|
|
|
mvnForum » 列出所有討論區 » » 討論區: 資訊安全 » » » 話題: 原來破解 ATM 就可以寫出 Get Money 的程式了 » » » » 文章: 原來破解 ATM 就可以寫出 Get Money 的程式了 |
列印 2024/4/19 下午 11:57:28 |
| 文章作者 jieh 於 2010/9/27 上午 12:58:32 |
原來破解 ATM 就可以寫出 Get Money 的程式了以前還在水深火熱當程式設計師時 (再過一陣子我可能又要跳入火坑了),每當寫接近狂暴時,就會和同事討論能不能寫出一隻 GetMoney.java 的程式可以直接把錢 run 出來就好,這樣就不用卑躬屈膝地看客戶臉色了~~~ 原來這種程式不是不可能的!只是我們好好思考寫好的程式應該在哪種執行平台上運行:原來是 ATM 啊! 資安研究員展示如何破解ATM  西雅圖IOActive公司安全測試總監 Barnaby Jack 在拉斯維加斯黑帽(Black Hat)會議上演講,把兩台ATM搬到講台上,親自示範如何破解ATM,按了一個按鈕後,讓ATM吐出一堆鈔票。 破解ATM不是新點子,電影「魔鬼終結者2」的主角John Connor的演出就令人印象深刻。有些竊賊更利用一種少有人知的設定選單,騙ATM以為它們吐的是1美元美鈔,但實際吐出的是20美元鈔票。 但這些破解技巧威脅有限,因為不是靠深入分析ATM程式碼而得逞。 許多ATM採用Windows CE作業系統與ARM處理器,且具網際網路連線或撥接數據機連結,這些都透過一個串列埠(serial port)連結來控制對保險箱的存取。Jack指出,他用標準的除錯(debugging)技巧中斷(interrupt)正常的開機(boot)程序,並改為啟動Internet Explorer瀏覽器,這讓他能存取檔案系統,並拷貝相關檔案以便進行分析。 Jack表示,在Tranax生產的ATM中找到一個遠端存取的安全漏洞,讓他毋須密碼就能自遠端入侵ATM。 至於Triton的ATM,他未發現明顯的遠端存取安全弱點,不過他發現吐鈔的PC主機板只靠一把標準的(非獨一無二)鑰匙保護,可上網以大約10美元購得。他還發現,可以強迫這部機器接受他寫的開後門軟體,當作合法的軟體更新。 出席黑帽會議的Triton工程部副總裁Bob Douglas強調,上述安全漏洞在去年11月發布修補程式時已解決,並提供客戶選擇工具,以獨特的鑰匙取代標準鎖。 ---------------------------------------- 支持小惡魔 BTC : 19tn3RnCuwZVukXAwyhDWZD4uBgUZoGJPx LTC : LTFa17pSvvoe3aU5jbmfcmEpo1xuGa9XeA 知識跟八卦一樣,越多人知道越有價值;知識最好的備份方法,散播! 藍色小惡魔(林永傑): 臉書 |