Co potřebujete vědět o hackování prodejních automatů
Zabezpečení/Požární ochrana
Prodejní automaty jsou hlavním cílem pokusů o hackování. Obvykle jsou po značnou dobu bez dozoru, takže pro hackera není nijak zvlášť obtížné najít okénko, kterým by se dostal k bezplatnému občerstvení, nebo dokonce k penězům. Na rozdíl od prvních pokusů o hacknutí prodejních automatů – obvykle pomocí mince a kousku pásky, nebo dokonce prázdného kovového plíšku – se jak hackeři, tak prodejní automaty poněkud zdokonalili.
Proč prodejní automaty?
Pro některé hackery to může být otázka pohodlí. Kdo by nechtěl jídlo a pití zdarma? Jiní mohou automaty vnímat jako výzvu. Moderní prodejní automaty jsou konstruovány tak, aby byly odolné proti fyzickým hackům hrubou silou (jako je kývání automatem sem a tam, aby se zboží uvolnilo), a dokonce obsahují umělou inteligenci. Jiným hackerům může jít o něco hrozivějšího než o pár limonád zdarma – o čísla karet a PINy všech, kteří automat používají.
Jak se do automatů nabourávají?
Metody se liší podle toho, o co hackerům jde. V jednom pozoruhodném příkladu se hrstce kontraktorů CIA podařilo obejít tento postup tak, že během transakce odpojili síťový kabel, čímž zabránili automatu potvrdit, že na jimi použitých platebních kartách jsou skutečně nějaké prostředky. To hackerům umožnilo získat v podstatě neomezené množství občerstvení zdarma, zatímco automat nebyl schopen zjistit, že nedošlo k výměně peněz.
V jiných případech mohou být automaty zranitelné vůči úpravám firmwaru pocházejícím z čipových a pinových karet. Hacker by mohl naprogramovanou kartu použít stejně jako běžnou kreditní nebo debetní kartu, nainstalovat modifikaci firmwaru a později se vrátit a získat všechna čísla karet a kódy PIN, které modifikace v mezidobí shromáždila. Je také možné, že hackeři nainstalují průchozí zařízení, které změní informace odesílané přes ethernetové kabely připojené k zařízení, nebo k rozhraní připojí skimmery kreditních karet.
Naštěstí většina hacků nefunguje.
Pro lidi, kteří jsou vůbec obeznámeni s pochybnými radami uvedenými ve věcech jako „Kuchařka anarchisty“, asi nebude vůbec překvapivé zjištění, že většina návodů na hackování snadno dostupných na webu je buď zcela falešná, zastaralá, nebo je výsledným produktem hry na internetový telefon. Na YouTube existuje spousta videí a blogových příspěvků, které popisují způsoby, jak hacknout prodejní automaty a získat tak produkty zdarma, ale většina z nich spadá přímo do oblasti clickbaitu – jejich tvůrci se méně zajímají o skutečné hackování automatů než o získávání zhlédnutí. Přesto je vhodné, aby výrobci své automaty a data zabezpečili. Hacker, který tu a tam ukradne limonádu, se může zdát málo nebezpečný, ale hacker, který ukradne informace o transakcích za celý týden, je mnohem větší problém.
Zabezpečení automatů a informací.
Hacky jsou poměrně specifické pro výrobce a modely automatů, a i když žádný automat není absolutně spolehlivý, existují opatření, která mohou výrobci přijmout, aby ochránili svůj majetek a data svých uživatelů. Chcete-li zajistit bezpečnost prodejního automatu, zaměřte se nejprve na jeho fyzickou bezpečnost. Automaty by měly být přišroubovány k podlaze, aby se zabránilo jejich převrácení, a dobrý senzor převrácení by nemělo být možné vyřadit z provozu pomocí magnetu nebo jiného externího zařízení. Veškeré kabely vstupující do automatu by měly vést nahoru skrz základnu, nikoliv zadní částí, kde by byly snadno přístupné a bylo by možné s nimi manipulovat. Trubkové kolíkové zámky také nejsou příliš bezpečné a měli byste se jim vyhnout, kdykoli je to možné. Chcete-li chránit data, buďte obzvláště opatrní u strojů připojených k síti a vždy šifrujte vše, co se posílá přes protokol TCP/IP. Nechte si od renomovaného bezpečnostního konzultanta provést audit softwaru, abyste odhalili zranitelnosti dříve, než se z nich stanou vážné problémy.
Hackování prodejního automatu se může zdát jako něco, co může udělat parta znuděných dodavatelů nebo dětí, ale odhodlaný hacker může odejít s tisíci čísly kreditních karet. Ztížení možnosti fyzického narušení automatů nebo manipulace s jejich firmwarem nechrání jen majitele před ztrátou výrobků, ale může ochránit i citlivé finanční údaje uživatelů.