Dalam sebuah presentasi yang dramatis yang berlangsung di Black Hat, Barnaby Jack seorang matan pegawai Juniper Networks, mendemostrasikan bagaimana seorang hacker dapat menginfeksi mesin ATM dengan sangat mudah, bahkan terkadang tanpa perlu melakukan kontak fisik.
Dua model ATM yang umum digunakan menjadi korban presentasi Jack yaitu; Triton RL2000 dan Tranax 1700 yang telah disuntik dengan malware, yang memberikan kontrol kepada hacker untuk memuntah sejumlah uang yang diinginkannya.
Pada mesin ATM Tranax, Jack mem-by pass sistem otentitifikasi jarak jauh. Pada mesin ATM Triton, Jack menginfeksi mesin dengan malware yang disimpan didalam sebuah USB flash disc. Dalam kedua kasus ini, Jack menggunakan rootkit buatannya yang menyerang sistem operasi CE Windows, sehingga memberikan keleluasaan kepadanya yaitu keistimewaan-keistimewaan sistem administrasi yang tak terdeteksi.
Bagi Rich Madley, seorang manajer electronic funds transfer USC Credit Union yang berbasis di Los Angeles dan memiliki aset US$350 juta, membaca berita mesin-mesin ATM yang di-hackin telah membangkitkan kewaspadaannya." Saya memiliki dua mesin ATM Triton di luar sana,"ujara Madley."Seberapa rapuhnya saya bila hal ini terjadi pada saya?"
Bob Douglas, VP engineering Triton Systems yang berbasis di Mississippi yang memproduksi RL2000, menyatakan bahwa Triton telah menyadari kerawanan pada mesinnya pada musim gugur November lalu sebagaimana yang dipertunjukan Jack, dan Triton telah mengeluarkan 2 patch ; XScale Security 2.2 Upadte dan X2 Security 2.1 Update.
Douglas mengakui bahwa Jack berhasil menaklukan metodologi otentifikasi yang dikembangkan Triton, namun patch yang kami keluarkan akan mengatasi kelemahan-kelemahan mesin ATM.
Tranax Technologies yang berbasis di California, yang pada Juni lalu telah mengajukan kebangkrutannya, tidak dapat dimintai komentarnya. Nicole Sturgill, seorang analis TowerGroup yang berbasis di Boston yang mengamati industri ATM berujar sejauh ini dia tidak melihat adanya update terkait hack pada mesin Tranax." Nampaknya mereka lebih memilih untuk diam terhadap hal ini,"ujarnya. Namun sejak lembaga-lembaga keuangan dan credit unions cenderung untuk menggunakan Triton ketimbang Tranax, saya pikir patch yang dikeluarkan menjadi jawabannya.
Namun masalah sesungguhnya, mungkin resiko di tingkat retail, ujar Sturgill. "Seberapa besar kemungkinan-kemungkinan bahwa mereka sedang menghadapi resiko, jika mereka tidak melihat langsung cerita di BlackHat?
Jack yang sesungguhnya telah berhasil meng-hack ATM pada tahun lalu, menggunakan demonstrasi ini sebagai cara untuk mengatakan kerapuhan-kerapuhan pada mesin-mesin ATM berbasis Windows. Tehnik-tehnik hacking yang umum digunakan untuk membobol terminal-terminal POS (point of sale) dan sistem-sistem melalui kerawanan-kerawanan internet yang ada pada sistem operasi Windows yang telah lama didiskusikan dai dalam industri ATM selama 10 tahun ini, diawali ketika perusahaan-perusahaan pembuat mesin ATM mulai melakukan migrasi platform dari sistem operasi IBM OS/2 ke Windows Microsoft. IBM sejak 2006 lalu tidak lagi mendukung OS/2.
Mike Lee, Chief Executive ATM Indutry Association, dilansir dari
bankinfosecurity.com (4/8/2010) bilang bahwa demonstrasi-demonstrasi yang memperlihatkan resiko-resiko keamanan membantu industri untuk tetap terdepan dalam memberikan keamanan. " Kita selalu melihat bangkitnya kewaspadaan-kewaspadaan sebagai upaya terus-menerus untuk memperbaiki keamanan ATM," jelas Lee. Untuk menjamin perlindungan yang paling efektif menghadapi beragam ancaman-termasuk internal, eksternal, fisik dan logikal- industri menyarankan kepada lembaga-lembaga finansial untuk mengimplementasikan dan menjalankan sebuah pendekatan keamanan berlapis dan komprehensif.
Selain kerawanan-kerawanan pada Windows, ada dua lubang keamanan yang sangat mengganggu terungkap :
- Lubang kemananan pertama : ATM Tranax diretas secara remote, setelah Jack dapat mem-bypass sitem monitor jarak jauh mesin-mesin ATM (Remote Monitoring Systems). Setelah berhasil menembusnya, Jack dapat mengontrol dan dapat mengambil nomor-nomor kartu.
- Lubang keamanan kedua : Paket RMS Triton, Triton Connect tidak di-bypass. Tetapi mem-bypass keamanan fisik mesin ATM. Dengan menggunakan kunci universal, Jack dapat membuka tutup ATM dan dengan mudah mengakses PC yang ada didalamnya. "90% mesin-mesin ATM yang beroperasi memiliki kunci-kunci yang generik," ujar Madley.
Douglas, Triton menyatakan semua pabrikan menawarkan kunci-kunci yang unik bagi kunci-kunci fisik mesin ATM yang mengamankan tutup bagian atas mesin ATM, dimana PC tersimpan. Tetapi beberapa institusi atau retailer memesan kunci-kunci unik."Hampir selalu yang digunakan adalah kunci-kunci universal," ujarnya.
Bagi lembaga-lembaga keuangan yang memiliki banyak mesin ATM yang tersebar diberbagai lokasi seperti di stasiun pengisian bahan bakar, ditambah dengan beberapa teknisi, sejumlah service provider yang memiliki akses ke mesin-mesin ATM, menjadi masalah tersendiri." Untuk memiliki sebuah kunci spesifik bagi setiap mesin ATM menjadi beban berat bagi mereka,"jelas Douglas. "Namun kunci-kunci unik dapat memberikan langkah-langkah pengamanan yang lebih baik.
(Martin Simamora)
Tidak ada komentar:
Posting Komentar