Jumat 30 Jul 2010 23:42 WIB

Busyet, ATM Bisa Dibobol Seperti Mesin Jackpot

Barnaby Jack, mendemonstrasikan pembobolan atm, di atas panggung mesin tunai mandiri itu terlihat memuntahkan ratusan lembar 100 dolar keluar.
Foto: WIRED
Barnaby Jack, mendemonstrasikan pembobolan atm, di atas panggung mesin tunai mandiri itu terlihat memuntahkan ratusan lembar 100 dolar keluar.

REPUBLIKA.CO.ID, LAS VEGAS--Dalam sebuah kota yang dipenuhi mesin-mesin slot mengeluarkan jackpot, sebuah ATM yang dikuraslah yang paling mendapat perhatian di konferensi keamanan teknologi informasi (TI), Black Hat, 28 Juli lalu. Saat itu periset TI, Barnaby Jack, mendemonstrasikan dua upaya pembobolan melawan mesin anjungan tunai mandiri. Keberhasilan pembobolan dalam demo itu disambut meriah meski juga dengan rasa was-was.

Pada salah satu serangan, Jack memprogram ulang ATM dari jarak jauh melalui sebuah jaringan, tanpa menyentuh mesin tersebut. Sementara pada serangan kedua, Jack perlu membuka panel luar dan mencolokkan stik USB yang dipenuhi malware.

Jack, direktur lembaga riset keamanan TI dan cyber ternama di AS, IOActive Labs, memfokuskan riset pembobolan khusus pada celah pertahanan ATM di tipe yang dipasang di toko-toko ritel dan restoran. Ia tak mengatakan ATM di bank bisa jadi memiliki kerentanan serupa, namun ia mengatakan belum memeriksa mereka.

Dua mesin ATM yang langsung dibobol di atas panggung itu adalah keluaran Triton dan Tranaz. Sistem pembobolan Tranax dilakukan dengan melakukan otentikasi jalan pintas dengan memanfaatkan lubang keamanan yang ditemukan Jack di fitur sistem monitor jarak jauh. Celah itu dapat diakses lewat internet atau koneksi dial-up, bergantung pada bagaimana pemilik mengonfigurasi mesin tersebut.

Sistem pengawasan jarak jauh Tranax dihidupkan oleh konfigurasi asli mesin. Namun Jack mengatakan sejak awal perusahaannya selalu menyarankan klien untuk melindungi diri mereka dari serangan yang memanfaatkan dan mengambil alih sistem kendali jarak jauh.

Untuk melakukan pembobolan jarak jauh, seorang penyerang perlu tahu berapa alamat IP sebuah ATM atau nomor teleponnya. Jack berkata ia meyakini 95 persen ATM retail terhubung dengan koneksi dial-up. Seorang pembobol dapat dengan mudah melakukan perang telepon dengan ATM yang terhubung ke model telepon serta mengidentifikasi nomor lewat protokol khusus mesin tersebut.

Sementara serangan terhdap Triton dimungkinkan dengan adanya lubang keamanan yang mengizinkan program-program ilegal beroperasi dalam sistem. Perusahaan keamanan itu baru saja mendistribusikan perbaikan pada November lalu sehingga hanya kode digital dengan tanda tertentu saja yang dapat menjalankan mereka. Baik ATM Triton dan Tranax beroperasi dengan Windows CE.

Menggunakan alar penyerang jarak jauh, dijuluki Dillinger, Jack dapat mengeksplotasi jalan pintas ontetikasi dari fitur monitor jarak jauh Tranax yang rentan, lalu mengunggah software dan menimpa seluruh firmware dalam sistem dengan kode baru. Dengan kemampuan ini, ia pun menginstal program berbahaya yang ia tulis, bernama Scrooge.

Scrooge siap menerkam diam-diam dibagian belakang sistem ATM hingga seseorang membangunkannya. Program itu dapat diaktivasi dengan dua cara, baik dengan kode berupa sikuen sentuhan yang dimasukkan ke tombol-tombol di ATM atau dengan memasukkan kartu kontrol khusus.

