黑掉ATM的机会:编写恶意程序黑掉后台系统

20091004093614f933f《新知客》9月刊报道 要黑银行的ATM有两条路:编个恶意程序,直接骗过柜员机上那个漏洞百出的Windows系统;或者先黑银行的后台系统,盗取客户信息之后再大模大样到ATM取钱。这两条路,现在都有得走。

网络安全研究人员杰克(Barnaby Jack)在美国拉斯维加斯的黑帽安全会议(Black Hat)上原本有一个精彩的演讲,他准备演示如何入侵ATM(自动柜员机),以证明多种不同型号的ATM存在安全隐患。“我一直很喜欢《终结者2》的一个场景,约翰·康纳走到一台自动柜员机前,将Atari接入读卡器并从机器中取出大量现金。我认为已经找到了这样做的关键。”

杰克为自己的演讲取名为“自动柜员机让你发财”,但他最后并没有“美梦成真”,因为这次演讲最后被取消了。作为计算机网络公司瞻博(Juniper)的雇员,杰克被公司告知停止这次演讲,理由是ATM生产厂商对公司施压。

美国密歇根大学研究网络安全的哈德曼(J. Alex Halderman)教授在接受记者采访时对瞻博的这一行为表示理解,“ATM生产厂商可以以泄漏秘密为由将瞻博告上法庭,因为杰克善意的演讲可能会被人利用。在找到修补漏洞的办法之前,ATM不能冒这么大的风险。”美国黑客曾经入侵花旗银行的ATM网络,让花旗蒙受至少200万美元的损失,而这仅仅是ATM漏洞所致巨额损失中的九牛一毛。

ATM的“自动”机制

1967年6月27日,世界上第一台自动取款机在伦敦附近的巴克莱银行分行亮相。时至今日,据汇丰银行估计,95%的取款是通过ATM机而不是柜台出纳办理的。数亿人习惯了在墙上的“洞”里存钱、取钱。

“洞”的核心秘密在看不见的地方。

Continue Reading