Hvad du skal vide om hacking af salgsautomater
Sikkerhed/brand og sikkerhed
Salgsautomater er et godt mål for hackerforsøg. De er generelt uovervågede i en længere periode, så det er ikke særlig svært for en hacker at finde et vindue til at få gratis snacks eller endda penge. I modsætning til de tidligste forsøg på at hacke automater – normalt ved hjælp af en mønt og et stykke tape eller endda en tom metalsnegl – har både hackere og automater gjort tingene lidt mere sofistikerede.
Hvorfor automater?
For nogle hackere er det måske et spørgsmål om bekvemmelighed. Hvem ville ikke gerne have gratis mad og drikkevarer? Andre ser måske automaterne som en udfordring. Moderne salgsautomater er konstrueret til at være modstandsdygtige over for fysiske brute-force-hacks (som f.eks. at vippe en automat frem og tilbage for at ryste varerne løs), og de indeholder endda kunstig intelligens. Andre hackere er måske ude efter noget mere uhyggeligt end et par gratis sodavand – nemlig kortnumre og pinkoder på alle, der bruger automaten.
Hvordan bliver automater hacket?
Metoderne varierer alt efter, hvad hackerne er ude efter. I et bemærkelsesværdigt eksempel lykkedes det en håndfuld CIA-kontrahenter at omgå dette ved at afbryde et netværkskabel under transaktionen, hvilket forhindrede automaten i at bekræfte, at de betalingskort, de brugte, rent faktisk havde penge. Dette gav hackerne mulighed for at få stort set ubegrænsede gratis snacks, mens automaten ikke kunne se, at der ikke var blevet udvekslet penge.
I andre tilfælde kan automaterne være sårbare over for firmware-modifikationer, der stammer fra chip- og pin-kort. En hacker kan bruge et programmeret kort på samme måde som et normalt kredit- eller betalingskort, installere firmware-moddet og vende tilbage på et senere tidspunkt for at hente alle de kortnumre og pinkoder, som moddet har indsamlet i tidsrummet. Det er også muligt for hackere at installere pass-through-enheder for at ændre de oplysninger, der sendes via ethernet-kabler, der er tilsluttet maskinen, eller at fastgøre kreditkortskimmere til grænsefladen.
Der er heldigvis ikke de fleste hacks, der virker.
For folk, der er bekendt med den slags tvivlsomme råd, der gives i ting som “The Anarchist’s Cookbook”, er det sandsynligvis slet ikke overraskende at opdage, at de fleste af de hackerinstruktioner, der er let tilgængelige på nettet, enten er fuldstændig falske, forældede eller slutproduktet af en omgang internet-telefoni. Der findes masser af YouTube-videoer og blogindlæg, der beskriver, hvordan man kan hacke automater for at få gratis produkter, men størstedelen af disse falder direkte ind under clickbait – skaberne er mindre interesserede i rent faktisk at hacke automater end i at få visninger. Ikke desto mindre er det stadig på sin plads for producenterne at sikre deres maskiner og data. En hacker, der stjæler en sodavand i ny og næ, kan synes at være et lille problem, men en hacker, der stjæler en uges transaktionsoplysninger, er et meget større problem.
Sikring af maskiner og oplysninger.
Hacks er ret specifikke for leverandører og automatmodeller, og selv om ingen automat er helt idiotsikker, er der foranstaltninger, som producenterne kan træffe for at beskytte deres ejendom og deres brugeres data. Hvis du vil sikre en salgsautomat, skal du først se på dens fysiske sikkerhed. Maskinerne bør være boltet fast til gulvet for at forhindre, at de vælter, og en god væltesensor bør ikke kunne deaktiveres af en magnet eller en anden ekstern enhed. Alle kabler, der føres ind i maskinen, bør komme op gennem bunden og ikke gennem bagsiden, hvor de let kan nås og manipuleres. Rørformede pin-låse er heller ikke særlig sikre og bør så vidt muligt undgås. For at beskytte data skal du være ekstra forsigtig med netværksforbundne maskiner og altid kryptere alt, hvad der sendes via TCP/IP. Få en anerkendt sikkerhedskonsulent til at revidere software for at opdage sårbarheder, før de bliver til alvorlige problemer.
Hacking af en salgsautomat kan virke som den slags ting, en flok kedsommelige entreprenører eller børn kan gøre, men der er potentiale for, at en beslutsom hacker kan gå derfra med tusindvis af kreditkortnumre. Ved at gøre det vanskeligere at bryde fysisk ind i automaterne eller manipulere deres firmware kan man ikke blot beskytte ejerne mod produkttab, men også beskytte brugernes følsomme finansielle data.