jongens door het voorval te laat op school zouden komen lieten ze de bank een briefje tekenen. De bank zou inmiddels de beveiliging van de geldautomaten hebben aangescherpt.

Image

Reacties (16)
10-06-2014, 11:07 door Anoniem
Mooi verhaal. Ook aardig om het taalgebruik van het origineel eens te bekijken. Het is behoorlijk ademloos geschreven door iemand die maar heel matig doorheeft wat al die termen nou helemaal zouden moeten betekenen. Zoals gelijk in de eerste zin, "Automated Teller Machine machine", en nog zo een paar voorbeelden.

De kinderen zelf kunnen er ook wat van, met een (oh de woordgrappen) schoolvoorbeeld: Ze claimen letterlijk de machine ge"hacked" te hebben, een iets wat zelfs voor de meest vervente hoedjesdragert niet opgaat voor overtypen van een standaardwachtwoord uit de standaardhandleiding. Precies de reden dat ademloze reporterts die aan kinderen "ben jij nou een hackur?" vragen nooit serieus genomen mogen worden.

Ondertussen zouden de kinderen zich in bijvoorbeeld het benedenbuurland van Canada wel strafbaar strafbaar gemaakt hebben door dat te zeggen, want er is daar een wet die zware straffen zet op alles wat "computer hacking" heet te zijn -- zonder nou te vertellen wat dat nou precies is. Daarmee is deze uitspraak een schuldbekentenis zonder weerleg. Een situatie die de computerbeveiligingsindustrie nooit had mogen laten be- of zelfs ontstaan, maar die ze desondanks wel en zelfs actief in de hand heefd gewerkt.

Er had veel eerder ingezet moeten worden op duidelijk benoemen (in gewone mensentaal, dus zonder jezelf gelijk te verliezen in al die sappige details waar techneuten zo verzot op zijn) wat er nou eigenlijk aan de hand is, want zoals de Redactie laat zien, dat kan best. Maar je moet het niet aan kinderen en compleet techno-analfabete journalisten overlaten.
10-06-2014, 11:26 door Anoniem
Dat is nou een stapje te ver gaan met hacken, wel mooi dat de bank dit heeft uitgelokt door de jongens te vragen om bewijs. Dat zegt dit bericht op security.nl er even niet bij.

In de states ga je hiervoor jaren de cel in.
10-06-2014, 11:40 door Anoniem
Tuig!
10-06-2014, 13:05 door Anoniem
"Ze claimen letterlijk de machine ge"hacked" te hebben, een iets wat zelfs voor de meest vervente hoedjesdragert niet opgaat voor overtypen van een standaardwachtwoord uit de standaardhandleiding. Precies de reden dat ademloze reporterts die aan kinderen "ben jij nou een hackur?" vragen nooit serieus genomen mogen worden."

Hoe moeilijk moet iets zijn voordat het kwalificeert als een hack ?
10-06-2014, 13:33 door Briolet
Door Anoniem:Hoe moeilijk moet iets zijn voordat het kwalificeert als een hack ?

In elk geval moeilijker dan op de officiële manier binnen komen met een standaard wachtwoord. Een standaard wachtwoord gebruiken kun je vergelijken met een deur op slot doen en de sleutel laten steken. Volgens mij is het delict in dat geval ook geen inbraak, maar insluiping. Ook fout, maar met een lagere strafmaat.
10-06-2014, 13:45 door Briolet - Bijgewerkt: 10-06-2014, 13:50
Door Anoniem: Zoals gelijk in de eerste zin, "Automated Teller Machine machine".
Dat staat er niet, er staat ATM en niet voluit. Zo ken ik er nog wel een: "Venlose Voetbal Vereniging Venlo" Zelfs de club noemt hun eigen website 'VVV-Venlo', terwijl' VV-Venlo' of 'VVV' toch genoeg moet zijn naar jouw mening?

