Vegas ATM Malware, Bankacılık Güvenlik Görevlilerini Gösteriyor

Sahte ATM makineleri Las Vegas çevresinde ikamet ettiler.

Bilgisayar kâşifleri, korsanlardan ve suçlulardan güvenlik araştırmacılarına ve kolluk görevlilerine kadar her türden bilgisayar güvenliği uzmanı - geçen hafta Black Hat ve DefCon güvenlik konferansları için Las Vegas'a indi.. Saldırganın geçen hafta Las Vegas'ta sahte ATM makineleri üretmeye karar vermesi, hesap ve PIN bilgilerini ele geçirme ve tavizsiz hesaplardan para çekmesi gibi bir tesadüf değildir.

Belki de saldırgan bunu kişisel bir meydan okuma olarak görmüştür. Hackerları hacklemek ”ve bu güvenlik hobileri ve uzmanlarının yünü gözlerinin üzerinden çekmeye çalışıp çalışmadıklarını test etmeleri. İronik kısım, Blackhat'ta Juniper's Barnaby Jack tarafından belirli ATM makinelerinde bir kusurun kullanılmasıyla ilgili olarak sunulacağı bir sunumun olmasıydı, ancak bir ATM satıcısının talebi üzerine sunum iptal edildi.

[Ek okuma: Nasıl Windows PC'nizden kötü amaçlı yazılımları kaldırmak için]

Sunum, Windows CE işletim sistemini çalıştıran cihazlardaki güvenlik açıklarından yararlanmaya odaklandı. Birçok ATM makinesinin Windows CE işletim sistemine güvenmesi, hack'in kamuoyuna açıklanmasını sonuç verebilecek sonuçlar doğurabilirdi. Juniper'in kurumsal sosyal medya ilişkileri direktörü Brendan Lewis, “Juniper'in resmi blogunda“ Etkilenen tedarikçinin maruziyeyi uygun bir şekilde azaltması için araştırma bulgularını kamuoyuna açıklamak için potansiyel olarak müşterilerini riske atacaktı. Bu, gerçekleşmesini istemediğimiz bir şeydir. ”

Juniper ve Barnaby Jack'in Juniper tarafından, sekiz aydan fazla bir süre önce güvenlik açığının satıcısına bildirildiğini düşünen çok özgecil görünüyor. satıcının sıfır gün istismarından veya ani şokundan kaynaklandı. Sunumun iptal edilmesi, kusurun kamuya açık hale gelmesini önlüyor, ancak bunu bulabilmeleri ve etkilenen sistemlerin sekiz aydan uzun bir süredir savunmasız kaldığını gösteriyor. daha şüpheli ahlaki lifi olan diğer kişilerin de bu felakete de yol açmış olabileceği ve aktif olarak sömürebileceği de muhtemeldir.

Ne yazık ki, savunmasızlık muhtemelen tek başına ya da tek başına bir olay değildir. Yakın zamanda yapılan bir röportajda, Trustwave'in bir yöneticisi Güvenlik için ATM, kiosk ve satış noktası (POS) terminallerini değerlendiren güvenlik ve uyumluluk hizmetleri sağlayıcısı, “Bir laboratuvarın bizim cihazlarımıza gelmesi çok nadiren - aslında ben yokum O olduğunu düşünüyorum bir güvenlik açığı bulamadık. ”

Tony Bradley, on yıldan fazla kurumsal BT deneyimi ile bir bilgi güvenliği ve birleşik iletişim uzmanıdır. Tonybradley.com 'da kendi sitesinde bilgi güvenliği ve birleşik iletişim teknolojileri hakkında ipuçları, öneri ve incelemeler sağlar.