Bir cihaz için asla "asla hack'lenmez" demeyin. ATM üreticisi Diebold Nixdorf bu gerçeği, şiketine ait bir ATM'nin para fışkırtan bir fıskiyeye çevirlmesinden sonra öğrendi. Diebold Nixdorf'a ait popüler Opteva ATM'lerinde bulunan bir USB açığı basit bir hack ile kırılabiliyor ve cihazın içindeki tüm paraların dışarı atılmasına sebep oluyor.
Geçtiğimiz hafta düzenlenen Black Hat etkinliğinde IOActive'in "Gömülü Cihazları Kırma" panelinde, araştırmacılar sadece bilgisayarların değil, telefon ve sunucuların da hack'lenebildiğini, kısacası içinde çip bulunan ve internet bağlantısı olan her şeyin kırılabildiğini gösterdi.
Gömülü sistemler, isminden de anlaşılacağı gibi, tek bir işlev için seri üretilmiş cihazlara verilen isim. Bu cihazların arasında yazıcılar, tarayıcılar, güvenlik kameraları, kiosk'lar ve tabii ki ATM'ler var. Bu cihazların tek bir işlevleri olduğu için güvenlikleri de ona göre geliştiriliyor, yani bir çok gömülü sistemin güvenlik sistemi yok bile.
IOActive'e göre bir cihazın güvenliği onun en zayıf parçası kadar iyi. Bu da gömülü sistemleri kolay hedefler haline getiriyor.
Geçmişte güvenlik şirketlerinin kavram ispatı için arabaları, akıllı ev sistemlerini ve hatta silahları bile hack'lediler. ATM'ler mekanik olarak ne kadar güvenli olsa da, bazı dijital açıklar gözden kaçabiliyor.
'Challenge accepted'
IOActive güvenlik sistemleri müdürü Mike Davis, daha önce Diebold Nixdorf ile bu konuda bir çok kez görüştüğünü bildirdi. Davis, Nixdorf'a ATM'lerinni hoparlörlerinin bulunduğu üst kısımda bir güvenlik hatası olduğunu ve buradan bir USB girişe erişilebildiğini söyledi.
Davis "Biraz sihir ile, şaka yapmıyorum, ATM'nin açılması saniyeler sürdü" dedi.
Bunu öğrenen Diebold Nixdorf, Davis'e göre açığı büyük bir tehlike olarak görmedi çünkü paralar ATM'nin alt kısmında bulunan bir kasada saklanıyordu. Şirket, bu açığın para çalınmasına olanak tanımayacağını söyleyince Davis şunları söyledi:
"O zaman biz de 'challange accepted' diyoruz. Cihaza para vermesini istememiz yeterli olacaktır diye düşünüyoruz."
Ardından IOActive ekibi ortaya çıkan USB girişine bir netbook bağladı ve ATM'nin otomatik fon dağıtıcı sistemine bir kod aşıladı. Bu sistem gömülü cihazın ne kadar paranın dışarı çıkacağını kontrol eden bir bot. Ekip bu sistemi kırarak kasadaki bütün paranın dışarı atılmasını sağladı.
Diebold Nixdorf ile birlikte çalışarak diğer ATM'lerde de bulunabilecek muhtemel güvenlik açıklarını düzetlme teklifi eden IOActive'in teklifi reddedildi. Sebep olarak ise hacklenen bu ATM modelinin eski olduğu söylendi.
Şirketi temsil eden bir sözcü, "Doğru bakım ve yamaları almazsa, özellikle yaklaşık 10 yaşında her hangi bir gömülü bir sistemin tehlike altına girme riski artar" dedi.
Diebold Nixdorf 2008-2008 yılları arasında üretilen ATM'lerinden kaçının halen kullanımda olduğunu açılamadı ve çoğu durumda, yazılımların güncel tutulmasının finansal kurumlara bağlı olduğunu söyledi. Bu olaylardan beri bahsi geçen güvenlik açığının giderildiğinden emin değiliz.