Of de uitdrukking "een BASF Fabriek". Ook fout omdat er nu twee keer fabriek staat?
10-06-2014, 13:56 door Anoniem
Door Anoniem: In de states ga je hiervoor jaren de cel in.
Inderdaad opmerkelijk dat Canada zoveel nuchterder is dan hun grote buurland.

Door Briolet:
Door Anoniem: Of de uitdrukking "een BASF Fabriek". Ook fout omdat er nu twee keer fabriek staat?
Blijf dan iets meer in ICT style, en de "fout" zelfs dubbel heeft: Koninklijke KPN Nederland... en die P was eigenlijk nog de afkorting PPT...
10-06-2014, 14:05 door Anoniem
Door Anoniem: Hoe moeilijk moet iets zijn voordat het kwalificeert als een hack ?
Goede vraag, en wellicht dat het antwoord verbaast: Het heeft weinig met moeilijkheidsgraad van doen.

Veeleer ontspringt het uit een creatieve, oneerbiedige zienswijze. Hoewel kennis en kunde zeker wel een rol spelen, door je de gereedschappen te geven eerder onvoorziene mogelijkheden met technologie te zien. Een indirecte rol dus.

Ga maar na: Als je een apparaat (of bv. software) iets laat doen waarvan het de toeschouwers, bonuspunten de maker van het originele apparaat ook, een reactie ontlokt als "ik wist niet dat dat kon!", dan heb je wel te maken met een "hack".

Hoeveel moeite het kostte om ertoe te komen, ach, hoeveel moeite kost het de meesterartiest om een meesterwerk te produceren? Tel je het moment van inspiratie, of de tijd die het kost het werk te produceren, of is het eerlijker het hele leven gewijd aan de kunsten te tellen?

Het gaat dus over (exceptionele, vernieuwende) creativiteit met technologie. Precies daarom zijn hoedjesdragers nauwlijks bezig met "hacks", want de 9000ste variatie op de buffer overflow of de sql injectie of de cross-site-scripting zwakheid zijn nauwlijks meer creatief te noemen, zeker niet nieuw. Het is bekende koek. Voor bezigers daarvan is er een aparte term.

Zo ook de handleiding openslaan en het geschrevene toepassen. Dat dit voor de kinderen in kwestie een leuk avontuur was betekent wellicht dat ze de eerste kleine stapjes op de weg naar hackerdom gezet hebben, en mischien gaan ze verder en komen ze er ooit nog wel. Maar dat wil niet zeggen dat hun eerste stapjes al de grootste accolades van prestatie verdienen.

Zeker niet nu de gebezigde termen zo vervuild geraakt zijn dat alleen het noemen al tot gerechtelijke stappen kan leiden, zelfs (alweer in de USA) grondwettelijke rechten kan verspelen.

Dit onafhankelijk van het duidelijk probleem met nalatigheid van de beheerder van het apparaat die verzuimd heeft de standaardbeveiligingscodes te vervangen. Iets wat nog steeds vaak voorkomt en niet met wat "gehack" echt op te lossen is. Daar heb je hele andere gereedschappen voor, zoals change management, administratie, beleid, procedures, en meer van dat saais. Nu weet je ook waarom de computerbeveiligingsindustrie zo vaak tekortschiet: De nuttige dienstverlening is ze maar al te gauw saai.
10-06-2014, 14:37 door Anoniem
Ik vraag me dan toch af hoe ze in godsnaam in het systeem van zo? automaat zijn gekomen, er zit immers geen usb poort aan de buitenkant..
10-06-2014, 15:09 door Anoniem
Door Briolet:
Door Anoniem: Zoals gelijk in de eerste zin, "Automated Teller Machine machine".
Dat staat er niet, er staat ATM en niet voluit.
Nou, dus? Het is een afkorting die dat betekent. "Persoonlijk Identificatie Nummer-nummer" is niet ineens correct omdat het eerste gedeelte afgekort wordt. Zeker in het Engels (Amerikaans) kom je wel meer van dat soort onzin tegen: "ISBN number", "For your FYI", "PSA announcement", "BA of Arts" of wellicht "BS of science", "RIP in peace".

