Bankomater har varit svarta hål för mig. Inte för att de slukar pengar, utan för att de har legat utanför min säkerhetsradar. I och för sig använder jag flitigt exemplet hur bankomaterna i Tyskland råkade ut för en post-y2k bugg under nyårsskiftet 2006-2007 nästan samtidigt som en djävulusisk storm drog in över Tyskland men jag har aldrig riktigt stött på pen-tester av bankomater.
Barnaby Jack verkar vara en av dem som forskat ordentligt kring bankomatsäkerhet. Hans tal som skulle hållas på Black Hat konferensen 2009 blev inställd eftersom bankomatleverantörerna inte kunde täppa till hålen som han upptäckt. Året därpå visade han däremot upp sin rootkit som kunde få tillgång till administratörers lösenord och PIN koder på bankomater men även kunde få bankomater att spruta ut pengar.
En rootkit för bankomater? Ja, varför inte? De har ju direktuppkoppling till Internet (eller telefonlina) så att hitta dem kan ju inte vara så där jättekomplicerat. Enligt Jack funkar war-dialing (och dess IP baserade motsvarighet) suveränt. Och om det funkar med rootkits så måste det ju finnas en stand-alone dator i själva bankomaten som man kan leka med.
Fast det typiska är att detta är ett klassiskt exempel på hur det alltid är den svagaste länken som fallerar. Hela säkerhetstänket kring bankomater koncentrerar sig på fysisk säkerhet. Det verkar vara väldigt svårt att fysiskt rubba på en bankomat. Samtidigt så finns det en mekanism som sprutar färg på sedlarna, för att markera dem som stulna, om någon försöker bryta sig in i en bankomat. Jag kan tänka mig att många ingenjörer hade det väldigt kul när de designade de fysiska säkerhetsaspekterna kring bankomater. Men de verkar absolut inte ha lagt ner lika mycket krut på att säkra uppkopplingen som råkar gå genom Internet.
Jag blir alltid lika fascinerad när det kommer fram såna här uppgifter för att jag inte kan fatta hur företagen tänker i sådana lägen. Inser de verkligen inte att om deras produkt inte lever upp till de förväntade säkerhetskraven så kommer deras företag att gå omkull ganska omgående (se DigiNotar)?
För bankomater är säkerhetskravet uppenbart – utan en lämplig säkerhet skulle ingen använda sig utav dem (varken banker eller bankkunder). Problemet är att krav på säkerhet stannar inte vid uppenbara saker. Numera behöver företag säkerställa att alla sina produkter som kan kopplas ihop med något (särskilt om det rör sig om trådlösa uppkopplingar) är säkra. Och det räcker inte bara med att själva produkten är säker, även ihopkopplingen/uppkopplingen behöver vara säker.
Till exempel, vår vänn Barnaby Jack lyckades också hacka sig in i insulinpumpar som används på sjukhus. Numera kan han få alla insulinpumpar (från en leverantör) inom 100 meters avstånd att pumpa patienterna fulla av insulin utan att den sedvanliga varningssignalen om ökad dosering hörs. Men det riktigt sjuka är att kommunikationen mellan pumpen och dosseringsenheten är helt utan kryptering.
Åter igen ställer jag frågan, hur tusan tänkte dem? Nu råkade det vara en forskare som upptäckte säkerhetsbristerna och gjorde ingen skada på vägen. Men vad skulle hända med företaget om låt säga 10 personer dog för att någon (t.ex. en konkurrent eller ”terrorister”) upptäckte dessa fel? Vad skulle hända med företaget om en person dog på detta sätt? Ingen skulle köpa deras produkter längre för ingen skulle vilja associera sig med dem. Trots allt, det är oftast ryktet som ryker vid en säkerhetsinciden. Det gick bra för RSA att skicka ut nya USB dongles till sina kunder, men hur många kunder valde att se efter andra, säkra, lösningar?
Så, jag uppmanar alla som jobbar med produktutveckling (enginjörer, programmerare, alla) – snälla, ta det där med säkerhet på allvar. Era jobb kan hänga på det!
