Barnaby Jack, seorang Security Researcher seharusnya telah mengungkapkan celah keamanan fatal ATM pada konfrensi Black Hat 2009, namun akibat tekanan yang dilakukan Juniper Networks,perusahaan yang pernah mempekerjakannya, membuat pengungkapan batal dilakukan. Namun pada konfrensi Black Hat 2010 USA pada 28-29 Juli 2010, Barnaby Jack dijadwalkan akan kembali mengungkapkannya dengan materi yang lebih baik. Jack akan mempresentasikan materinya dengan judul "Jackpotting Automated Teller Machines" atau Membuat Mesin ATM Memuntahkan Semua Uangnya (Jackpot) lengkap dengan demo aktual menggunakan mesin-mesin ATM model baru.
Jack seperti dikutip Plaza eGov dari NetworkWorld.com (7/5/2010) akan mendemonstrasikan beberapa cara menyerang mesin-mesin ATM ; Remote, serangan-serangan melalui jaringan. Selain itu, Jack akan mengungkapkan sebuah "multiplatform ATM rootkit" dan akan mendiskusikan berbagai hal yang dapat dilakukan oleh industri ATM agar dapat melindungi ATM dari serangan-serangan semacam ini. Jack telah menuliskan deskripsi pembicaraannya di web site Black Hat.
Pada konfrensi Black Hat 2009, Jack seharusnya berbicara dalam konfrensi tersebut, tetapi perusahaan tempatnya bekerja Juniper Networks berhasil membuatnya membatalkan penyampaian presentasi, setelah menerima komplain dari perusahaan pembuat ATM yang
"Vendor-vendor ATM tersebut kepada Risky.biz menyatakan keprihatinannya terhadap pengungkapan di depan publik atas temuan peneliti tersebut sebelum semua ATM terproteksi dengan baik, ungkap pernyataan tertulis Juniper Networks saat itu (2009). "Mempertimbangkan cakupan dan kemungkinan pengungkapan isu ini pada vendor lain, Juniper memutuskan untuk menunda presentasi Jack hingga semua vendor ATM memiliki cukup waktu untuk menangani masalah ini sebagaimana yang ditemukan dalam penelitian tersebut."
Pandangan kritis terhadap pembatalan presentasi Jack pada Konfrensi Black Hat Security 2009, dinyatakan oleh Brian Martin, seorang security researcher dan Maintainer of the Open Source Vulnerability Database. Kepada Risky.biz ia berujar :"Kenapa setelah kelemahan ini terungkap baru kemudian vendor merubah pikiran, tanyanya.
Namun Jack sebagai seorang security researcher akhirnya menemukan cara yang ampuh menghindari keberatan-keberatan Juniper. Bulan lalu Jack menerima pekerjaan baru sebagai Director of Security Research di perusahaan IOActive, dan ia akan hadir di Black Hat 2010 dengan "identitas" baru.
Keamanan mesin-mesin ATM telah berhasil ditaklukan dalam banyak cara. Para pencuri sering membobolnya dengan memasang alat :Card Skimmer pada mesin ATM untuk mengekstrasi data yang tersimpan di dalam 'magnetic stripe" kartu. Lalu menggunakan kamera tersembunyi untuk mencuri nomor password. Berdasarkan informasi tersebut para pencuri dapat membuat kartu duplikat dan mengeruk rekening korban.
Namun Jack mengungkapkan hal yang baru, area yang menjadi kelemahan pada jantung mesin ATM itu sendiri yaitu:memanipulasi berbagai "bug" yang ada pada software yang menjalankan mesin-mesin ATM.
Jack tidak mengungkapkan perusahaan-perusahaan ATM mana saja yang akan diajak berdiskusi, tetapi jelas adalah vendor-vendor terkemuka, ungkap Direktur Black Hat, Jeff Moss. "Jack memiliki sebuah ruangan yang berisi banyak mesin ATM dengan berbagai merek, dan nampaknya semua mesin ATM memiliki satu atau beberapa masalah lainnya, ujar Jeff.
Mesin-mesin ATM sejauh ini jarang mendapatkan pengamatan serius dari para peneliti keamanan, jadi apa yang akan disampaikan oleh Jack nanti akan menjadi sebuah terobosan baru, ungkap Moss." Nampaknya anda dapat mengeluarkan semua uang dari mesin ATM," ujar Moss.
(Martin Simamora | Networkworld.com |Risky.biz)
Tidak ada komentar:
Posting Komentar