Ook binnen de computerije wel, bv. "TCP protocol" en andere protocollen wier afkorting eindigt op een p van protocol. Hoewel in voorkomende gevallen "een TCP/IP protocol" (een protocol uit de met "TCP/IP" aangeduide protocolverzameling) wel correct is. Nog een voorbeeld: "ADSL lijn". Het verdient dan ook de aanbeveling om afkortingen niet te laten eindigen op een woord wat je er graag achter zou willen plakken in normaal spraakgebruik. Maar dat de naamgever slordig was is geen vrijbrief voor de schrijver dat ook te zijn.

Dat mensen het opschrijven wil niet zeggen dat ze daarmee niet aan hun eigen credibiliteit zagen. Het zegt "ik weet niet wat ik eigenlijk opschrijf." Een nuttig bericht, dat zeker, maar niet op de kennelijk bedoelde manier.


Zo ken ik er nog wel een: "Venlose Voetbal Vereniging Venlo" Zelfs de club noemt hun eigen website 'VVV-Venlo', terwijl' VV-Venlo' of 'VVV' toch genoeg moet zijn naar jouw mening?
Zo kennen we ook "Internationale Nederlanden Groep groep" als officieele naam.

Maar jij wil dus impliceren dat omdat anderen hun eigen naam vol overtolligheid wensen te proppen, mijn mening incorrect zou zijn? Lijkt me dat ik naar de feiten wijs.


Of de uitdrukking "een BASF Fabriek". Ook fout omdat er nu twee keer fabriek staat?
"BASF" staat (stond) voor precies een (1) fabriek, dus "een BASF-fabriek" kan haast niet op de Badische Anilin- und Soda-Fabrik slaan, wel dan?

Wat dat betreft is het een historisch artefact waar de realiteit de originele naam ingehaald heeft. Een simpele uitweg is om dan de letters maar als handelsmerk te deponeren en te declareren dat ze staan voor alle fabrieken van het concern gezamelijk. Iets wat niet opgaat voor een uitlating als "Automatic ATM Machine".
10-06-2014, 16:42 door Anoniem
wanneer gaat men hier een beseffen dat dit niets met "KRAKEN" te maken heeft..

kinderen vinden de gekste dingen tegen woordig, schepnetten bijvoorbeeld ook pistolen uit kikkerslootjes.
maakt ze dat ook gelijk tot wapenhandelaren?
10-06-2014, 17:35 door Anoniem
Niet gehackt, niet gekraakt maar geraden.

De jongens probeerden vervolgens het zescijferige wachtwoord te raden, waarbij de eerste poging meteen raak was.

In the computer security context, a hacker is someone who seeks and exploits weaknesses in a computer system or computer network.
https://en.wikipedia.org/wiki/Hacker_%28computer_security%29

Door het zwakke wachtwoord te raden heb je de zwakheid in de (bank)computer beveiliging ontdekt en omzeild om vervolgens 'naar binnen' te gaan.
Verschilt niet van gehackte websites of computeraccounts met een zwak password.
Daarom zou je gerust van hacken kunnen spreken als je deze logica volgt.

Omgekeerd consequent zijn kan ook.
Dan heb je iets geraden, niets gekraakt, niets gehackt.
Als je wel iets kraakt forceer je iets totdat het breekt of het als systeem begeeft. Deze jongetjes hebben niets gekraakt danwel laten kraken.

Als je dit weer doortrekt is ook Brute forcen niets anders dan raden, je doet het alleen wat vaker dan "drie keer raden,..".
Wanneer je binnen bent gekomen via brute force zou in het vervolg dan gesproken moeten worden van een 'attack' van een 'Multi-Gisser' en niet van een Hacker of van een Computerkraker.