Kedua metode tadi intinya mengaktifkan sebuah menu tersembunyi yang dapat digunakan pembobol untuk membuat mesin meludahkan banyak uang atau mencetak bukti transaksi. Scrooge juga akan menangkap data strip magnet yang dilekatkan pada kartu bank begitu pengguna memasukkan kartu mereka ke ATM.

Mendemonstrasikan langkah itu, Jack menekan tombol-tombol di keypad untuk memanggil menu, lalu memberi instruksi pada mesin untuk memuntahkan 50 bukti transaksi. Layar pun langsung memunculkan kata "Jackpot" begitu kertas-kertas muncul beterbangan keluar.

Sementara untuk membobol tipe Triton, ia menggunakan sebuah kunci untuk membuka panel depan lalu menghubungkan ke USB yang mengandung malware. ATM itu menggunakan kunci seragam di seluruh sistemnya--seperti yang digunakan di lemari arsip--yakni sistem yang dapat dibuka dengan kunci seharga 10 dolar yang dijual di web. Kunci yang sama pula itulah yang membuka ATM Triton.

Dua perwakilan yang menggelar jumpa pers setelah presentasi mengatakan konsumen menginginkan sistem satu kunci sehingga mereka dapat dengan mudah memanajemen bagian dalam mesin tanpa meminta banyak kunci. Namun mereka juga memastikan Triton menawarkan kit penguncian yang telah dimutakhirkan bagi konsumen yang memintanya. Kunci tersebut memiliki keamanan tingkat tinggi.

Serangan malware serupa ditemukan di ATM bank di Eropa Timur tahun lalu. Periset keamanan di Trustwave berbasis di Chicago, menemukan malware pada 20 mesin di Rusia dan Ukraina yang menjalankan operasi sistem Windows XP, Microsoft. Mereka mengatakan menemukan tanda bahwa hacker berencana mengusung serangan ke mesin-mesin di AS. Malware-malware itu didesain untuk menyerang mesin ATM buaan Diebold dan NCR.

Serangan itu membutuhkan orang dalam, semacam teknisi ATM atau siapa pun yang memegang kunci mesin untuk menempatkan malware pada ATM. Begitu selesai, penyerang akan memasukan sebuah kartu kontrol ke dalam pembaca kartu ATM untuk memicu aktivasi malware dan memberi mereka kendali atas mesin lewat aplikasi antarmuka yang telah disiapkan atau lewat keypad ATM.

Malware kemudian menangkap nomor rekening dan PIN dari aplikasi transasi lalu mengirimkan pada pencuri dalam bentuk bukti cetakan ATM yang terenkripsi, atau ke piranti penyimpanan yang dimasukkan ke pembaca kartu. Pencuri dapat juga memerintahkan mesin mengeluarkan uang tunai berapa pun dalam masin. Sebuah ATM yang terisi penuh di AS dapat menyimpan 600 ribu dolar (sekitar Rp5,5 milyar)

Awal tahun ini, dalam sebuah insiden terpisah, sebuah pegawai Bank of Amerika didakwa dengan tuduhan menyusupkan malware ke ATM tempat ia bekerja. Si pelaku dapat menarik ribuan dolar tanpa meninggalkan rekaman transaksi.

Di Indonesia praktek pembobolan ATM pun sempat menjadi isu yang merisaukan, terjadi pula pada awal tahun ini. Skimmer dan penggunaan kunci ATM oleh orang dalam juga menjadi salah satu modus operandi pembobolan.

Jack sebenarnya didaulat untuk mengantarkan topik celah rentan ATM pada konferensi Black Hat tahun lalu. Namun, mantan perusahaan ia dulu bekerja, Juniper Network, membatalkan jadwal beberapa pekan sebelum konferensi setelah sebuah perusahaan ATM--tanpa ingin disebut namanya--mengekspresikan keprihatinan.

Ia juga menungkapkan tujuan mendemonstrasikan pembobolan itu semata-mata mengajak orang-orang melihat dari dekat, bahwa sistem keamanan yang diasumsikan terkunci rapat dan tak bisa ditembus tidaklah selalu yang seperti dibayangkan banyak orang.

sumber : wired
Advertisement
Berita Lainnya
Advertisement
Terpopuler
Advertisement
Advertisement