Ysterbokse met geld wat in die strate van die stad staan, kan nie anders as om die aandag van liefhebbers van vinnige geld te trek nie. En as in die verlede suiwer fisiese metodes gebruik is om kitsbanke leeg te maak, word nou meer en meer vaardige truuks wat met rekenaars verband hou, gebruik. Nou is die mees relevante van hulle die "swart boks" met 'n enkelbord-mikrorekenaar binne. Ons sal in hierdie artikel praat oor hoe dit werk.
Hoof van die Internasionale Vereniging van OTM-vervaardigers (ATMIA)
'n Tipiese OTM is 'n stel gereedgemaakte elektromeganiese komponente wat in een behuising geplaas word. OTM-vervaardigers bou hul ysterskeppings uit 'n banknoot-dispenser, kaartleser en ander komponente wat reeds deur derdeparty-verkopers ontwikkel is. 'n Soort LEGO-konstruktor vir volwassenes. Voltooide komponente word in die OTM-kas geplaas, wat gewoonlik uit twee kompartemente bestaan: die boonste kompartement ("kas" of "diensarea") en die onderste kompartement (kluis). Alle elektromeganiese komponente word via USB- en COM-poorte aan die stelseleenheid gekoppel, wat in hierdie geval as 'n gasheer optree. Op ouer modelle van OTM'e kan jy ook verbindings vind via die SDC-bus.
Die evolusie van OTM-kaarte
OTM'e met groot bedrae binne lok altyd kaarters na hulle. Aanvanklik het kaarters slegs growwe fisieke gebreke in OTM-sekuriteit uitgebuit - hulle het skimmers en glinsters gebruik om data van magnetiese strepe te steel; vals penblokkies en kameras om pinkodes te bekyk; en selfs vals OTM'e.
Toe OTM'e toe toegerus is met verenigde sagteware wat volgens algemene standaarde werk, soos XFS (eXtensions for Financial Services), het kaarters begin om OTM'e met rekenaarvirusse aan te val.
Onder hulle is Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii, en talle ander genoemde en naamlose wanware wat kaarters op die OTM-gasheer plant, hetsy via 'n selflaaibare flitsskyf of via die afstandbeheer-TCP-poort.
OTM infeksie proses
Nadat die XFS-substelsel vasgelê is, kan die wanware sonder magtiging opdragte aan die banknoot-uitdeler uitreik. Of gee opdragte aan die kaartleser: lees / skryf die magnetiese streep van 'n bankkaart en onttrek selfs die transaksiegeskiedenis wat op die EMV-kaartskyfie gestoor is. EPP (Encrypting PIN Pad; encrypted pinpad) verdien spesiale aandag. Dit word algemeen aanvaar dat die PIN-kode wat daarop ingevoer is nie onderskep kan word nie. XFS laat jou egter toe om die EPP-penblok in twee modusse te gebruik: 1) oopmodus (vir die invoer van verskeie numeriese parameters, soos die bedrag wat uitbetaal moet word); 2) veilige modus (EPP skakel na dit wanneer jy 'n pinkode of enkripsiesleutel moet invoer). Hierdie kenmerk van XFS stel die kaarthouer in staat om 'n MiTM-aanval uit te voer: om die veilige modus-aktiveringsopdrag wat vanaf die gasheer na die EPP gestuur word, te onderskep, en dan vir die EPP-penblok te vertel dat werk in oopmodus moet voortgaan. In reaksie op hierdie boodskap stuur EPP toetsaanslagen in gewone teks.
Die beginsel van werking van die "swart boks"
In onlangse jare,
OTM-aanval via afstandtoegang
Antivirusse, blokkering van firmware-opdaterings, blokkering van USB-poorte en enkripteer van die hardeskyf – beskerm tot 'n mate die OTM teen virusaanvalle deur kaarters. Maar wat as die kaarthouer nie die gasheer aanval nie, maar direk aan die periferie koppel (via RS232 of USB) - aan 'n kaartleser, penblokkie of kontantverdeler?
Die eerste kennismaking met die "swart boks"
Vandag, tegnies-vaardige kaarters
"Black box" gebaseer op Raspberry Pi
Die grootste vervaardigers van kitsbanke en regeringsintelligensie-agentskappe, wat gekonfronteer word met verskeie implementerings van die "swart boks",
Terselfdertyd, om nie voor die kameras te skyn nie, gryp die versigtigste kaardeerders die een of ander nie baie waardevolle maat, 'n muil, te hulp. En sodat hy nie die “black box” vir homself kon toeëien nie, gebruik hulle
Wysiging van die "swart boks", met aktivering via afstandtoegang
Hoe lyk dit vanuit die oogpunt van bankiers? Op die opnames van videokameras-fikseerders gebeur iets soos die volgende: 'n sekere persoon maak die boonste kompartement (diensarea) oop, koppel die "magic box" aan die OTM, maak die boonste kompartement toe en vertrek. ’n Bietjie later nader verskeie mense, oënskynlik gewone kliënte, die OTM en onttrek groot bedrae geld. Die kaarter kom dan terug en haal sy klein towertoestel by die OTM. Gewoonlik word die feit van 'n OTM-aanval met 'n "swart boks" eers na 'n paar dae opgespoor: wanneer 'n leë kluis en 'n kontantonttrekkingslogboek nie ooreenstem nie. Gevolglik word bankwerknemers net oorgelaat
Ontleding van OTM-kommunikasie
Soos hierbo genoem, word die interaksie tussen die stelseleenheid en randtoestelle via USB, RS232 of SDC uitgevoer. Die kaarter koppel direk aan die poort van die perifere toestel en stuur opdragte na dit - omseil die gasheer. Dit is redelik eenvoudig omdat die standaard-koppelvlakke geen spesifieke drywers benodig nie. En eie protokolle, waarvolgens die randapparatuur en die gasheer in wisselwerking is, vereis nie magtiging nie (die toestel is immers binne die vertroude sone geleë); en daarom word hierdie onveilige protokolle, waaroor die perifere en die gasheer kommunikeer, maklik afgeluister en maklik vatbaar vir 'n herhalingsaanval.
