Seorang hacker telah
menemukan sebuah cara untuk memaksa mesin-mesin ATM untuk memuntahkan
uang yang ada di dalam perutnya, dengan cara membajak komputer yang ada
di dalamnya.
Serangan
yang didemonstrasikan pada hari Rabu kemarin ditargetkan pada ATM-ATM
yang berdiri sendiri Tapi metode ini bisa juga diterapkan pada ATM-ATM
yang dioperasikan oleh bank-bank mainstream.
Para penjahat sudah lama tahu bahwa ATM tidaklah antibobol.
Ada
banyak jenis serangan yang digunakan saat ini, mulai dari yang canggih
sampai yang tolol: menginstal pembaca kartu palsu untuk mencuri nomor
kartu, menyembunyikan kamera pengintai kecil untuk menangkap kode PIN,
menutupi slot pengeluaran uang untuk mencegat uang dan bahkan mengangkut
ATM pergi dengan truk dengan harapan bisa membukanya nanti.
Hacker komputer
Barnaby Jack menghabiskan waktu dua tahun bermain-main di apartemennya
di Silicon Valley dengan mesin-mesin ATM yang dia beli secara online. Mesin-mesin
ATM tersebut adalah jenis mesin ATM yang berdiri sendiri, jenis yang
sering terlihat di depan toko-toko yang nyaman, bukan yang ada di
kantor-kantor cabang bank.
Tujuannya
adalah untuk menemukan cara-cara mengendalikan ATM dengan memanfaatkan
kelemahan-kelemahan yang ada pada komputer-komputer yang menjalankan
mesin tersebut.
Dia memamerkan hasil penelitiannya ini pada konferensi Black Hat, sebuah pertemuan tahunan yang bertujuan untuk mengekspos model-model kerentanan keamanan komputer yang paling baru.
Serangan
Jack ini memiliki implikasi yang luas karena mampu mempengaruhi
beberapa jenis mesin ATM dari jenis yang berbeda-beda dan dapat
mengeksploitasi kelemahan-kelemahansoftware dan langkah-langkah keamanan yang digunakan di seluruh industri.
Apa
yang dibicarakan Jack dalam konferensi tersebut adalah salah satu dari
yang paling ditunggu-tunggu oleh para peserta, sebagaimana tema
pembicaraannya yang menarik tahun lalu yang mengungkapkan bahwa
perbaikan mesin ATM tidak bisa dilakukan di tempat segera setelah
kejadian.
Dia memanfaatkan waktu ekstra satu tahun untuk mereka-reka serangan yang lebih berbahaya lagi.
Jack,
yang bekerja sebagai direktur riset keamanan pada IOActive Inc yang
berbasis di Seattle, menunjukkan dua cara ia bisa mengorek uang dari
mesin ATM, dalam sebuah demonstrasi yang teatrikal:
-
Jack menemukan bahwa tombol fisik yang menyertai mesin-mesin ATM yang
dibelinya adalah sama untuk semua jenis mesin ATM. Dia menemukan hal ini
dengan memesan tiga mesin ATM dari produsen yang berbeda, masing-masing
seharga beberapa ribu dolar. Lalu ia membandingkan kunci-kunci mesin
ATM tersebut dengan gambar-gambar kunci lainnya, yang ditemukan di
Internet.
Dia
menggunakan kunci tersebut untuk membuka sebuah kompartemen di dalam
ATM yang memiliki slot standar USB. Kemudian dia memasukkan sebuah
program yang telah ia tulis ke dalam salah satu dari slot-slot tersebut,
untuk memerintah ATM tersebut memuntahkan isinya.
–
Jack juga menyusup ke dalam mesin-mesin ATM dengan cara memanfaatkan
kelemahan para pembuat ATM dalam berkomunikasi dengan mesin-mesin
tersebut melalui Internet. Jack mengatakan masalahnya adalah bahwa ada
kemungkinan orang luar dapat menggunakan kartu ATM yang dia temukan
meski tanpa menggunakan password. Dia tidak merinci lebih detil karena ia mengatakan tujuan pembicaraan itu “tidak untuk mengajarkan orang cara meng-hack ATM.
