Vad du behöver veta om hackning av varuautomater
Säkerhet/Brand och säkerhet
Varuautomater är ett utmärkt mål för hackningsförsök. De är i allmänhet obevakade under betydande delar av tiden, så det är inte särskilt svårt för en hackare att hitta ett fönster för att få gratis snacks, eller till och med pengar. Till skillnad från de tidigaste försöken att hacka varuautomater – vanligtvis med hjälp av ett mynt och en bit tejp, eller till och med en tom metallsnigel – har både hackare och varuautomater gjort saker och ting lite mer sofistikerade.
Varför varuautomater?
För vissa hackare kan det vara en fråga om bekvämlighet. Vem skulle inte vilja ha gratis mat och dryck? Andra kanske ser automaterna som en utmaning. Moderna varuautomater är konstruerade för att vara motståndskraftiga mot fysiska hackningar (som att gunga maskinen fram och tillbaka för att skaka loss varorna) och innehåller till och med artificiell intelligens. Ytterligare andra hackare kan vara ute efter något mer ondskefullt än ett par gratis läskedrycker – kortnummer och PIN-koder för alla som använder automaten.
Hur hackas varuautomater?
Metoderna varierar beroende på vad hackarna är ute efter. I ett uppmärksammat exempel lyckades en handfull CIA-entreprenörer kringgå detta genom att koppla bort en nätverkskabel under transaktionen, vilket hindrade automaten från att bekräfta att de betalkort de använde faktiskt hade några pengar. Detta gav hackarna möjlighet att få i stort sett obegränsat med gratis snacks, medan automaten inte kunde berätta att inga pengar hade bytts ut.
I andra fall kan maskinerna vara sårbara för ändringar i den fasta programvaran som härrör från chip- och pin-kort. En hackare kan använda ett programmerat kort precis som ett vanligt kredit- eller betalkort, installera modden i den fasta programvaran och sedan återkomma vid en senare tidpunkt för att hämta alla kortnummer och PIN-koder som modden samlat in under mellantiden. Det är också möjligt för hackare att installera pass-through-enheter för att ändra information som skickas via ethernetkablar som är anslutna till maskinen, eller att fästa kreditkortsskimmers på gränssnittet.
Tyvärr fungerar inte de flesta hackningar.
För personer som är bekanta med den typ av tvivelaktiga råd som ges i t.ex. ”The Anarchist’s Cookbook” är det förmodligen inte alls förvånande att de flesta av de hackningsinstruktioner som finns tillgängliga på webben antingen är helt falska, föråldrade eller slutresultatet av en lek med internettelefoni. Det finns gott om YouTube-videor och blogginlägg som beskriver hur man kan hacka automater för att få gratis produkter, men majoriteten av dessa faller helt och hållet inom området clickbait – skaparna är mindre intresserade av att faktiskt hacka automater än de är av att få visningar. Det är ändå viktigt att tillverkarna säkrar sina maskiner och data. En hackare som stjäl en läsk då och då kan tyckas ha låga insatser, men en hackare som stjäl en veckas transaktionsinformation är ett mycket större problem.
Säkra maskiner och information.
Hacks är ganska specifika för leverantörer och automatmodeller, och även om ingen automat är helt idiotsäker finns det åtgärder som tillverkarna kan vidta för att skydda sin egendom och sina användares data. För att hålla en varuautomat säker bör man först och främst se till den fysiska säkerheten. Automaterna bör vara fastskruvade i golvet för att förhindra att de tippar, och en bra tippsensor bör inte kunna sättas ur spel med hjälp av en magnet eller annan extern anordning. Alla kablar som går in i automaten bör komma upp genom basen, inte genom baksidan där de lätt kan nås och manipuleras. Rörformade stiftlås är inte heller särskilt säkra och bör undvikas när det är möjligt. För att skydda data bör du vara extra försiktig med nätverksanslutna maskiner och alltid kryptera allt som skickas via TCP/IP. Låt en välrenommerad säkerhetskonsult granska programvaran för att upptäcka sårbarheter innan de blir allvarliga problem.
Hackning av en varuautomat kan tyckas vara något som ett gäng uttråkade entreprenörer eller barn skulle kunna göra, men det finns potential för en bestämd hackare att gå därifrån med tusentals kreditkortsnummer. Genom att göra det svårare att fysiskt bryta sig in i automaterna eller manipulera deras fasta programvara skyddar man inte bara ägarna från produktförluster, utan även användarnas känsliga ekonomiska uppgifter.