מי רוצה להיות מיליונר – גרסת הכספומט

בסוף השבוע האחרון חשף חוקר אבטחת מידע מארצות הברית כי בחלק ניכר ממכשירי הכספומטים הפרוסים בארצות הברית קיימים מספר לא קטן של חורי אבטחה המאפשרים לפורצים לרוקן את המכשירים מתכולתם המלאה. אז מי רוצה להיות מיליונר?

ברנבי ג’ק, ראש חטיבת המחקר של חברת האבטחה IOActive Labs (ולא ההוא מסדרת הטלויזיה משנות ה-80), הודיע בסוף השבוע כי במהלך מחקר שנערך בחודשים האחרונים, נמצאו מספר חורי אבטחה מהותיים בחלק ממכשירי הבנקאות האוטומטית (המוכרים לנו ככספומטים) השונים הפרוסים ברחבי ארצות הברית. אותם מכשירים, הפגיעים ליותר מסוג אחד של תקיפה, יכולים גם לפלוט את כל המזומן הקיים במכשיר בזמן נתון באמצעות שימוש בפריצה המתאימה.

בכנס Black Hat שיפתח מחר בלאס-וגאס, אמור ג’ק להציג הדגמות של הפרצות שנמצאו ואף להדגים כיצד ניתן לנצל אותם. ג’ק סירב לפרט לגבי הטכניקות השונות לניצול הפרצות שמצא אך ציין כי חלק מהשיטות כוללות שימוש חיבורי תקשורת שונים החשופים בחלק ממכונות הכספומט. ג’ף מוס, ממייסדי ועידת Black Hat וחבר בכיר בועדה לבטחון המדינה בארצות הברית אישר את הדברים וציין כי רוב מכשירי הכספומט אינם מאובטחים כפי שרוב אנשים נוטים לחשוב וכי השיטות שג’ק יחשוף בועידה מחר אכן גורמות למכשירים לפלוט את כל הכסף שנמצא בתוכן. גם ג’ו גרנד, מומחה לאבטחת מידע בחומרה ציין כי הוא אינו מופתע כלל מהממצאים של ג’ק. לדבריו, הממצאים האחרונים רק מחזקים את העובדה שאנשים כבר יודעים: גם חומרה נתונה לסיכוני אבטחה וכל הכספומטים, מדחנים וכל מכשיר בעל מכשור אלקטרוני כלשהו ניתן לפריצה, שכן ברוב המקרים הרכיבים הללו הם פשוט מחשב בעטיפה קצת שונה.

פירצה קוראת לגנב

בדומה למקרה שבו חשף מהנדס מגוגל פירצת אבטחה בחלונות, גם כאן, חשיפת הפרצות מעמידה את הבנקים בסכנה גדולה למדי שכן לאחר חשיפת האפשרויות השונות יוכלו האקרים מרחבי העולם לנצל את השיטות שנחשפו ולגרום נזק כלכלי משמעותי לבנקים. כמו כן, גם במקרה הזה מצדיק ג’ק את חשיפת הפירצות בטענה שרק כאשר הפירצות הללו יחשפו לעולם, יהיה לחץ משמעותי על יצרניות מכשירי הכספומטים לעדכן את המכשירים שלהם על-מנת שלא יוכלו לנצל אותם לרעה.

גם כאן עולה השאלה לדיון האם חוקר אבטחת מידע בכיר אשר מגיע למסקנות שכאלה, צריך לחשוף אותן בפומבי (גם אם זה בפני קהילה סגורה יחסית של אנשי אבטחת מידע) ולא לעבוד בצורה מסודרת עם יצרניות המכשירים על-מנת לפתור את הבעיות. האם זאת אחריותו המקצועית או שלדעתכם מותר לו לעשות כל מה שהוא חושב לנכון מאחר והוא זה שגילה את חורי האבטחה? נשמח לשמוע את דעתכם.

Avatar

יניב פלדמן

לשעבר העורך הראשי של גיקטיים ומייסד שותף של האתר. יזם, טכנולוג, כלכלן בהשכלה והיסטוריון חובב. התחביב האהוב עליו הוא מציאת פתרונות מסובכים לבעיות פשוטות במיוחד.

הגב

2 תגובות על "מי רוצה להיות מיליונר – גרסת הכספומט"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
ירון
Guest

הכלכלה של ארה”ב גם ככה הולכת לביוב. הוא בסך הכל שכיר של אובאמה שמנסה לזרז תהליכים. אינפלציה אדירה זה בדיוק מה שנותר לארה”ב בשביל להפוך למקסיקו מס’ 2.
שיהיה להם בהצלחה.

ענת
Guest

והנה עוד סיבה למה אי אפשר לישון בשקט… געוולט… מה יהיה עם כל פרצות האבטחה האלה…

wpDiscuz

תגיות לכתבה: