Senin, 10 Mei 2010
Black Hat 2010 USA Akan Ungkap Celah Keamanan Sangat Fatal Pada Mesin ATM
Barnaby Jack, seorang Security Researcher seharusnya telah mengungkapkan celah keamanan fatal ATM pada konfrensi Black Hat 2009, namun akibat tekanan yang dilakukan Juniper Networks,perusahaan yang pernah mempekerjakannya, membuat pengungkapan batal dilakukan. Namun pada konfrensi Black Hat 2010 USA pada 28-29 Juli 2010, Barnaby Jack dijadwalkan akan kembali mengungkapkannya dengan materi yang lebih baik. Jack akan mempresentasikan materinya dengan judul "Jackpotting Automated Teller Machines" atau Membuat Mesin ATM Memuntahkan Semua Uangnya (Jackpot) lengkap dengan demo aktual menggunakan mesin-mesin ATM model baru.
Jack seperti dikutip Plaza eGov dari NetworkWorld.com (7/5/2010) akan mendemonstrasikan beberapa cara menyerang mesin-mesin ATM ; Remote, serangan-serangan melalui jaringan. Selain itu, Jack akan mengungkapkan sebuah "multiplatform ATM rootkit" dan akan mendiskusikan berbagai hal yang dapat dilakukan oleh industri ATM agar dapat melindungi ATM dari serangan-serangan semacam ini. Jack telah menuliskan deskripsi pembicaraannya di web site Black Hat.
Pada konfrensi Black Hat 2009, Jack seharusnya berbicara dalam konfrensi tersebut, tetapi perusahaan tempatnya bekerja Juniper Networks berhasil membuatnya membatalkan penyampaian presentasi, setelah menerima komplain dari perusahaan pembuat ATM yang khawatir terhadap informasi yang disampaikan oleh Jack akan disalahgunakan oleh pihak lain. Saat itu dalam Black Hat Security Conference 2009 di Las Vegas, Barnaby Jack sebagaimana dilansir Risky.biz dipaksa oleh Juniper untuk membatalkan presentasinya, mengantisipasi pengungkapan dalam Black Hat Conference seiring dengan tekanan yang datang dari vendor-vendor ATM yang akan terkena dampaknya. Saat itu Jack dijadwalkan akan mendemonstrasikan melakukan hacking pada sebuah ATM secara "live' di atas panggung yang akan mengakibatkan mesin ATM memuntahkan semua uangnya atau "Jackpot".
"Vendor-vendor ATM tersebut kepada Risky.biz menyatakan keprihatinannya terhadap pengungkapan di depan publik atas temuan peneliti tersebut sebelum semua ATM terproteksi dengan baik, ungkap pernyataan tertulis Juniper Networks saat itu (2009). "Mempertimbangkan cakupan dan kemungkinan pengungkapan isu ini pada vendor lain, Juniper memutuskan untuk menunda presentasi Jack hingga semua vendor ATM memiliki cukup waktu untuk menangani masalah ini sebagaimana yang ditemukan dalam penelitian tersebut."
Pandangan kritis terhadap pembatalan presentasi Jack pada Konfrensi Black Hat Security 2009, dinyatakan oleh Brian Martin, seorang security researcher dan Maintainer of the Open Source Vulnerability Database. Kepada Risky.biz ia berujar :"Kenapa setelah kelemahan ini terungkap baru kemudian vendor merubah pikiran, tanyanya.
Namun Jack sebagai seorang security researcher akhirnya menemukan cara yang ampuh menghindari keberatan-keberatan Juniper. Bulan lalu Jack menerima pekerjaan baru sebagai Director of Security Research di perusahaan IOActive, dan ia akan hadir di Black Hat 2010 dengan "identitas" baru.
Keamanan mesin-mesin ATM telah berhasil ditaklukan dalam banyak cara. Para pencuri sering membobolnya dengan memasang alat :Card Skimmer pada mesin ATM untuk mengekstrasi data yang tersimpan di dalam 'magnetic stripe" kartu. Lalu menggunakan kamera tersembunyi untuk mencuri nomor password. Berdasarkan informasi tersebut para pencuri dapat membuat kartu duplikat dan mengeruk rekening korban.
Namun Jack mengungkapkan hal yang baru, area yang menjadi kelemahan pada jantung mesin ATM itu sendiri yaitu:memanipulasi berbagai "bug" yang ada pada software yang menjalankan mesin-mesin ATM. Jack setelah dilarang untuk berbicara oleh Juniper, memanfaatkan waktu selama satu tahun untuk melakukan lebih banyak riset. "Tahun lalu , ada satu mesin ATM yang saya bawa (dalam konfrensi Black Hat 2009), tetapi untuk tahun ini (konfrensi Black Hat 2010) saya membawa lebih banyak lagi, 2 mesin ATM model baru dari dua vendor utama," ungkapnya.
Jack tidak mengungkapkan perusahaan-perusahaan ATM mana saja yang akan diajak berdiskusi, tetapi jelas adalah vendor-vendor terkemuka, ungkap Direktur Black Hat, Jeff Moss. "Jack memiliki sebuah ruangan yang berisi banyak mesin ATM dengan berbagai merek, dan nampaknya semua mesin ATM memiliki satu atau beberapa masalah lainnya, ujar Jeff.
Mesin-mesin ATM sejauh ini jarang mendapatkan pengamatan serius dari para peneliti keamanan, jadi apa yang akan disampaikan oleh Jack nanti akan menjadi sebuah terobosan baru, ungkap Moss." Nampaknya anda dapat mengeluarkan semua uang dari mesin ATM," ujar Moss.
(Martin Simamora | Networkworld.com |Risky.biz)
Langganan:
Posting Komentar (Atom)
Tidak ada komentar:
Posting Komentar