Tujuan pembicaraan ini untuk mengangkat isu tersebut dan agar produsen
pembuat mesin ATM proaktif dalam melakukan perbaikan” katanya.
Gaya serangan jarak jauh adalah lebih berbahaya karena penyerang tidak perlu membuka mesin ATM.
Serangan
jarak jauh ini memungkinkan penyerang untuk mendapatkan kontrol penuh
dari ATM.Selain memerintahkan mesin ATM untuk memuntahkan uang,
penyerang bisa diam-diam memanen data account dari siapa saja
yang menggunakan mesin tersebut. Serangan jarak jauh ini bisa mengenai
lebih dari sekedar ATM berdiri sendiri yang rentan terhadap serangan
fisik; metode serangan jarak jauh ini dapat digunakan terhadap
jenis-jenis ATM yang digunakan oleh bank-bank mainstream.
Jack mengatakan ia tidak berpikir ia akan mampu menyusup ke mesin-mesin ATM saat ia pertama kali mulai melakukan penyelidikan.
“Reaksi
saya ketika itu adalah, “ini adalah permainan-kerentanan,”" katanya
mengenai serangan jarak jauh tersebut. “Tiap ATM yang saya sudah lihat,
saya mampu menemukan kelemahannya.Ini merupakan hal yang menakutkan.”
Kurt Baumgartner, seorang peneliti keamanan senior dari perusahaan pembuat software antivirus
Kaspersky Lab, menyebut demonstrasi itu sebagai sesuatu yang “mencekam”
untuk dilihat dan dia mengatakan adalah penting untuk meningkatkan
keamanan mesin-mesin tersebut yang masing-masing dapat menampung puluhan
ribu dolar dalam bentuk tunai. Namun, ia mengatakan ia tidak berpikir
akan terjadi serangan yang meluas karena bank tidak menggunakan sistem
ATM berdiri sendiri dan Jack tidak merilis kode serangannya.
Jack
tidak akan mengidentifikasi para pembuat mesin-mesin tersebut. Dia
memasang stiker untuk menutupi nama pembuat ATM ‘pada dua mesin yang
digunakan dalam demonstrasi itu. Tapi para penonton, yang meledak tepuk
tangannya demi melihat ia berhasil membuat mesin-mesin tersebut
memuntahkan uang, bisa melihat dari layar petunjuk di ATM bahwa salah
satu mesin tersebut dibuat oleh Tranax Technologies Inc, berbasis di
Hayward, California Tranax tidak segera merespon e-mail dari The Associated Press.
Triton
System, dari Long Beach, Miss, membenarkan bahwa salah satu mesin
ATM-nya digunakan dalam demonstrasi tersebut. Perusahaan itu mengatakan
bahwa Jack telah mengingatkan perusahaan tersebut dalam hal keamanan dan
Triton sekarang telah memiliki update software di tempat yang diperlukan guna mencegah perangkat lunak yang tidak sah beroperasi pada mesin-mesin ATM mereka.
Bob
Douglas, Vice President Triton bidang engineering, mengatakan bahwa
para pelanggan dapat membeli mesin ATM dengan tombol unik, namun umumnya
mereka tidak melakukan itu, mereka lebih suka menggunakan kunci dasar
karena alasan biaya dan kenyamanan.
“Bayangkan jika Anda memiliki sebuah estate yang
terdiri dari beberapa ribu mesin ATM dan Anda ingin mengakses 20 atau
lebih di antaranya dalam satu hari,” tulisnya dalam e-mail ke AP.“Ini
akan menjadi mimpi buruk logistik untuk mengingat-ingat semua tombol
yang tepat pada tempat yang tepat dan pada waktu yang tepat.
Produsen pembuat mesin ATM lainnya yang dihubungi oleh AP juga tidak segera merespon pesan-pesan yang disampaikan.
Jack
mengatakan produsen mesin ATM yang produknya ia dipelajari sedang
memasang perangkat lunak perbaikan untuk kedua jenis kerentanan
tersebut, tetapi ia menambahkan bahwa prevalensi software manajemen jarak jauh secara luas menyebabkan ATM terbuka terhadap serangan hacker. (yahoo.com) (Jordan Robertson, AP Technology Writer, On Wednesday July 28, 2010, 10:35 pm EDT)
