Peneliti Keamanan Temukan Cara Retas ATM Dalam Sekejap

Ellavie Ichlasa Amalia    •    Kamis, 27 Jul 2017 18:50 WIB
security
Peneliti Keamanan Temukan Cara Retas ATM Dalam Sekejap
Ilustrasi. (Tax Credits/Flickr)

Metrotvnews.com: Tidak ada mesin yang tidak bisa diretas. Tampaknya inilah pelajaran yang harus diambil oleh perusahaan pembuat mesin ATM, Diebold Nixdorf, setelah para peneliti keamanan menunjukkan bagaimana cara meretas salah satu mesim ATM mereka sehingga mengeluarkan uang tanpa henti. 

Dengan satu tindakan sederhana yang memanfaatkan port USB pada mesin ATM Opteva yang cukup populer, para peneliti di perusahaan keamanan IOActive dapat membuat mesin buatan Diebold Nixdorf itu untuk mengeluarkan uang sampai uang di dalamnya habis, lapor CNET.

Dalam acara bertema Breaking Embedded Devices yang diadakan oleh IOActive dalam konferensi Black Hat kemarin, para peneliti menunjukkan bahwa tidak hanya komputer, ponsel atau server yang bisa diretas, tapi semua perangkat yang memiliki chip atau terhubung ke internet.

Sistem tertanam atau embedded system, seperti yang terlihat dari namanya, adalah sistem yang dibuat secara massal dengan satu fungsi dan ditanamkan dalam sebuah mesin. Fungsi dari sistem ini beragam, mulai dari mengeluarkan uang pada ATM atau memeriksa seberapa banyak tinta yang tersisa pada printer Anda. Mengingat fungsinya sederhana, sistem ini biasanya tidak memiliki keamanan yang kuat. 

Dalam Black Hat, IOActive menunjukkan bahwa jika sebuah mesin memiliki satu sistem dengan keamanan lemah maka hal itu akan membuat mesin itu rentan terserang oleh peretas. Dan embedded system adalah target empuk para peretas. 

Mike Davis, Director of Embedded Systems Security di IOActive berkata bahwa dia telah memberitahukan kelemahan ini pada Diebold Nixdorf berkali-kali. Dia memberitahu perusahaan itu bahwa ada bagian yang lemah di dekat speaker atas mesin ATM buatan mereka. Bagian ini bisa dilonggarkan dan memungkinkan hacker untuk mengakses port USB pada mesin. 

"Memang seperti trik sulap, tapi hanya memerlukan waktu beberapa detik untuk membuka ATM," ujar Davis. Ketika Diebold Nixdorf tahu tentang kelemahan ini, mereka menganggap kelemahan ini tidak akan membahayakan uang yang ada dalam ATM, mengingat uang disimpan di bagian bawah mesin. 

"Kami pikir, oke, kami terima tantangan ini. Kami yakin kami bisa membuat mesin ATM memberikan uang pada kami," ujar Davis. Tim IOActive kemudian menghubungkan laptop ke port USB pada mesin ATM dan memasukkan kode baru ke dalam Automatic Funds Distributor, bot pada embedded system yang memutuskan berapa banyak uang yang dikeluarkan.

Setelah melakukan reverse engineering alias rekayasa balik, tim IOActive berhasil membuat mesin ATM mengosongkan uang di dalamnya. 

Sejak saat itu, IOActive berkata, mereka mengajak Diebold Nixdorf untuk bekerja sama menguji kelemahan pada mesin ATM buatan mereka lainnya. Namun, Diebold menolak bantuan ini, mengatakan bahwa mesin yang diretas  oleh IOActive adalah mesin tua. 

Juru bicara Diebold Nixdorf berkata, mesin yang diretas oleh IOActive adalah mesin dari tahun 2008-2009 dan tidak pernah mendapatkan patch keamanan atau perbaikan. Namun, Diebold juga tidak bisa mengonfirmasi apakah mesin ATM tersebut masih digunakan oleh pelaku perbankan. 


(MMI)

Video /