Hacken, kraken of raden, het blijft een beetje gissen.
10-06-2014, 19:00 door Anoniem
Door Briolet:
Door Anoniem:Hoe moeilijk moet iets zijn voordat het kwalificeert als een hack ?

In elk geval moeilijker dan op de officiële manier binnen komen met een standaard wachtwoord. Een standaard wachtwoord gebruiken kun je vergelijken met een deur op slot doen en de sleutel laten steken. Volgens mij is het delict in dat geval ook geen inbraak, maar insluiping. Ook fout, maar met een lagere strafmaat.

Volgens mij heeft het originele hacken niets te maken met de moeilijkheidsgraad. Hacken gaat om het anders gebruiken/toepassen dan oorspronkelijk bedoeld. Deze jongens hebben volgens mij alleen aangetoond goed de handleiding te kunnen lezen voor gebruik. En de bank/ATM installateur heeft zich aan de defaults gehouden wat beveiligingstechnish niet aanferaden wordt. Wanneer de jongens geld overgmaakt zouden hebben van de ene rekening naar de andere met gebruik van alleen de ATM kun m.i. je wat meer van een hack spreken omdat de machine daar niet voor bedoeld is. Zoiets als bv de 'hack' om een nummer te bellen met de 'haak' van een telefoon ipv met de draaischijf omdat die opslot zit.
10-06-2014, 19:15 door Anoniem
Dat de term 'hacker' meer lading heeft dan representatief is voor wat deze scriptkids hebben gedaan mag duidelijk zijn, ik ben allang blij dat de term een keer niet verward wordt met malware oid.

Ook vind ik het fijn om te lezen dat Canadese banken niet van een veel hoger niveau zijn dan de Nederlandse prullers, het blijkt gewoon bank-eigen te zijn...

Wel ben ik, net als anoniem 14:37, erg benieuwd naar de wijze van toegang die gebruikt is. Ik kan me ook niet voorstellen dat er een USB-poortje aan de buitenkant zit, noch dat deze kids die ATM hebben opgeblazen.
Dan blijft dus alleen netwerk-toegang over, wat ik zeer verontrustend vind...
11-06-2014, 00:04 door Anoniem
Door Briolet:
Door Anoniem:Hoe moeilijk moet iets zijn voordat het kwalificeert als een hack ?

In elk geval moeilijker dan op de officiële manier binnen komen met een standaard wachtwoord. Een standaard wachtwoord gebruiken kun je vergelijken met een deur op slot doen en de sleutel laten steken. Volgens mij is het delict in dat geval ook geen inbraak, maar insluiping. Ook fout, maar met een lagere strafmaat.

Ik citeer live van http://nl.wikipedia.org/wiki/Hacken:

"Hacken is het vinden van toepassingen die niet door de maker van het middel bedoeld zijn, speciaal met betrekking tot computers. Complexiteit speelt hierbij geen rol, integendeel, gemakkelijke en snelle alternatieve oplossingen hebben de voorkeur. Ook het gebruik van een wasknijper om te voorkomen dat je broekspijp tussen je fietsketting komt is in principe een hack. "Gewone" uitvindingen en verbeteringen zijn dus geen hacks, zolang ze gebruikt worden waarvoor ze gemaakt zijn.

Hacken heeft dus niet direct te maken met computersoftware of met veiligheid, al is dat wel waar het om bekendstaat. Ten onrechte wordt de term hacking vaak gebruikt als synoniem voor cracking of computercriminaliteit."

Hackers zijn dus niet alleen mensen met "l33t h4x0r skillz", maar ook simpelweg mensen die iets uitvinden (ook al is het middels een handleiding) waar het systeem niet voor bedoeld is.
11-06-2014, 20:52 door Anoniem
Door Anoniem: Dan blijft dus alleen netwerk-toegang over, wat ik zeer verontrustend vind...
Je vergeet het scherm en nummertoetsenbord aan de voorkant.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.