Daardie. kaarters kan 'n sagteware- of hardeware-verkeersanaliseerder gebruik, wat dit direk aan die poort van 'n spesifieke randtoestel (byvoorbeeld na 'n kaartleser) koppel om oorgedrade data in te samel. Deur die verkeersontleder te gebruik, leer die kaarthouer al die tegniese besonderhede van die OTM-operasie, insluitend ongedokumenteerde funksies van sy periferie (byvoorbeeld die funksie om die firmware van 'n perifere toestel te verander). Gevolglik het die kaarthouer volle beheer oor die OTM. Terselfdertyd is dit nogal moeilik om die teenwoordigheid van 'n verkeersontleder op te spoor.
Direkte beheer oor die banknoot-dispenser beteken dat die OTM-kassette leeggemaak kan word sonder enige fiksasie in die logs wat die sagteware wat op die gasheer ontplooi is, normaalweg maak. Vir diegene wat nie vertroud is met OTM-hardeware en sagteware-argitektuur nie, is dit regtig hoe magie kan lyk.
Waar kom swart bokse vandaan?
OTM-verskaffers en subkontrakteurs ontwikkel ontfoutingsinstrumente om die OTM-hardeware te diagnoseer, insluitend die elektromeganika wat verantwoordelik is vir kontantonttrekkings. Hierdie nutsprogramme sluit in:
ATMDesk-kontrolepaneel
RapidFire OTM XFS-kontrolepaneel
Vergelykende kenmerke van verskeie diagnostiese hulpmiddels
Toegang tot sulke nutsdienste is normaalweg beperk tot gepersonaliseerde tekens; en hulle werk net wanneer die OTM-kluisdeur oop is. Maar bloot deur 'n paar grepe in die binêre kode van die nut te vervang, carders
Die laaste myl en die valse verwerkingsentrum
Direkte interaksie met randapparatuur, sonder om met die gasheer te kommunikeer, is slegs een van die effektiewe metodes van kaardering. Ander truuks maak staat op die feit dat ons 'n wye verskeidenheid netwerkkoppelvlakke het waardeur die OTM met die buitewêreld kommunikeer. Van X.25 tot Ethernet en Cellular. Baie OTM'e kan met die Shodan-diens geïdentifiseer en opgespoor word (die mees bondige instruksies vir die gebruik daarvan word aangebied
Die "laaste myl" van kommunikasie tussen die OTM en die verwerkingsentrum is ryk aan 'n wye verskeidenheid tegnologieë wat as 'n toegangspunt vir die kaarter kan dien. Interaksie kan uitgevoer word via 'n bedrade (telefoonlyn of Ethernet) of draadlose (Wi-Fi, sellulêre: CDMA, GSM, UMTS, LTE) kommunikasiemetode. Sekuriteitsmeganismes kan die volgende insluit: 1) hardeware of sagteware om VPN te ondersteun (beide standaard, ingebou in die bedryfstelsel, en derdeparty); 2) SSL/TLS (beide spesifiek vir 'n spesifieke OTM-model en van derdeparty-vervaardigers); 3) enkripsie; 4) boodskap verifikasie.
Maar
Een van die hoofvereistes van die PCI DSS is dat alle sensitiewe data, wanneer dit oor 'n publieke netwerk versend word, geënkripteer moet word. En ons het wel netwerke wat oorspronklik so ontwerp is dat die data daarin heeltemal geïnkripteer is! Daarom is dit aanloklik om te sê: "Ons data is geïnkripteer omdat ons Wi-Fi en GSM gebruik." Baie van hierdie netwerke bied egter nie voldoende beskerming nie. Sellulêre netwerke van alle generasies is lank reeds gekap. Finaal en onherroeplik. En daar is selfs verkopers wat toestelle aanbied om die data wat oor hulle versend word, te onderskep.
Daarom, óf in onveilige kommunikasie, óf in 'n "privaat" netwerk, waar elke OTM oor homself na ander OTM's uitsaai, kan 'n "vals verwerkingsentrum" MiTM-aanval geïnisieer word - wat daartoe sal lei dat die kaarthouer beheer neem van die datavloei wat oorgedra word. tussen OTM en verwerkingsentrum.
Die volgende figuur
Gooi opdragte van 'n vals verwerkingsentrum
Bron: will.com