Peneliti Keamanan Temukan Cara Retas ATM Dalam Sekejap

Ellavie Ichlasa Amalia    •    Kamis, 27 Jul 2017 18:50 WIB
security
Peneliti Keamanan Temukan Cara Retas ATM Dalam Sekejap
Ilustrasi. (Tax Credits/Flickr)

Metrotvnews.com: Tidak ada mesin yang tidak bisa diretas. Tampaknya inilah pelajaran yang harus diambil oleh perusahaan pembuat mesin ATM, Diebold Nixdorf, setelah para peneliti keamanan menunjukkan bagaimana cara meretas salah satu mesim ATM mereka sehingga mengeluarkan uang tanpa henti. 

Dengan satu tindakan sederhana yang memanfaatkan port USB pada mesin ATM Opteva yang cukup populer, para peneliti di perusahaan keamanan IOActive dapat membuat mesin buatan Diebold Nixdorf itu untuk mengeluarkan uang sampai uang di dalamnya habis, lapor CNET.

Dalam acara bertema Breaking Embedded Devices yang diadakan oleh IOActive dalam konferensi Black Hat kemarin, para peneliti menunjukkan bahwa tidak hanya komputer, ponsel atau server yang bisa diretas, tapi semua perangkat yang memiliki chip atau terhubung ke internet.

Sistem tertanam atau embedded system, seperti yang terlihat dari namanya, adalah sistem yang dibuat secara massal dengan satu fungsi dan ditanamkan dalam sebuah mesin. Fungsi dari sistem ini beragam, mulai dari mengeluarkan uang pada ATM atau memeriksa seberapa banyak tinta yang tersisa pada printer Anda. Mengingat fungsinya sederhana, sistem ini biasanya tidak memiliki keamanan yang kuat. 

Dalam Black Hat, IOActive menunjukkan bahwa jika sebuah mesin memiliki satu sistem dengan keamanan lemah maka hal itu akan membuat mesin itu rentan terserang oleh peretas. Dan embedded system adalah target empuk para peretas. 

Mike Davis, Director of Embedded Systems Security di IOActive berkata bahwa dia telah memberitahukan kelemahan ini pada Diebold Nixdorf berkali-kali. Dia memberitahu perusahaan itu bahwa ada bagian yang lemah di dekat speaker atas mesin ATM buatan mereka. Bagian ini bisa dilonggarkan dan memungkinkan hacker untuk mengakses port USB pada mesin. 

"Memang seperti trik sulap, tapi hanya memerlukan waktu beberapa detik untuk membuka ATM," ujar Davis. Ketika Diebold Nixdorf tahu tentang kelemahan ini, mereka menganggap kelemahan ini tidak akan membahayakan uang yang ada dalam ATM, mengingat uang disimpan di bagian bawah mesin. 

"Kami pikir, oke, kami terima tantangan ini. Kami yakin kami bisa membuat mesin ATM memberikan uang pada kami," ujar Davis. Tim IOActive kemudian menghubungkan laptop ke port USB pada mesin ATM dan memasukkan kode baru ke dalam Automatic Funds Distributor, bot pada embedded system yang memutuskan berapa banyak uang yang dikeluarkan.

Setelah melakukan reverse engineering alias rekayasa balik, tim IOActive berhasil membuat mesin ATM mengosongkan uang di dalamnya. 

Sejak saat itu, IOActive berkata, mereka mengajak Diebold Nixdorf untuk bekerja sama menguji kelemahan pada mesin ATM buatan mereka lainnya. Namun, Diebold menolak bantuan ini, mengatakan bahwa mesin yang diretas  oleh IOActive adalah mesin tua. 

Juru bicara Diebold Nixdorf berkata, mesin yang diretas oleh IOActive adalah mesin dari tahun 2008-2009 dan tidak pernah mendapatkan patch keamanan atau perbaikan. Namun, Diebold juga tidak bisa mengonfirmasi apakah mesin ATM tersebut masih digunakan oleh pelaku perbankan. 


(MMI)

Bagaimana Kami Menguji

Kami menguji produk dengan subjektif karena mengutamakan pengalaman penggunaan. Meski demikian, kesimpulan yang kami ambil juga didasari sejumlah data dari perangkat lunak tertentu yang kami gunakan untuk melihat kinerja produk.

Khusus untuk menguji perangkat keras dan perangkat lunak komputer, kami menggunakan konfigurasi yang identik untuk tiap produk. Berikut komponen testbed resmi Metrotvnews.com.

Hardware

  • Prosesor: Intel Core i7-7700K, AMD Ryzen 7 1800X
  • Motherboard: ASUS Z270F STRIX Gaming, MSI X370 Gaming Pro Carbon
  • VGA: MSI GTX 1080 Gaming X, ASUS RX 480 STRIX 8GB
  • RAM: Corsair Vengeance LPX 3200MHz (2x8GB)
  • Penyimpanan: Corsair Neutron XTi 240GB
  • PSU: Corsair RM850X
  • Case: MSI DIY Case
  • Monitor: ASUS PB287Q 4K, AOC C3583FQ
  • Keyboard: Logitech G900 Chaos Spectrum, Logitech G402 Hyperion Fury
  • Mouse: Logitech G440, Logitech G240
  • Headset: Logitech G430, Logitech G633

Software

Performa dan Baterai: PCMark 8, 3DMark, Crystal Disk Mark
Gaming: The Witcher 3: Wild Hunt, Ashes of Singularity, Tom CLancy's Ghost Recon Wildlands

Kami juga menggunakan metode pengujian yang sama untuk semua gadget. Meski di pasar tersedia beragam perangkat lunak benchmarking, kami hanya memilih tiga berdasarkan reputasi mereka yang diakui secara internasional, 3DMark dan PCMark 2.0.