Bir cihaz iรงin asla “asla hack’lenmez” demeyin. ATM รผreticisi Diebold Nixdorf bu gerรงeฤi, ลiketine ait bir ATM’nin para fฤฑลkฤฑrtan bir fฤฑskiyeye รงevirlmesinden sonra รถฤrendi. Diebold Nixdorf’a ait popรผler Opteva ATM’lerinde bulunan bir USB aรงฤฑฤฤฑ basit bir hack ile kฤฑrฤฑlabiliyor ve cihazฤฑn iรงindeki tรผm paralarฤฑn dฤฑลarฤฑ atฤฑlmasฤฑna sebep oluyor.
Geรงtiฤimiz hafta dรผzenlenen Black Hat etkinliฤinde IOActive’in “Gรถmรผlรผ Cihazlarฤฑ Kฤฑrma” panelinde, araลtฤฑrmacฤฑlar sadece bilgisayarlarฤฑn deฤil, telefon ve sunucularฤฑn da hack’lenebildiฤini, kฤฑsacasฤฑ iรงinde รงip bulunan ve internet baฤlantฤฑsฤฑ olan her ลeyin kฤฑrฤฑlabildiฤini gรถsterdi.
Gรถmรผlรผ sistemler, isminden de anlaลฤฑlacaฤฤฑ gibi, tek bir iลlev iรงin seri รผretilmiล cihazlara verilen isim. Bu cihazlarฤฑn arasฤฑnda yazฤฑcฤฑlar, tarayฤฑcฤฑlar, gรผvenlik kameralarฤฑ, kiosk’lar ve tabii ki ATM’ler var. Bu cihazlarฤฑn tek bir iลlevleri olduฤu iรงin gรผvenlikleri de ona gรถre geliลtiriliyor, yani bir รงok gรถmรผlรผ sistemin gรผvenlik sistemi yok bile.
IOActive’e gรถre bir cihazฤฑn gรผvenliฤi onun en zayฤฑf parรงasฤฑ kadar iyi. Bu da gรถmรผlรผ sistemleri kolay hedefler haline getiriyor.
Geรงmiลte gรผvenlik ลirketlerinin kavram ispatฤฑ iรงin arabalarฤฑ, akฤฑllฤฑ ev sistemlerini ve hatta silahlarฤฑ bile hack’lediler. ATM’ler mekanik olarak ne kadar gรผvenli olsa da, bazฤฑ dijital aรงฤฑklar gรถzden kaรงabiliyor.
IOActive gรผvenlik sistemleri mรผdรผrรผ Mike Davis, daha รถnce Diebold Nixdorf ile bu konuda bir รงok kez gรถrรผลtรผฤรผnรผ bildirdi. Davis, Nixdorf’a ATM’lerinni hoparlรถrlerinin bulunduฤu รผst kฤฑsฤฑmda bir gรผvenlik hatasฤฑ olduฤunu ve buradan bir USB giriลe eriลilebildiฤini sรถyledi.
Davis “Biraz sihir ile, ลaka yapmฤฑyorum, ATM’nin aรงฤฑlmasฤฑ saniyeler sรผrdรผ” dedi.
Bunu รถฤrenen Diebold Nixdorf, Davis’e gรถre aรงฤฑฤฤฑ bรผyรผk bir tehlike olarak gรถrmedi รงรผnkรผ paralar ATM’nin alt kฤฑsmฤฑnda bulunan bir kasada saklanฤฑyordu. ลirket, bu aรงฤฑฤฤฑn para รงalฤฑnmasฤฑna olanak tanฤฑmayacaฤฤฑnฤฑ sรถyleyince Davis ลunlarฤฑ sรถyledi:
“O zaman biz de ‘challange accepted’ diyoruz. Cihaza para vermesini istememiz yeterli olacaktฤฑr diye dรผลรผnรผyoruz.”
Ardฤฑndan IOActive ekibi ortaya รงฤฑkan USB giriลine bir netbook baฤladฤฑ ve ATM’nin otomatik fon daฤฤฑtฤฑcฤฑ sistemine bir kod aลฤฑladฤฑ. Bu sistem gรถmรผlรผ cihazฤฑn ne kadar paranฤฑn dฤฑลarฤฑ รงฤฑkacaฤฤฑnฤฑ kontrol eden bir bot. Ekip bu sistemi kฤฑrarak kasadaki bรผtรผn paranฤฑn dฤฑลarฤฑ atฤฑlmasฤฑnฤฑ saฤladฤฑ.
Diebold Nixdorf ile birlikte รงalฤฑลarak diฤer ATM’lerde de bulunabilecek muhtemel gรผvenlik aรงฤฑklarฤฑnฤฑ dรผzetlme teklifi eden IOActive’in teklifi reddedildi. Sebep olarak ise hacklenen bu ATM modelinin eski olduฤu sรถylendi.
ลirketi temsil eden bir sรถzcรผ, “Doฤru bakฤฑm ve yamalarฤฑ almazsa, รถzellikle yaklaลฤฑk 10 yaลฤฑnda her hangi bir gรถmรผlรผ bir sistemin tehlike altฤฑna girme riski artar” dedi.
Diebold Nixdorf 2008-2008 yฤฑllarฤฑ arasฤฑnda รผretilen ATM’lerinden kaรงฤฑnฤฑn halen kullanฤฑmda olduฤunu aรงฤฑlamadฤฑ ve รงoฤu durumda, yazฤฑlฤฑmlarฤฑn gรผncel tutulmasฤฑnฤฑn finansal kurumlara baฤlฤฑ olduฤunu sรถyledi. Bu olaylardan beri bahsi geรงen gรผvenlik aรงฤฑฤฤฑnฤฑn giderildiฤinden emin deฤiliz.
