Rabu, 19 Juni 2013

Bobol ATM lewat via Internet

Seorang hacker telah menemukan sebuah cara untuk memaksa mesin-mesin ATM untuk memuntahkan uang yang ada di dalam perutnya, dengan cara membajak komputer yang ada di dalamnya.

Serangan yang didemonstrasikan pada hari Rabu kemarin ditargetkan pada ATM-ATM yang berdiri sendiri Tapi metode ini bisa juga diterapkan pada ATM-ATM yang dioperasikan oleh bank-bank mainstream.

Para penjahat sudah lama tahu bahwa ATM tidaklah antibobol.

Ada banyak jenis serangan yang digunakan saat ini, mulai dari yang canggih sampai yang tolol: menginstal pembaca kartu palsu untuk mencuri nomor kartu, menyembunyikan kamera pengintai kecil untuk menangkap kode PIN, menutupi slot pengeluaran uang untuk mencegat uang dan bahkan mengangkut ATM pergi dengan truk dengan harapan bisa membukanya nanti.

Hacker komputer Barnaby Jack menghabiskan waktu dua tahun bermain-main di apartemennya di Silicon Valley dengan mesin-mesin ATM yang dia beli secara online. Mesin-mesin ATM tersebut adalah jenis mesin ATM yang berdiri sendiri, jenis yang sering terlihat di depan toko-toko yang nyaman, bukan yang ada di kantor-kantor cabang bank.

Tujuannya adalah untuk menemukan cara-cara mengendalikan ATM dengan memanfaatkan kelemahan-kelemahan yang ada pada komputer-komputer yang menjalankan mesin tersebut.

Dia memamerkan hasil penelitiannya ini pada konferensi Black Hat, sebuah pertemuan tahunan yang bertujuan untuk mengekspos model-model kerentanan keamanan komputer yang paling baru.

Serangan Jack ini memiliki implikasi yang luas karena mampu mempengaruhi beberapa jenis mesin ATM dari jenis yang berbeda-beda dan dapat mengeksploitasi kelemahan-kelemahansoftware dan langkah-langkah keamanan yang digunakan di seluruh industri.

Apa yang dibicarakan Jack dalam konferensi tersebut adalah salah satu dari yang paling ditunggu-tunggu oleh para peserta, sebagaimana tema pembicaraannya yang menarik tahun lalu yang mengungkapkan bahwa perbaikan mesin ATM tidak bisa dilakukan di tempat segera setelah kejadian. 

Dia memanfaatkan waktu ekstra satu tahun untuk mereka-reka serangan yang lebih berbahaya lagi.
Jack, yang bekerja sebagai direktur riset keamanan pada IOActive Inc yang berbasis di Seattle, menunjukkan dua cara ia bisa mengorek uang dari mesin ATM, dalam sebuah demonstrasi yang teatrikal:

- Jack menemukan bahwa tombol fisik yang menyertai mesin-mesin ATM yang dibelinya adalah sama untuk semua jenis mesin ATM. Dia menemukan hal ini dengan memesan tiga mesin ATM dari produsen yang berbeda, masing-masing seharga beberapa ribu dolar. Lalu ia membandingkan kunci-kunci mesin ATM tersebut dengan gambar-gambar kunci lainnya, yang ditemukan di Internet.

Dia menggunakan kunci tersebut untuk membuka sebuah kompartemen di dalam ATM yang memiliki slot standar USB. Kemudian dia memasukkan sebuah program yang telah ia tulis ke dalam salah satu dari slot-slot tersebut, untuk memerintah ATM tersebut memuntahkan isinya.

– Jack juga menyusup ke dalam mesin-mesin ATM dengan cara memanfaatkan kelemahan para pembuat ATM dalam berkomunikasi dengan mesin-mesin tersebut melalui Internet. Jack mengatakan masalahnya adalah bahwa ada kemungkinan orang luar dapat menggunakan kartu ATM yang dia temukan meski tanpa menggunakan password. Dia tidak merinci lebih detil karena ia mengatakan tujuan pembicaraan itu “tidak untuk mengajarkan orang cara meng-hack ATM. Tujuan pembicaraan ini untuk mengangkat isu tersebut dan agar produsen pembuat mesin ATM proaktif dalam melakukan perbaikan” katanya.

