Försökte hacka bankomater med Raspberry Pi

Hade väl funkat enklare om säkerheten var som i filmen The Manhattan Project (1986) där ett kodlås luras av att man spelar in knappljuden och sedan spelar upp dem igen...

Låter som det saknas väldigt mycket info här.
Vem vid sina sinnes fulla bruk skulle hitta denna attack utan att ha info om var de skulle leta?
Ingen har sådan granularitet i sin koll...

Imponerande hack

Var inte detta på en server?
Om jag såg processen "lightdm" på en server skulle jag definitivt kolla vad tusan det var för något. Dåligt namnval av hackarna eftersom i princip ingen server skulle köra det.

Hacka bankomat med en raspberry pi? Borde döpa hacket till Sarah Connor

Det står ju indirekt hur dom hittade det, misstänkt nättrafik från en server, man tittar närmare på servern, hittar lightdm och på den, man börjar undersöka loggar (centraliserade som inte gått att manipulera) , hittar ip från rpi, kollar med nätavdelningen vilken switch och port den datorn sitter i osv..

Även den minsta minibank har förmodligen lätt 500+ vm:ar, en bank bank har ju tusentals, det ska till ett otroligt oflyt att lyckas få igång en process som någon sedan råkar hitta av ren slump.

De har alltså personal och system som tillåter upptäckt av en attack i realtid eller åtminstone fort nog för att stoppa någon riktig ekonomisk skada....

Men på samma gång så tillåter deras nätverk enheter utan certifikat att ansluta och plocka ip-adresser? Wierd...

Dom har ju inte hittat servern av en slump, det finns ju verktyg som analyserar loggar / nättrafik som varnar när det ser konstigt ut, och det är förmodligen på det sättet dom har hittat maskinen då de som gjort intrånget förmodligen portscannat i princip alla / hela subnät inne på banken för att leta sig vidare

Det var ju inte vilken server som helst de hade tagit över, utan den som hade hand om övervakningen av nätet.

Vilket antagligen var ändamålsenligt eftersom den servern antagligen hade brandväggsöppningar lite överallt.

De som normalt är inloggade på den servern var antagligen inte ordinära IT-nissar heller. Spännande att man blev upptäckt av att man började skicka oväntad trafik från servern som var till för att detektera oväntad trafik, väldigt meta.

Men visst, man kan nog inte räkna med att precis hela sanningen kommer fram i en sådan bloggpost.

Vi får väl hoppas att Linux-kerneln slutar tillåta mount under /proc, det verkar inte helt genomtänkt.

"Intelligent övervakning" av nätverkstrafik?
-"Varför börjar en tidigare okänd nod göra uppkopplingsförsök 600de sekund?"

Så jag behöver inte längre någon Atari Portfolio?

Många implementationer av 802.1x, som jag antar att du syftar på, går ju att kringgå med hjälp av en icke-managerad switch plus en enkel NAT-router så länge man har fysisk tillgång till nätverksporten samt en legitim enhet som autentiserar sig själv. Går inte in på onödiga detaljer här, men tänker man efter lite så är det inte överdrivet svårt att luska ut.

Sedan kan det nog vara så att de inte körde 802.1x alls på det aktuella nätverkssegmentet.

Varför inte John Connor?

Jo, Linux har verktygen. Det går att sätta upp bevakning på kernel-nivå. Loggar du utvalda systemanrop så kommer du att få en snygg lista på alla open(Name,O_CREAT) d.v.s. var och när systemet skapar en ny fil. På en server med en dedikerad uppgift så behöver det inte generera några större mängder data utanför kända katalognamn.

Nu fanns det ju en mängd indikationer på att någonting var på gång, men om det bara hade hängt på /tmp/lightdm så påminner det om boken "The Cuckoo's Egg" av Clifford Stoll (1989)

https://en.wikipedia.org/wiki/The_Cuckoo%27s_Egg_(book)

En annan referens är ju bakdörren som installerades i XZ-kompressionen (via liblzma, 2024) som upptäcktes av en Microsoftanställd då systemet fick en liten märkbar prestandaförlust efter en uppdatering. Han jagade orsaken till detta varpå nästa naturliga steg är att se vilka förändringar som gjorts i källkoden. Den följande analysen nystade upp den gömda bakdörren.
https://en.wikipedia.org/wiki/XZ_Utils_backdoor
Kommentarer och OT-spår: (Sommarläsning)
https://www.reddit.com/r/programming/comments/1btc7gw/perform...

Säkert en svettig dag på jobbet. De var förhoppningsvis två personer som knackade kod på samma tangentbord för det är ju bevisligen mer effektivt i anti-hackingsyfte, det har man ju sett på TV!