A to klidně můžeme pominout dnes již legendární případ v MIT (Massachusetts Institute of Technology), kdy zdejší studenti zakoupili z různých zdrojů (inzeráty, bazary, aukce...) použité pevné disky a studovali, nakolik se lidé obtěžují kvalitně z nich mazat data, když je dávají z ruky.
Kromě očekávaného zjištění, že s ochranou dat na vyřazených discích to vůbec není slavné, se jim podařil i jeden kardinální úlovek, a to získání vyřazeného pevného disku z bankomatu, na kterém bylo možné většinu dat obnovit a jenž obsahoval precizní záznamy o všech transakcích provedených v průběhu posledního roku – včetně čísel použitých bankovních karet.
Nekalé MP3
Poněkud sofistikovanější metodu útoku proti bankomatu předvedl Maxwell Parsons (41) z Velké Británie, který provedl úspěšný útok proti bankomatům s pomocí MP3 přehrávače. A rozhodně nebyl neúspěšný, protože jím způsobená škoda byla vyjádřena částkou přesahující dvě stě tisíc liber, tedy něco přes šest milionů korun.
Způsob provedení útoku byl následující: Parsons vyhledával osamoceně stojící bankomaty (např. v nákupních centrech). Tedy takové, které nebyly „zazděné“, ale k nimž byl relativně volný přístup. MP3 přehrávač pak umístil tak, že byl schopen zaznamenávat tóny, jimiž bankomaty komunikovaly s bankou při zadávání a ověřování transakce.
Na základě těchto tónů byl schopen doma vyrábět klonované karty, k nimž znal veškeré údaje včetně PINu. S jejich pomocí následně chodil vybírat hotovost. Policie se domnívá, že nebyl sám a že měl komplice – což se nepodařilo prokázat, nicméně ho to neuchránilo před 32měsíčním nepodmíněným trestem plus nutností náhrady způsobené škody.
Přitom k jeho odhalení pomohla náhoda (i když Parsons by asi hovořil spíše o smůle): zastavila jej policejní hlídka poté, co otáčel automobil na zákazu otáčení. Policisté si pak všimli prapodivné karty ležící na sedadle vedle něj a odvezli ho na stanici. Osobní prohlídka ukázala, že jde o klonovanou kartu.
Následná domovní prohlídka pak odhalila celou domácí továrnu na klonované karty. Parsons popřel obvinění z podvodu, ale přiznal se k výrobě padělatelského náčiní a k neoprávněným průnikům do veřejných komunikačních linek.
Výchozí hesla
Chtělo by se říci: Jak prosté, Watsone. Ale realita může být ještě prostší a jednodušší. Stačí, aby provozovatel bankomatu byl tak trochu lajdák, který se neobtěžuje změnou hesla defaultně nastaveného od výrobce.
Že něco podobného snad není možné? Asi ne, přesto se nedávno ukázalo, že zhruba čtvrtina bankomatů ve Spojených státech pracuje s původním heslem, které mu bylo dáno do vínku u výrobce.
Toto heslo přitom umožňuje měnit nastavení bankomatu či provádět různé jiné operace, které jsou běžnému smrtelníkovi zapovězené. Problém vyplaval na světlo poté, co dosud neznámá osoba přeprogramovala u benzínové stanice ve Virginia Beach (stát Virginia) při plném provozu bankomat ATM Tranax Mini Bank 1500 pouze s použitím klávesnice a znalosti speciálních kódů tak, že stroj považoval dvacetidolarové bankovky za pětidolarové. Při výběru jednoho sta dolarů tak místo pěti dvacetidolarových bankovek vydal rovnou dvacítku bankovek této hodnoty – tedy 400 dolarů.
Neznámého útočníka se nikdy nepodařilo dopadnout. A to mimo jiné proto, že použil anonymní předplacenou debetní kartu (jeden z mnoha „báječných“ produktů amerického bankovnictví). A taky proto, že se nikdo ze zákazníků bankomatu neobtěžoval problém po devět dní hlásit: všichni si trpělivě nechali vyplácet několikanásobek vybírané sumy (z účtu se jim přitom strhávala právě jen vybíraná suma, tedy nikoliv skutečná částka). Mnoho z nich bylo navíc s úpravou bankomatu tak spokojeno, že se vracelo opakovaně.
Výrobce tohoto typu bankomatu, kterých je celosvětově údajně nainstalováno 450 tisíc, už oznámil, že do budoucna zabrání opakování takových případů. Mimo jiné tím, že bude nutné změnit základní hesla, jinak nepůjde bankomat zprovoznit.
Příběh má přitom nejméně dvě pointy. První je fakt, že bankomat vůbec nevyžadoval změnu základního hesla. Připomínáme, že ve světě softwaru je tato „vlastnost“ zcela automaticky brána za „kritickou chybu“ v architektuře.
A druhá pointa? Manuál k bankomatu ATM Tranax Mini Bank 1500 si může kdokoliv bez nejmenších potíží (hlavně nám nevolejte na linku technické podpory, vše je popsáno v manuálu...) stáhnout na internetu. Že manuál obsahuje i všechna základní hesla, snad už není nutné zdůrazňovat...
Ruské ovoce
Zatím poslední případ úspěšného útoku proti bankomatu proběhl letos v lednu v Rusku. Zveřejněný byl poté, co společnost Diebold vydala bezpečnostní aktualizaci softwaru Opteva ATM pro své bankomaty a důrazně upozornila všechny provozovatele, aby si ji co nejdříve nainstalovali. Takovou událost pochopitelně není možné přejít mávnutím ruky, žádalo se vysvětlení.
Podle společnosti Diebold se v rámci skupina útočníků dostala fyzicky přímo do bankomatů, kde následně instalovali trojského koně. Ten jim umožnil nejprve získat přístup k šifrovaným datům uloženým na lokálních magnetických páskách. S pomocí těchto dat byly vyrobené klonované karty, ty pak infikované bankomaty akceptovaly, dešifrovaly informace z pásek a následně tiskly...
Podle společnosti Diebold šlo o velmi sofistikovaný útok, protože agresoři znali API volání i přesně věděli, jak bankomaty fungují.
Dejme tomu. Jen si nepřejme, aby se zase někde na internetu objevil sofistikovaný volně přístupný manuál třeba na bankomaty v Česku...
Tento článek vyšel v tištěném SecurityWorldu 2/2009