這才叫駭客

September 21st, 2006

剛才在 Wired blog 上看到一篇文章,大意是這樣的:在美國維吉尼亞州發生了一件竊盜案件,嫌犯從網路上獲取商店中 ATM 提款機的操作手冊,他老兄便到某加油站的提款機去,從鍵盤輸入特別操作碼以及預設密碼,進入該 ATM 的管理模式。美國的 ATM 提款機一般都是提供 20 元美鈔供客人提領,接下來,嫌犯將該 ATM 給鈔盒設定其存鈔面額為 5 元,然後利用預付信用卡提領現鈔,機器吐的張數是以 5 元來計數,但實際吐的是 20 元的鈔票,於是嫌犯當場海噱一頓揚長而去。

這件事本來可以做的很漂亮的,但嫌犯忘了將機器設定回去。於是機器就繼續努力地發鈔,直到有一天終於有個誠實的人向加油站舉報,這整件事才被爆破出來。(謎之聲:可見那台提款機還真的是很少人用 …)

這個事件可以說是個典型的軟體工程負面教材,隨便都可以列出許多缺失:

  • 進入管理模式除密碼之外,應該要有第二道防線,例如 POS 系統常用的鑰匙,或是刷卡機
  • 設定存鈔面額後,應偵測給鈔盒是否有開啟過再讓變更生效
  • 進入管理模式時應連線到控制中心進行記錄 (ATM 不可能沒有網路連線),要不然也該閃個警示燈讓店員知道吧
  • 機器出廠後,第一次使用時應強制更改密碼 (提款卡不就是這樣的?)
  • 機密的使用手冊未經控管直接在網路上流傳

    • 這些都可以由簡易的 STRIDE 分析找出對應的防制措施才對,可見當初設計時根本沒做 (或是不知道要做)。現在就等等看其他國家的提款機什麼時候會傳出災情吧 😀

    軟體工程 | Comments Jump to the top of this page

    Comments are closed.

    隨便寫寫大家隨便看看的不出名小格子

    舊文索引

    站內管理