Gaya serangan jarak jauh adalah lebih berbahaya karena penyerang tidak perlu membuka mesin ATM.
Serangan jarak jauh ini memungkinkan penyerang untuk mendapatkan kontrol penuh dari ATM.Selain memerintahkan mesin ATM untuk memuntahkan uang, penyerang bisa diam-diam memanen data account dari siapa saja yang menggunakan mesin tersebut. Serangan jarak jauh ini bisa mengenai lebih dari sekedar ATM berdiri sendiri yang rentan terhadap serangan fisik; metode serangan jarak jauh ini dapat digunakan terhadap jenis-jenis ATM yang digunakan oleh bank-bank mainstream.

Jack mengatakan ia tidak berpikir ia akan mampu menyusup ke mesin-mesin ATM saat ia pertama kali mulai melakukan penyelidikan.

“Reaksi saya ketika itu adalah, “ini adalah permainan-kerentanan,”" katanya mengenai serangan jarak jauh tersebut. “Tiap ATM yang saya sudah lihat, saya mampu menemukan kelemahannya.Ini merupakan hal yang menakutkan.”

Kurt Baumgartner, seorang peneliti keamanan senior dari perusahaan pembuat software antivirus Kaspersky Lab, menyebut demonstrasi itu sebagai sesuatu yang “mencekam” untuk dilihat dan dia mengatakan adalah penting untuk meningkatkan keamanan mesin-mesin tersebut yang masing-masing dapat menampung puluhan ribu dolar dalam bentuk tunai. Namun, ia mengatakan ia tidak berpikir akan terjadi serangan yang meluas karena bank tidak menggunakan sistem ATM berdiri sendiri dan Jack tidak merilis kode serangannya.

Jack tidak akan mengidentifikasi para pembuat mesin-mesin tersebut. Dia memasang stiker untuk menutupi nama pembuat ATM ‘pada dua mesin yang digunakan dalam demonstrasi itu. Tapi para penonton, yang meledak tepuk tangannya demi melihat ia berhasil membuat mesin-mesin tersebut memuntahkan uang, bisa melihat dari layar petunjuk di ATM bahwa salah satu mesin tersebut dibuat oleh Tranax Technologies Inc, berbasis di Hayward, California Tranax tidak segera merespon e-mail dari The Associated Press.

Triton System, dari Long Beach, Miss, membenarkan bahwa salah satu mesin ATM-nya digunakan dalam demonstrasi tersebut. Perusahaan itu mengatakan bahwa Jack telah mengingatkan perusahaan tersebut dalam hal keamanan dan Triton sekarang telah memiliki update software di tempat yang diperlukan guna mencegah perangkat lunak yang tidak sah beroperasi pada mesin-mesin ATM mereka.

Bob Douglas, Vice President Triton bidang engineering, mengatakan bahwa para pelanggan dapat membeli mesin ATM dengan tombol unik, namun umumnya mereka tidak melakukan itu, mereka lebih suka menggunakan kunci dasar karena alasan biaya dan kenyamanan.

“Bayangkan jika Anda memiliki sebuah estate yang terdiri dari beberapa ribu mesin ATM dan Anda ingin mengakses 20 atau lebih di antaranya dalam satu hari,” tulisnya dalam e-mail ke AP.“Ini akan menjadi mimpi buruk logistik untuk mengingat-ingat semua tombol yang tepat pada tempat yang tepat dan pada waktu yang tepat.

Produsen pembuat mesin ATM lainnya yang dihubungi oleh AP juga tidak segera merespon pesan-pesan yang disampaikan.

Jack mengatakan produsen mesin ATM yang produknya ia dipelajari sedang memasang perangkat lunak perbaikan untuk kedua jenis kerentanan tersebut, tetapi ia menambahkan bahwa prevalensi software manajemen jarak jauh secara luas menyebabkan ATM terbuka terhadap serangan hacker.

Tidak ada komentar:

Posting Komentar