Gepubliceerd: Donderdag 2 juli 2009
Een security-onderzoeker van Juniper Networks is door het bedrijf de mond gesnoerd. Hij mag niets vertellen over beveiligingsgaten in geldautomaten.
Toon volledig artikel
"Security by disclosing zero day exploits" werkt nog slechter.
Geef ze ff de tijd, het is niet zo dat men het lek niet gaat dichten ofzo.
Volgens een anonieme bron die er meer vanaf weet, werkte Jack negen maanden samen met de fabrikant, maar werd die zenuwachtig dat zijn presentatie voor slechte publiciteit zou zorgen.
Mwah... Ik denk niet dat dit valt in de categorie 'zero day exploits' maar eerder in de categorie 'ik heb mijn medewerking verleend maar de fabrikant de vertragingstactiek toe en ik vind dat het nu toch echt eens tijd voor actie is'
Anyway... Jammer dat de werkgevers van dit soort mensen vaak toch weer zwichten voor de druk.
Security by obscurity werkt niet
Wel hoor. Elke digibete manager vind dat dat beter werkt dan goeie oplossingen maken.
En zolang die digibete managers het op de 1 of andere manier voor het zeggen blijven hebben blijft het "werken" :-).
Ik kan me voorstellen dat ze even wachten met het verhaal totdat de operationele lekken gedicht zijn.
Full Disclosure is prima, maar als de kans op misbruik een zekerheid wordt, dan is daar niemand bij gebaat. Het lijkt erop dat het gevoel van urgentie bij de ATM makers wel aanwezig is.
Jack wordt niet de mond gesnoerd, hij kan genoeg andere mooie verhalen vertellen. Dat verhaal komt later wel een keer, hij heeft zijn credits nu toch al verdiend.
Kennelijk kun je de boel neppen. Maar dan sta je nog steeds op de camerabeelden waarschijnlijk.
Maar als hij maanden met een fabrikant heeft samengewerkt en een gat gevonden heeft, is die fabrikant op de hoogte van het probleem en zou het (zet er een paar experts op, voorzie ze van cola en zorg dat het gefixt is voor ze naar huis gaan) binnen uren, niet dagen, laat staan weken, op te lossen moeten zijn.
Er staat ook dat de fabrikant waarschijnlijk bang is voor bad publicity. Okee, we screwed up AND we fixed it. Waarom zou je de wereld niet willen vertellen dat je de eerste pinautomatenfabrikant bent die de boel wel goed gefixt heeft?
Ach, op de filmpjes op Liveleak nemen de boze mannen altijd consequent de hele ATM mee, of ze blazen hem op, of ze zetten een willekeurig slachtoffer een pistool op 't hoofd met het verzoek om even op te schieten met pinnen.
Wie is er nu geinteresseerd in het hacken van een ATM??? ;-)
We hebben het hier over een GELDautomaat, geen PINautomaat. Met een PINautomaat betaal je. Een PINautomaat vindt je o.a. in de supermarkt bij de kassa. Sommigen leren het ook nooit.
Dit zogenaamde 'gat' is alleen te gebruiken doordat fabrikanten tegenwoordig besturingssystemen in GEA's gebruiken die te hacken zijn en in banknetwerken zit van alles aan elkaar vast met toegangsbeveiliging via software. Dat is altijd te kraken.
Toen er nog proprietary besturingssystemen en gesloten netwerken waren was dit onmogelijk, behalve door de eigen IT medewerkers bij een bank. Zo heb ik ooit voor de grap 20 jaar geleden een GEA als gokkast laten werken met de keuze quite of dubbel vlak voor het uitbetalen indien er een bepaalde pas in ging. Met testsoftware kun je bv ook testen of het maximum aantal biljetten werkt of duurzaamheidstesten doen op het intern transportmechanisme. Er komen dan dikke pakken biljetten uit in de gewenste denominatie. Maar zelfs dan duuurt het nog geruime tijd om een GEA leeg te halen en het valt wel op als je met een grote doos bij een GEA staat.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
