image

Onderzoekers hacken geldautomaat met Raspberry Pi

maandag 3 november 2014, 13:18 door Redactie, 8 reacties

Onderzoekers hebben onlangs laten zien hoe ze met een Raspberry Pi geldautomaten kunnen hacken, om bijvoorbeeld pincodes te stelen, geldcassettes te openen en geld op te nemen. In tegenstelling tot andere aanvallen die de afgelopen maanden werden gerapporteerd en waarbij malware werd ingezet, besloten de Russische onderzoekers Alexey Osipov en Olga Kochetova een andere aanpak te kiezen.

Ze gebruikten een Raspberry Pi, een kleine programmeerbare computer met de omvang van een creditcard, om die op de RS-232- of USB-aansluiting van de geldautomaat aan te sluiten. Het apparaatje is als hardware "sniffer" te gebruiken of als controller. Om met de geldautomaat te communiceren gebruikten de onderzoekers een aantal Application Programming Interfaces (APIs) genaamd XFS, wat staat voor "extensions for financial services". Via deze APIs kan de apparatuur in de automaat met elkaar communiceren.

Het laat een aanvaller echter ook de computer van de geldautomaat omzeilen, waardoor het mogelijk is om direct met de andere aangesloten apparatuur te communiceren. Een voordeel daarbij is dat de Raspberry Pi zeer klein is. Om het apparaatje aan te sluiten moet een aanvaller wel fysieke toegang hebben. Tijdens een test slaagden de onderzoekers erin om een geldautomaat binnen twee minuten open te maken, de minicomputer aan te sluiten en de ombouw weer terug te plaatsen, meldt Bank Infosecurity.

Fabrikanten van geldautomaten moeten dan ook penetratietests op hun apparatuur laten uitvoeren alsmede de fysieke beveiliging aanscherpen, zo stellen de onderzoekers. Verder moet de geldautomatenindustrie aan een open specificatie werken zodat de onderdelen binnen een geldautomaat op veilige wijze met elkaar kunnen communiceren en elkaar kunnen authenticeren. "Het hacken van een geldautomaat met een kleine computer zoals een Raspberry Pi zou niet mogelijk moeten zijn, maar is het wel", aldus Osipov.

Reacties (8)
03-11-2014, 13:56 door Anoniem
Ja hallo, fysieke toegang tot elk apparaat betekend einde oefening voor elke vorm van beveiliging. Het zou pas stoer zijn als ze datzelfde trucje konden herhalen zonder fysieke toegang, dus remote.
03-11-2014, 14:31 door Anoniem
John Conner gebruike in Terminator 2 gewoon een Atari... ;)
03-11-2014, 15:10 door vimes
Om het apparaatje aan te sluiten moet een aanvaller wel fysieke toegang hebben.
Ja zo kan ik het ook.
03-11-2014, 15:17 door Anoniem
Door vimes:
Om het apparaatje aan te sluiten moet een aanvaller wel fysieke toegang hebben.
Ja zo kan ik het ook.


Before a computer can be installed inside an ATM, however, an attacker needs to gain physical access to the enclosure itself, and then plug their device into an Ethernet, USB or RS-232 port. But as recent malware attacks in Eastern Europe and Western Europe have shown, criminals are getting better at not just locating unattended ATMs, but also procuring the keys required to access ATM enclosures, plugging in a USB drive that installs malware on the targeted system, and then rapidly dispensing as much money as possible.
03-11-2014, 15:37 door Mapa
Door Anoniem: Ja hallo, fysieke toegang tot elk apparaat betekend einde oefening voor elke vorm van beveiliging. Het zou pas stoer zijn als ze datzelfde trucje konden herhalen zonder fysieke toegang, dus remote.
Nee, het bewijst eens temeer dat informatiebeveiliging meer is dan alleen een softwarematige benadering.
03-11-2014, 15:57 door Anoniem
Als je toch al in de geld automaat kan komen waarom dan die moeite om via allerlei software klanten van de bank te benadelen. Pak gewoon het stapeltje geld naast de USB aan sluiten doe het kastje weer netjes dicht en klaar. Blijkbaar is er nog niemand in geslaagd om via wifi een geldautomaat over te nemen. Vaar zitten ze in de muur vast maar vaak staan ze gewoon los met een voedingskabel en soms een netwerkkabel.
Ik heb een raspberry-Pi, volgens de gedachten gang van de FBI ben ik u dus weer crimineel?
03-11-2014, 21:35 door Anoniem
Door Anoniem: Blijkbaar is er nog niemand in geslaagd om via wifi een geldautomaat over te nemen.

Goh, hebben ze er voor het gemak van de digitale crimineel geen wifi ontvanger in gebouwd?
04-11-2014, 07:25 door Anoniem
Door Anoniem:Ik heb een raspberry-Pi, volgens de gedachten gang van de FBI ben ik u dus weer crimineel?

Was idd het eerste dat in mij opkwam bij het lezen van het artikel......
Nu zullen ze wel verboden gaan worden )-:
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.